在技術(shù)行業(yè),炒作是家常便飯,新興的軟件定義網(wǎng)絡(luò)技(SDN)術(shù)也難逃這一劫。然而對于軟件定義網(wǎng)絡(luò),炒作內(nèi)容是一定道理的:SDN能夠改變我們所知道的網(wǎng)絡(luò)安全格局。
在過去幾年中,軟件定義網(wǎng)絡(luò)已經(jīng)從一個想法發(fā)展成為一個范例—大型網(wǎng)絡(luò)供應(yīng)商不僅“擁抱”它,還將它作為其未來企業(yè)網(wǎng)絡(luò)管理的模型來談?wù)摗_@項技術(shù)給網(wǎng)絡(luò)增加了更大的粒度、動態(tài)性和可管理性,但也帶來了其他問題,我們需要從安全角度來看這些問題。在這篇文章中,我們將解釋什么是SDN,并探索企業(yè)網(wǎng)絡(luò)和安全專業(yè)人士需要知道的網(wǎng)絡(luò)安全優(yōu)點和缺點。
SDN的定義
為了理解軟件定義網(wǎng)絡(luò)的安全優(yōu)點和缺點,讓我們首先快速了解一下這項技術(shù)。軟件定義網(wǎng)絡(luò)能夠從路由器和交換機中的控制平面分離出數(shù)據(jù)平面,這個控制平面原本是專有的,只有開發(fā)它們的供應(yīng)商知道,而在SDN中,控制平面將是開放的,并且受到集中控制,同時將命令和邏輯發(fā)送回硬件(路由器或交換機)的數(shù)據(jù)平面。
這提供了整個網(wǎng)絡(luò)的視圖,并且提供了集中更改的能力,而不需要在每個路由器或交換機上分別進行以設(shè)備為中心的配置更改。通過開放協(xié)議(例如OpenFlow標準)管理控制平面的能力,允許對網(wǎng)絡(luò)或設(shè)備做出精確的更改,這將幫助增加網(wǎng)絡(luò)的速度和安全性。
SDN安全優(yōu)勢
與其它技術(shù)一樣,新技術(shù)總會存在優(yōu)點和缺點,首先讓我們來看看軟件定義網(wǎng)絡(luò)的一些優(yōu)點:
• 擁有了自由移動的SDN網(wǎng)絡(luò)后,工程師將能夠通過快速且高水平地查看網(wǎng)絡(luò)的所有區(qū)域以及修改網(wǎng)絡(luò)來改變規(guī)則。
• 這種自由和控制還能為你的系統(tǒng)帶來更好的安全性。通過快速限制以及從中央視角查看網(wǎng)絡(luò)內(nèi)部的能力,管理人員可以有效地作出更改。例如,如果你的網(wǎng)絡(luò)中爆發(fā)了惡意軟件,通過SDN和OpenFlow,你將能夠迅速地從集中控制平面阻止這種流量來限制這種爆發(fā),而不需要訪問多個路由器或交換機。
• 快速對網(wǎng)絡(luò)作出調(diào)整的能力使管理人員能夠以更安全的方式來執(zhí)行流量整形和數(shù)據(jù)包QoS。這種能力現(xiàn)在已經(jīng)存在,但速度和效率不好,當管理人員在試圖保護網(wǎng)絡(luò)安全時,這將限制他們的能力。
SDN安全問題
對于創(chuàng)新的新技術(shù)而言,人們很容易忽略安全問題。讓我們看看在部署SDN時需要注意的幾個安全問題。大多數(shù)軟件定義網(wǎng)絡(luò)的安全問題主要圍繞控制器本身。控制器可以被認為是交換/路由的“大腦”,它允許來自每個系統(tǒng)的控制平面得到集中管理。
對于安全管理人員而言,SDN的最大挑戰(zhàn)是不惜一切代價地保護控制器。現(xiàn)在“大腦”已經(jīng)從路由器或交換機中取出,并使用新的控制器來替代,該設(shè)備需要通過以下步驟加強和保護:
• 一個很重要的安全問題是了解和審核誰訪問過控制器以及控制器在網(wǎng)絡(luò)中的位置。需要記住——訪問控制器可能讓攻擊者完全控制,因此,必須保護控制器的安全。
• 檢查控制器和終端節(jié)點(路由器或交換機)之間的安全性—特別是它們正在通過SSL通信來防止來自控制器的任何惡意訪問。正如其他任何技術(shù)一樣,如果沒有從一開始考慮安全性,那么你必須在稍后增加安全性,但這樣做往往更加困難且昂貴。
• 確保正確配置節(jié)點和控制器間的安全性。
• 確認控制器的高可用性。為控制器創(chuàng)造業(yè)務(wù)連續(xù)性是很重要的,因為如果控制器丟失的話,管理網(wǎng)絡(luò)的能力同樣也沒有了,SDN和OpenFlow的所有優(yōu)勢也將喪失。
• 確認系統(tǒng)的任何變化都進行了日志記錄。由于管理人員集中控制網(wǎng)絡(luò),應(yīng)該日志記錄每一個變化,并將其發(fā)送到公司的日志管理解決方案。
• 在部署SDN時,確保企業(yè)中可能阻止或記錄變化的SIEM、IPS及任何其他過濾技術(shù)進行了相應(yīng)的更新。同時,關(guān)聯(lián)來自SIEM的日志以提醒管理人員變化情況。通過SIEM跟蹤自定義事件(例如登錄失敗和政策變化)將確保系統(tǒng)的安全性。
確保IPS沒有將這種流量認為是惡意流量。在該過濾系統(tǒng)中配置相應(yīng)的規(guī)則以允許控制器在需要的時候與節(jié)點通信。
總之,軟件定義網(wǎng)絡(luò)是一種新興技術(shù),它通過為管理員提供企業(yè)網(wǎng)絡(luò)的完整試圖而允許細粒度安全性。然而,鑒于SDN控制器能夠集中管理網(wǎng)絡(luò)節(jié)點以向這些系統(tǒng)“推行”更改,我們非常有必要確保圍繞該系統(tǒng)的安全性。該系統(tǒng)是SDN的大腦,如果沒有部署適當?shù)陌踩胧W(wǎng)絡(luò)可能遭到惡意攻擊或者意外更改,這兩者都會讓網(wǎng)絡(luò)崩潰。現(xiàn)在企業(yè)應(yīng)該確保在SDN的設(shè)計、部署和管理過程中,安全是首要考慮因素。
京公網(wǎng)安備 11010502049343號