軟件定義網(wǎng)絡(SDN)技術將網(wǎng)絡控制轉移到專用SDN控制器上,由它負責管理和控制虛擬網(wǎng)絡和物理網(wǎng)絡的所有功能。由于SDN安全策略實現(xiàn)了這種隔離和控制,所以它支持更深層次的數(shù)據(jù)包分析、網(wǎng)絡監(jiān)控和流量控制,對于防御網(wǎng)絡攻擊有很大幫助。
軟件定義監(jiān)控的興起
最近,微軟宣布了它在內(nèi)部使用了一種自行開發(fā)且基于OpenFlow的網(wǎng)絡分流聚合平臺(稱為分布式以太網(wǎng)監(jiān)控,DEMON)。這個工具可用于處理微軟云網(wǎng)絡的大規(guī)模流量。以前,其內(nèi)部的成千上萬個連接與網(wǎng)絡流已經(jīng)超出了傳統(tǒng)分流與捕捉機制(如SPAN或端口鏡像)的處理能力。
通過使用可編程的靈活交換機和其他網(wǎng)絡設備,讓它們作為數(shù)據(jù)包攔截和重定向平臺,安全團隊就可以檢測和防御目前的各種常見攻擊。許多行業(yè)將SDN驅動的安全分析技術稱為軟件定義監(jiān)控(SDM)。在SDM中,SDN交換機作為數(shù)據(jù)包分析設備,而控制器則作為監(jiān)控和分析設備。
使用SDN監(jiān)控安全性和分析數(shù)據(jù)包
首先,來自IBM、Juniper、惠普和Arista Networks等供應商的相對較便宜的消費類可編程SDN交換機,可用于取代較昂貴的數(shù)據(jù)包分析設備。與微軟的用例類似,大量的個人連接和數(shù)據(jù)流聚合到一起發(fā)送到多個安全數(shù)據(jù)包捕捉與分析平臺。第一層交換機可用于捕捉和轉發(fā)數(shù)據(jù)包,然后第二層(或者第三層)設備終止第一層的監(jiān)控端口。此外,這些交換機還可以聚集流量,將數(shù)據(jù)流和統(tǒng)計數(shù)據(jù)發(fā)送到其他監(jiān)控設備和平臺。
兼容OpenFlow(最好也兼容sFlow)的SDK控制器可用于編程實現(xiàn)和管理多種兼容SDN的交換機,如Big Switch控制器。同時,安全監(jiān)控堆疊軟件產(chǎn)品(Big Switch的Big Tap)可以幫助工程師編程實現(xiàn)更加細粒度的過濾和端口分配功能,從而在SDN交換機上模擬出傳統(tǒng)分流功能。
在這種環(huán)境中,多個層次的數(shù)據(jù)包分析工具可以從SDM端口接收流量。SDM端口可以連接各種硬件工具,如數(shù)據(jù)包分析設備和網(wǎng)絡偵測設備,也可以連接基于軟件的協(xié)議分析器,如Wireshark。
京公網(wǎng)安備 11010502049343號