《企業(yè)網(wǎng)D1Net》1月21日訊
在虛擬化領(lǐng)域,SDN一直是業(yè)界關(guān)注的焦點,隨著SDN的發(fā)展,SDN受到的關(guān)注更加廣泛,SDN在創(chuàng)立之初就受到了全球矚目并發(fā)展迅速,SDN的發(fā)展壯大帶來網(wǎng)絡(luò)產(chǎn)業(yè)格局重大調(diào)整的同時,也勢必會波及到網(wǎng)絡(luò)安全設(shè)備行業(yè)。
回到虛擬化,它給數(shù)據(jù)中心和企業(yè)網(wǎng)絡(luò)帶來了新的問題和挑戰(zhàn)。一方面,傳統(tǒng)的安全產(chǎn)品和安全解決方案無法解決在虛擬化后出現(xiàn)新的網(wǎng)絡(luò)安全問題;另一方面,網(wǎng)絡(luò)虛擬化自身也面臨一些安全問題。網(wǎng)絡(luò)在虛擬化后主要面臨的問題有:
物理安全設(shè)備存在觀測死角
虛擬機與外界存在數(shù)據(jù)交換,在虛擬化環(huán)境中的數(shù)據(jù)流有兩類,即跨物理主機的VM 數(shù)據(jù)流和同一物理主機內(nèi)部的VM 數(shù)據(jù)流。前者一般通過隧道或VLAN 等模式進行傳輸,現(xiàn)有的IDS/IPS 等安全設(shè)備需要在所有的傳輸路徑上進行監(jiān)控,后者只經(jīng)過物理主機中的虛擬交換機,無法被實體的安全設(shè)備監(jiān)控到,成為整個安全系統(tǒng)的死角。攻擊者可以在內(nèi)部虛擬網(wǎng)絡(luò)中發(fā)動任何攻擊,而不會被安全設(shè)備所察覺。
虛擬網(wǎng)絡(luò)的數(shù)據(jù)流難以理解
雖然安全設(shè)備無法獲得物理主機內(nèi)部的VM 間的數(shù)據(jù)包,但可以獲取跨物理主機間VM 的數(shù)據(jù)流。盡管如此,傳統(tǒng)的安全設(shè)備還是不能理解這些數(shù)據(jù)流,也就無法應(yīng)用正確的安全策略。例如,兩個租戶分別在兩臺物理主機上租用了一臺虛擬機,當租戶A從VM1向VM3發(fā)數(shù)據(jù)包時,防火墻能接收到物理主機1到物理主機2的數(shù)據(jù)包,但不知道到底是租戶A還是租戶B的程序在發(fā)送數(shù)據(jù)包,也不知道是哪兩臺VM在通信。此外,很多虛擬機之間的數(shù)據(jù)包是經(jīng)過GRE隧道傳輸?shù)模詡鹘y(tǒng)的網(wǎng)絡(luò)安全設(shè)施可能不能解析這些封裝后的數(shù)據(jù)流。
安全策略難以遷移
虛擬化解決方案的重要優(yōu)點是彈性和快速,例如當VM從一臺物理主機無縫快速地遷移到另一臺物理主機時,或當增加或刪除VM時,網(wǎng)絡(luò)虛擬化管理工具可快速調(diào)整網(wǎng)絡(luò)拓撲,在舊物理網(wǎng)絡(luò)中刪除VM 的網(wǎng)絡(luò)資源(地址、路由策略等),并在新的物理網(wǎng)絡(luò)中分配VM的網(wǎng)絡(luò)資源。相應(yīng)地,安全解決方案也應(yīng)將原網(wǎng)絡(luò)設(shè)備和安全設(shè)備的安全控制(ACL和QoS)跟隨遷移,然而現(xiàn)有安全產(chǎn)品缺乏對安全策略遷移的支持,導(dǎo)致安全邊界不能適應(yīng)虛擬網(wǎng)絡(luò)的變化。
網(wǎng)絡(luò)流量不可見
在傳統(tǒng)網(wǎng)絡(luò)中,所有數(shù)據(jù)包經(jīng)由交換或路由設(shè)備,這些設(shè)備可以感知并學(xué)習(xí)當前環(huán)境的數(shù)據(jù)流量,可以針對目前的網(wǎng)絡(luò)狀況動態(tài)調(diào)整路由策略。但基于OpenFlow的SDN架構(gòu)中的網(wǎng)絡(luò)控制器只
會收到底層設(shè)備發(fā)來的部分數(shù)據(jù)包,并不了解控制域中大部分直接被轉(zhuǎn)發(fā)的數(shù)據(jù)流具體內(nèi)容。
控制器的單點失效
除了傳統(tǒng)網(wǎng)絡(luò)升級到SDN后網(wǎng)絡(luò)層的新問題外,SDN本身也會存在漏洞,特別是復(fù)雜的SDN的控制器。數(shù)據(jù)平面和控制平面的分離主要是由控制器實現(xiàn)的,所以控制器就成為網(wǎng)絡(luò)虛擬化的最重要的設(shè)施。
然而控制器需要應(yīng)對各種動態(tài)的網(wǎng)絡(luò)拓撲,解析各種類型的數(shù)據(jù)包,接收上層應(yīng)用的信息,并控制底層網(wǎng)絡(luò)設(shè)備的行為,所以功能實現(xiàn)將會非常復(fù)雜,也就可能存在不少漏洞。當攻擊者攻破控制器,就可以向所有的網(wǎng)絡(luò)設(shè)施發(fā)送指令,很容易癱瘓整個網(wǎng)絡(luò);或?qū)⒛承?shù)據(jù)流重定向到惡意VM,造成敏感信息的泄露。
所以,針對傳統(tǒng)安全產(chǎn)品對內(nèi)部網(wǎng)絡(luò)不可見的缺點,安全廠商需推出支持虛擬化的安全產(chǎn)品,這些安全產(chǎn)品以軟件的形式存在,并兼容主流的虛擬化解決方案,可監(jiān)控內(nèi)部虛擬網(wǎng)絡(luò)中的數(shù)據(jù)流。
D1Net評論:
網(wǎng)絡(luò)虛擬化的進行,必須要有配套的安全產(chǎn)品作為輔助,才能順利完成,對于企業(yè)而言,要想達到真正的軟件定義安全,就需要在保護現(xiàn)有和新增設(shè)備以及內(nèi)部虛擬網(wǎng)絡(luò)的基礎(chǔ)上,深刻理解SDN的工作模式,提出松耦合但與之匹配的安全架構(gòu),設(shè)計網(wǎng)絡(luò)控制器和安全控制器聯(lián)動的安全機制,建立基于環(huán)境的數(shù)據(jù)傳輸決策模型。
京公網(wǎng)安備 11010502049343號