最近網絡領域最流行的詞匯是軟件定義網絡。SDN是對數據層和控制層的一種解耦,允許用戶通過安裝在通用服務器上的軟件控制器來管理物理設備。
SDN為提供了許多有用的東西,為用戶帶來了不少好處。用戶不必去接觸每臺交換機和路由器,就可以利用SDN控制器通過OpenFlow標準與物理網絡設備的聯絡以加強執行政策。此外,用戶在理論上能夠使用任何具有OpenFlow功能的硬件設施,這意味著用戶不必從一家供應商那里購買其所需的所有網絡設備,而是可以選擇多家產品。
Check Point Fellow的資深行業專家Robert Hinden本周在RSA會議上發表演講,他提醒用戶在使用SDN技術之前,一定要注意SDN上可能會出現的一些安全風險。
Hinden指出,一旦你在這臺服務器上建立了集中的控制,那么你需要考慮到如果這臺服務器遭到攻擊的話會怎么樣?或者SDN控制器被黑客控制了該怎么辦?
從理論上說,黑客可以使網絡通訊直接繞過你的防火墻,然后向這個網絡嵌入惡意軟件,實施中間人攻擊或者向被攻破的節點發送網絡流量。
此外,網絡斷網或者出現故障時會出現什么事?目前還不清楚SDN控制器如何處理網絡斷網事故,或許需要重新路由網絡流量。
除了安全的擔心之外,Hinden還對SDN的可擴展性提出了質疑。他指出,傳統的路由和交換技術是基于目的地的,物理設備讀取標頭 (header)并且使用路由表向適當的目的地發送數據包。
但是,SDN是基于流量的。這是好的,因為它可以使所有的網絡管理員制定出精細的政策。另一方面,所有進入的流量都必須發送給網絡上的所有設備。Hinden認為,這其實很難處理。
另一方面,Hinden表示,談到SDN和安全其實也有些積極的意義。這個控制器能夠把安全政策推送到這個網絡上的所有的路由器和交換機上,為所有的流量創建一個統一的SDN安全態勢。例如,如果有一臺被攻破的主機,這個控制器能夠輕松地把這臺主機與網絡的其它部分隔離開來。
雖然目前仍然是SDN應用周期的最初階段,但是,Hinden建議,網絡和安全團隊需要合作,因為在SDN領域所有網絡工作人員都需要對安全負責。
京公網安備 11010502049343號