SDN已經(jīng)逐漸應(yīng)用于一些超大型企業(yè),因?yàn)檫@種類型的企業(yè)需要不惜任何代價(jià)來獲取高性能,但是,在其它普通的大中型企業(yè)中,情況就不一樣了。
雖然廠商正在積極生產(chǎn)SDN,但是分析師預(yù)測,到2016年之前SDN不會被正式采納,大多數(shù)企業(yè)的網(wǎng)絡(luò)工程師都表示,他們還不準(zhǔn)備投資SDN,因?yàn)樗€有幾個(gè)關(guān)鍵問題沒有解決。
受訪的IT負(fù)責(zé)人對于SDN的顧慮也不盡相同,有的認(rèn)為其削弱了安全性,有的則認(rèn)為是缺乏SDN標(biāo)準(zhǔn),不管是因?yàn)槭裁丛颍紝?dǎo)致他們不建議企業(yè)現(xiàn)在投資SDN,至少在短期內(nèi)是這樣。
顧慮一:安全和監(jiān)控性能IT管理人員首先也是最擔(dān)心的,就是當(dāng)SDN堆棧同時(shí)遇到虛擬機(jī)管理程序和物理基礎(chǔ)設(shè)施時(shí)的安全監(jiān)控問題。
Biotechnology Center of Oslo的高級系統(tǒng)工程師George Magklaras表示:“在SDN應(yīng)用于關(guān)鍵任務(wù)和安全環(huán)境之前,廠商需要努力研究SDN軟件堆棧是如何與云環(huán)境和虛擬層中的虛擬機(jī)管理程序聯(lián)系的。”
如今,當(dāng)IT管理人員使用Juniper公司的設(shè)備向網(wǎng)絡(luò)路徑發(fā)送一系列字節(jié)時(shí),會進(jìn)行靜態(tài)檢查,這樣可以防止攻擊者運(yùn)行惡意軟件來創(chuàng)建信息漏洞。“但是,使用云堆棧和虛擬機(jī)管理程序時(shí),就不是這樣了。” Magklaras表示。
SDN環(huán)境下,IDS/IPS有用嗎?
Magklaras也是Steelcyber Scientific安全咨詢公司的首席顧問,他曾在該公司對一個(gè)大型金融機(jī)構(gòu)實(shí)施了一個(gè)SDN試點(diǎn),只是為了證明其安全性能會受到影響,尤其是遇到IDS/IPS(入侵檢測系統(tǒng)/入侵防御系統(tǒng))。
Magklaras的團(tuán)隊(duì)在思科和惠普硬件配置的環(huán)境中放置了一個(gè)基于OpenDaylight的SDN控制器。Magklaras說:“我們的責(zé)任是監(jiān)督這60個(gè)VLAN利用OpenStack私有云模式向OpenDayLight控制器遷移。”
Magklaras表示,問題出現(xiàn)在對入站和出站IDS/IPS系統(tǒng)的網(wǎng)絡(luò)監(jiān)控上。IDS/IPS是通過竊聽一組端口或一個(gè)特定端口來復(fù)制整個(gè)用來竊聽的VLAN或網(wǎng)絡(luò)分段的流量。傳統(tǒng)的交換機(jī)硬件和軟件會復(fù)制這個(gè)流量,然后再把它提供給IDS/IPS系統(tǒng)。相反,SDN是利用虛擬機(jī)管理程序和通用OS程序來復(fù)制該流量的。
Magklaras說:“我們對IDS/IPS系統(tǒng)所進(jìn)行的各種測試表明,SDN可能會丟失大約25%到30%的攻擊事件。我們認(rèn)為導(dǎo)致這種結(jié)果的原因是SDN軟件堆棧在復(fù)制端口流量時(shí)比較慢,同時(shí)會損失以太網(wǎng)幀或流量。”
MAC地址追蹤問題
Magklaras的團(tuán)隊(duì)還發(fā)現(xiàn)在追蹤連接到有線和無線網(wǎng)絡(luò)的設(shè)備的MAC地址有問題。Magklaras說:“根據(jù)在SDN軟件中的故障而記錄的MAC地址并不正確。SDN軟件在網(wǎng)段較擁擠的情況下會丟棄MAC地址(由于PXE引導(dǎo)問題),SDN甚至?xí)茐钠滠浖员碇械腗AC地址。”
虛擬機(jī)管理程序安全弱點(diǎn)
在測試過程中,Magklaras還發(fā)現(xiàn),在某些情況下,攻擊者甚至可以看到本不應(yīng)該暴漏的網(wǎng)絡(luò)流量。
他解釋說,一旦虛擬機(jī)管理程序的安全被攻破了,未授權(quán)的用戶就可以利用root管理權(quán)限來進(jìn)入VLAN。
包括VMware在內(nèi)的很多企業(yè)都在努力解決安全問題,但是,這個(gè)漏洞仍然存在,Magklaras解釋說。這也是為什么我們不向金融機(jī)構(gòu)和其他客戶推薦SDN堆棧的原因。其實(shí)我們知道SDN最終會幫助企業(yè)節(jié)省成本,而且這也是一條必經(jīng)之路。
京公網(wǎng)安備 11010502049343號