SDN已經逐漸應用于一些超大型企業,因為這種類型的企業需要不惜任何代價來獲取高性能,但是,在其它普通的大中型企業中,情況就不一樣了。
雖然廠商正在積極生產SDN,但是分析師預測,到2016年之前SDN不會被正式采納,大多數企業的網絡工程師都表示,他們還不準備投資SDN,因為它還有幾個關鍵問題沒有解決。
受訪的IT負責人對于SDN的顧慮也不盡相同,有的認為其削弱了安全性,有的則認為是缺乏SDN標準,不管是因為什么原因,都導致他們不建議企業現在投資SDN,至少在短期內是這樣。
顧慮一:安全和監控性能
IT管理人員首先也是最擔心的,就是當SDN堆棧同時遇到虛擬機管理程序和物理基礎設施時的安全監控問題。
Biotechnology Center of Oslo的高級系統工程師George Magklaras表示:“在SDN應用于關鍵任務和安全環境之前,廠商需要努力研究SDN軟件堆棧是如何與云環境和虛擬層中的虛擬機管理程序聯系的。”
如今,當IT管理人員使用Juniper公司的設備向網絡路徑發送一系列字節時,會進行靜態檢查,這樣可以防止攻擊者運行惡意軟件來創建信息漏洞。“但是,使用云堆棧和虛擬機管理程序時,就不是這樣了。” Magklaras表示。
SDN環境下,IDS/IPS有用嗎?
Magklaras也是Steelcyber Scientific安全咨詢公司的首席顧問,他曾在該公司對一個大型金融機構實施了一個SDN試點,只是為了證明其安全性能會受到影響,尤其是遇到IDS/IPS(入侵檢測系統/入侵防御系統)。
Magklaras的團隊在思科和惠普硬件配置的環境中放置了一個基于OpenDaylight的SDN控制器。Magklaras說:“我們的責任是監督這60個VLAN利用OpenStack私有云模式向OpenDayLight控制器遷移。”
Magklaras表示,問題出現在對入站和出站IDS/IPS系統的網絡監控上。IDS/IPS是通過竊聽一組端口或一個特定端口來復制整個用來竊聽的VLAN或網絡分段的流量。傳統的交換機硬件和軟件會復制這個流量,然后再把它提供給IDS/IPS系統。相反,SDN是利用虛擬機管理程序和通用OS程序來復制該流量的。
Magklaras說:“我們對IDS/IPS系統所進行的各種測試表明,SDN可能會丟失大約25%到30%的攻擊事件。我們認為導致這種結果的原因是SDN軟件堆棧在復制端口流量時比較慢,同時會損失以太網幀或流量。”
MAC地址追蹤問題
Magklaras的團隊還發現在追蹤連接到有線和無線網絡的設備的MAC地址有問題。Magklaras說:“根據在SDN軟件中的故障而記錄的MAC地址并不正確。SDN軟件在網段較擁擠的情況下會丟棄MAC地址(由于PXE引導問題),SDN甚至會破壞其軟件注冊表中的MAC地址。”
虛擬機管理程序安全弱點
在測試過程中,Magklaras還發現,在某些情況下,攻擊者甚至可以看到本不應該暴漏的網絡流量。
他解釋說,一旦虛擬機管理程序的安全被攻破了,未授權的用戶就可以利用root管理權限來進入VLAN。
包括VMware在內的很多企業都在努力解決安全問題,但是,這個漏洞仍然存在,Magklaras解釋說。這也是為什么我們不向金融機構和其他客戶推薦SDN堆棧的原因。其實我們知道SDN最終會幫助企業節省成本,而且這也是一條必經之路,但是對于現在,我們必須謹慎。
顧慮二:自動化和DevOps工作
關于SDN比較吸引人的地方是它可以把基于策略的流量決策轉為基于源或目標的集中控制點。
但是,SDN還可以實現自動化和動態配置,這是網絡專業人士非常顧慮的問題。具體來說就是,網絡工程師希望可以利用SDN來進行DevOps,并且利用可以自動關閉客戶服務的機器來創建一個可以將異構廠商的硬件聯系在一起的框架。所以,在SDN被證明可以完全實現之前,他們不太可能會投資SDN,Christian Teeft這樣表示,他是云提供商Latisys公司的CTO。
Teeft說:“Latisys公司已經利用Arista網絡的性能做了一些前期的編排和自動化配置。很多企業不這樣做是因為他們缺乏DevOps資源來把他們現有的配置系統提升到這個水平。”
顧慮三:不熟悉
網絡專業人員閱讀了大量的關于SDN的優勢的資料,但是卻從來沒有看到過實際的動態基礎架構。同時,他們現有的環境已經可以了,工程師也建立了完成各種網絡任務的方法。那些方法可能很耗時,但確實可以解決問題。
Magklaras說:“現在,網絡工程師需要利用SDN來做他們以前利用熟悉的硬件和軟件所做的同樣的事情。”
所以,在他們熟練掌握SDN技術并在SDN可以實現他們的個性化需求工作之前,網絡專業人員是不會投資SDN的。
Force3的客戶解決方案副總裁Jason Parry說:“我們的網絡工程師需要真正了解SDN是如何滿足他們的客戶的特定需求。” Jason Parry曾經還是SafeNet公司的網絡工程部經理。
他還說:“SDN還很新。它也許會改變我們部署、管理、支持以及配置網絡的方式。SDN可以實現的是網絡自動化、業務流程和效率的提升。我們的網絡工程師需要看到SDN在引領這種‘時尚’中真正的價值。”
顧慮四:SDN和相關技能沒有標準化
網絡工程師如果想深入了解SDN,他們需要新的技能,但是他們不知道從哪里開始,因為目前我們并不知道哪種SDN策略會奏效。
Parry說:“網絡工程師最想知道的是SDN是如何影響他們現有的技能的。”
工程師們希望看到實現SDN的一些標準,這樣他們就能知道如何鏈接到一個清晰的技能集,然后他們就知道如何適應SDN 了。兩年前,人們還認為OpenFlow是SDN的核心,但是現在對于很多廠商和行業組織來說,OpenFlow已經“失寵”了。
Parry表示,從這一點來說,工程師多少也要對SDN有所了解,包括OpenFlow。
顧慮五:CIO們還沒有做好準備
無論網絡專業人員和IT管理人員如何喜歡SDN和它的優勢,他們還是要在投資之前說服他們的上級領導,但并不容易。
一家知名國際酒店的信息安全經理Ben Rothke表示:“目前SDN還沒有普及,這是因為它需要大量時間、金錢和硬件支持。觸及到這一長期遠景,很多CIO們還沒有做好準備。”
SDN是一個巨大的基礎設施重組工作。他說:“很多CIO們根本沒有時間、人員和資金來支持它。”他還表示,它給人一種處理“另一種網絡方法”的感覺,這會嚇退很多人。
如果有很多實際可用的SDN使用案例,這個技術也許就會更好賣一些。
“SDN被定義為新興的架構。這里的關鍵詞是新興。也就是說它正在發展、趨向成熟,但是卻沒有大量的成功案例。” Rothke表示。
Rothke表示,當很多同行告訴他SDN可行的時候再考慮SDN投資,感覺可能會更放心一點。
他說:“我不需要企業白皮書、網絡座談會或者研討會之類的。如果我們的同事和同行因為SDN而爭論起來,這也是了解該技術比較不錯的一種方式。”
京公網安備 11010502049343號