精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

現如今的企業可能正在掀起一股部署實施軟件定義網絡（SDN）的趨勢，但是，企業必須確保其從一開始就是安全的。

SDN仍處于其早期采用階段，當然其發展成長的勢頭不可阻擋。根據Gartner公司在2014年六月發布的SDN調研報告顯示，只有4%的企業機構正處在部署該技術的過程中，但也有其他的研究表明，許多企業均熱衷于采用該技術。

而根據Infonetics Research發表的《關于2014年SDN策略：北美企業調查報告》發現，45%的企業將會在2015年在其數據中心生產環境實現SDN的部署，這一數據到2016年還將上升到87%.

盡管其新生的狀態，但SDN正在迅速地受到越來越多企業的青睞。鑒于這一趨勢的迅猛發展，在本文中，我們將為廣大讀者介紹企業如何以最為安全的方式部署SDN？

選擇最佳的技能組合

Riverbed科技公司高級產品營銷經理Brent Lees表示說，部署實施SDN技術尚在起步階段，因而存在相當的技術安全風險。企業所面臨的最大挑戰之一如何確保安裝必要的技術，使得漏洞不會被惡意攻擊利用。

“學習一種完全不同的安全架構本身就是一項十分艱巨的挑戰。”他說。“此外，相同的開放接口和已知的SDN協議，簡化了網絡編程，也為攻擊者提供了機會。”

向量攻擊

其是控制面板從轉發面板的分離，可以證明企業使用SDN架構的安全問題。架構分為三個層次：應用層，控制層和基礎設施層，后者包括應用程序和服務配置、以及SDN基礎設施請求SDN.所有這三層均可以被向量攻擊（attackvector），而該問題通過技術所帶來的額外的復雜性程度的增加而進一步加劇。

“SDN完全徹底的改變了安全模式，” Exponential-e公司的技術專家史蒂芬。哈里森表示說。 “更糟的是，由于許多SDN技術依賴于新的覆蓋和封裝技術，使得我們現有的許多安全工具不能真正檢查和了解SDN流量。

“就像虛擬化使得服務器的安全性變得既更為安全也更為不安全一樣：更安全是因為抽象層，更不安全是因為您不再需要物理訪問，我們現在已然看到這種模式在SDN上重演了。”

如果SDN基礎設施的部署無視安全，企業就難免會受到攻擊。讓我們來看看每一層如何會被攻擊以及如何最好地采取保護措施把。

數據層（南向）

一些南向API和協議被控制器用來網絡上溝通，如OpenFlow（OF），OpenvSwitch數據庫管理協議（OVSDB），思科onePK，應用中心基礎設施（ACI），等等。

上述每種協議都有自己的方式確保通信，但這些都是新的，可能沒有充分考慮過安全性。

使用API來創建更加用戶友好的管理界面的能力，增加了網絡基礎設施的攻擊面，因為安全不再局限于網絡設備供應商，MWR InfoSecurity的高級安全研究員和顧問David Chismon說。

“你的網絡的安全性可能會由于不安全的執行管理應用程序而受挫。”他說。

這可以讓攻擊者很容易地添加自己的流到flow table，并欺騙原本在網絡上不允許的流量。

保護數據層

SDN系統通常使用通用的基于x86的系統和TLS以加強控制面板的安全，但長期而言，會使數據面板易于受到攻擊。

“控制協議流量應從主要數據流分離，或者通過網絡安全措施或一個帶外網絡。” Chismon說。“企業選擇控制器的時候應注重安全選項的可用性因素（如SSL）。”

使用TLS（需要SSL）來驗證控制器和終端將有助于防止竊聽、偽造南向連接通信。

控制層

SDN控制器也是黑客們感興趣的攻擊目標。“強大的中央集中式的SDN模型，即SDN控制器，也代表一個單點故障和高價值的攻擊目標。”Wedge Networks（穩捷網絡）首席執行官兼云以太網論壇安全倡議聯合主席張鴻文表示說。

“如果他們可以妥協的話，他們就可以開始直接影響到網絡上的流量。”

Juniper網絡營銷服務提供商的負責人David Noguer Bau表示說，網絡組件現已從控制器向命令開放，這可能是應對網絡罪犯的方式。

“潛在的攻擊者可以嘗試控制網絡，假裝是一個SDN控制器或剛剛突破到控制器本身。”他說。“還有一些新類型的DDoS攻擊，試圖通過找到自動化的進程占用大量的CPU周期，利用SDN基礎設施潛在的縮放限制。”

保護控制層

為強化面向公眾的Linux服務器安全的最佳方案，可以適用于這種情況，Chismon說。但是，企業可能還是需要監督控制器的可疑活動。

對于SDN控制網絡的訪問應被控制，以防止發生未經授權的活動。管理員被建議建立基于角色的訪問控制（RBAC）政策，以及審計跟蹤，以查看未經授權的針對控制器的更改。

高可用性控制器架構可以在一定程度上通過使用冗余控制器，以彌補其他控制器的損失減輕DDoS攻擊。

Fortinet公司SDN安全專家Ronen Shpirer表示：“在網絡的集中決策點，首要關鍵點是要確保架構內的SDN控制器的安全。強大的訪問控制是必需的，沿著信任區域分割。DDoS防護，防病毒和其他威脅的預防、以及緩解技術都是必須的。”

應用程序層（北向）

北向的協議和API也是攻擊目標，其中有許多來自黑客。這些API使用Java，JSON和Python等等，并且攻擊者可以通過利用任何漏洞獲得對SDN的基礎設施的控制權。因此，北向的API安全是必須的，否則，SDN管理政策可以被攻擊者創建，以便采取控制。

在這樣的API上只使用默認密碼將使得黑客能夠輕易猜到密碼，然后創建數據包轉發到控制器的管理界面，以確定該SDN網絡的結構，甚至建立他們自己的網絡。

“最常見的挑戰是確保有一個地方，以免受黑客攻擊驗證應用程序的訪問控制平面和防止這種身份驗證的應用程序的機制，”Riverbed的Lees說。

保護應用層

使用TLS或SSH以確保北向通信的安全被認為是最佳做法。另一種用來幫助實現這一目的方式是確保北向應用程序的代碼安全。這也意味著認證和加密方法應該被部署在所有應用程序和服務請求SDN服務和數據，以及服務于這些請求的所有控制器之間。

Extreme Networks公司解決方案架構和創新的副總裁Markus Nispel說：“最終用戶應該利用相關的SDN功能，以引入新的安全功能，集成到無處不在的網絡。他們應該在保護控制器；以及控制器和應用程序之間的通信的北向API側的的安全配置給予更多的關注。”

SDN是否可以提高安全性？

一些分析師認為，SDN非但不會造成安全問題，反而有助于提升整個企業的安全。

“這些解決方案的安全性在實質上是有重大改善的，因為有了這些覆蓋方案，使得定義一個虛擬的網絡架構，以準確反映應用程序的邏輯結構，讓所有的應用程序快均反映到一個虛擬網絡成為可能。” 451研究所的研究總監彼得?？死锼沟俦硎?。

有了這些虛擬的網絡，各部分之間的合適與不合適的通信可以清楚的定義，而私人網絡與其他網絡通信的規則也能夠被精確的定義和明確的規則。“而這些在傳統的網絡架構都是不可能實現的。”克里斯蒂說。

預計未來的可能威脅

想要精確的預測黑客將如何以SDN為目標進行攻擊是很難的。畢竟，SDN基礎設施的部署仍然很新，其控制器和協議也是如此。我們只能猜測攻擊者會如何攻擊。利用相關的安全測試，我們只有把自己放在網絡犯罪的環境下，才可以看到其中的漏洞存在于哪些位置。

隨著企業開始掌握相關的部署技術，從一開始就充分考慮到SDN的安全是非常重要的。如果在SDN部署完成事后才這樣做，北向和南向的流量容易造成各處所提供的服務的問？？題。因此把事情從一開始就處理好就會幫助企業避免后續發展中的許多問題。