SDN能解決很多問題，但不包括安全

随着數字化企業努力尋求最佳安全解決方案來保護其不斷擴張的網絡，很多企業正在尋求提供互操作性功能的下一代工具。

軟體定義網絡(sdn)具有很多的優勢，通過将多個裝置的控制平面整合到單個控制器中，該控制器将成為整個網絡中的決策者，實作集中控制。但是開發人員在建構sdn産品時仍然沒有安全保證，是以sdn中存在可能危及企業安全的弱點。

羅馬sapienza大學博士生fabio de gaspari表示：“sdn相關的主要風險是控制平面的妥協以及控制平面潛在的可擴充性問題。”

控制平面的實作方式決定了其脆弱性，但是如果攻擊者能夠通路控制器，那麼攻擊者造成的災難範圍就擴大到對整個網絡的完全控制，在多控制器sdn中有很高的安全風險，其中非妥協控制器(non compromised controllers)可以檢測和減輕受損的控制器。

一般來說，主要的安全風險來自裝置配置不良或不正确，這不僅是sdn中面臨的問題。盡管安全方面存在差距，但sdn仍然是現代網絡問題的新興替代解決方案。 hellfire security的網絡安全行動gregory pickett表示，sdn帶來了很多好處。

gregory pickett表示：“sdn能夠改變提供商幾十年來的營運方式，如使用者出口選擇等，通過基于可信任路由選擇增強的bgp安全性、更快的路由收斂和ixp的粒度對等操作。”

pickett在black hat 2015示範文稿“濫用軟體定義網絡”中表示，sdn提供了讓網絡能夠自動應對威脅的能力，但sdn仍然有很多安全漏洞。pickett說：“人們在釋出産品之前并不關注安全漏洞，他們還沒有認真對待安全問題。”

pickett認為，安全性仍然是sdn的挑戰的一個原因是，軟體定義網絡實際上并沒有明确的定義。他說：“我的印象是，這個概念至今不明确，你的sdn可能不是我的sdn，而根據提供商的不同，sdn的各種版本也各不相同。提供商以适應其産品線的方式定義了sdn，現在的情況是産品線不是在向sdn的方向發展，而sdn的定義在向産品線發展。”

諷刺的是進階首席分析師jon oltsik表示，sdn本應該為網絡帶來一緻性，但是sdn本身具有很大的歧義，因為企業正在圍繞sdn進行戰略規劃，他們需要讓安全團隊參與其中。oltsik表示安全從業者是能夠識别和降低風險的人員，他說：“安全從業者可以在技術、實施或操作中找出風險，并降低這些風險。”

雖然sdn不是新發展出來的，但是由于新設計了很多協定，使得它與新技術非常相似。oltsik表示：“我們還沒有動搖所有的bug，就已經發生了很大的創新，但并不像現有技術那樣穩定。”

oltenik表示軟體正在迅速變化，但是相關的sdn領域的安全專家并不多。他說：“這是由一個想要簡化網絡團隊或資料中心營運團隊建立的，他們正在試圖通過軟體來實作這一目标，但他們不是安全專家。”擁有控制網絡的現代手段的願望引發了新一輪的網絡管理工具，但新産品面臨的安全風險并沒有減輕。

scaleft聯合創始人兼cto abc paul querna表示：“安全風險與網絡中的風險并沒有什麼不同，目前攻擊者已經知道如何在sdn領域中通路網絡，對于較弱的攻擊者來說，sdn相對安全，因為它們可以更容易地實作路由功能。”

然而，風險根據所使用的sdn技術而有所不同。querna表示：“如果您正在部署sdn，則需要注意交換機，以及如何在硬體中實作這些規則。”

卡巴斯基實驗室的解決方案業務主管，資料中心和虛拟化安全解決方案業務主管vitaly mzokov表示：“無論組織是否擁有sdn，他們的安全政策都應該繼承多層網絡安全來保護企業環境。組織不得不預測網絡犯罪分子将如何攻擊公司的基礎設施，以及他們可能使用的攻擊載體，然後開始設計合适的it環境，并配置網絡和防火牆政策。”

但現代網絡犯罪分子已經學會了靈活性是成功的關鍵。随着技術的發展，他們必須近乎實時地改變他們的攻擊戰術。較新的網絡威脅很難識别，因為業界對這些威脅的了解較少，難以用老式的安全解決方案進行檢測。mzokov說：“sdn使得企業更快地重新配置環境，并且還可以将微分段引入其中。”

mzokov表示：“如果沒有适當的內建或與惡意軟體解決方案的互操作性，任何sdn技術都隻是人們利用不足的工具。組織應該從安全角度簡單地讓sdn知道虛拟機内部正在發生的事情，他們将看到更多的内容、更高效的sdn營運。”

傳統保護控制器的手段仍然可以應用于保護軟體定義網絡的安全，但仍然需要全新的方式去實作sdn的安全。

作者：佚名

來源：51cto