在技術行業，炒作是家常便飯，新興的軟件定義網絡技(SDN)術也難逃這一劫。然而對于軟件定義網絡，炒作內容是一定道理的：SDN能夠改變我們所知道的網絡安全格局。

在過去幾年中，軟件定義網絡已經從一個想法發展成為一個范例—大型網絡供應商不僅“擁抱”它，還將它作為其未來企業網絡管理的模型來談論。這項技術給網絡增加了更大的粒度、動態性和可管理性，但也帶來了其他問題，我們需要從安全角度來看這些問題。在這篇文章中，我們將解釋什么是SDN，并探索企業網絡和安全專業人士需要知道的網絡安全優點和缺點。

SDN的定義

為了理解軟件定義網絡的安全優點和缺點，讓我們首先快速了解一下這項技術。軟件定義網絡能夠從路由器和交換機中的控制平面分離出數據平面，這個控制平面原本是專有的，只有開發它們的供應商知道，而在SDN中，控制平面將是開放的，并且受到集中控制，同時將命令和邏輯發送回硬件(路由器或交換機)的數據平面。

這提供了整個網絡的視圖，并且提供了集中更改的能力，而不需要在每個路由器或交換機上分別進行以設備為中心的配置更改。通過開放協議(例如OpenFlow標準)管理控制平面的能力，允許對網絡或設備做出精確的更改，這將幫助增加網絡的速度和安全性。

SDN安全優勢

與其它技術一樣，新技術總會存在優點和缺點，首先讓我們來看看軟件定義網絡的一些優點：

• 擁有了自由移動的SDN網絡后，工程師將能夠通過快速且高水平地查看網絡的所有區域以及修改網絡來改變規則。

• 這種自由和控制還能為你的系統帶來更好的安全性。通過快速限制以及從中央視角查看網絡內部的能力，管理人員可以有效地作出更改。例如，如果你的網絡中爆發了惡意軟件，通過SDN和OpenFlow，你將能夠迅速地從集中控制平面阻止這種流量來限制這種爆發，而不需要訪問多個路由器或交換機。

• 快速對網絡作出調整的能力使管理人員能夠以更安全的方式來執行流量整形和數據包QoS。這種能力現在已經存在，但速度和效率不好，當管理人員在試圖保護網絡安全時，這將限制他們的能力。

SDN安全問題

對于創新的新技術而言，人們很容易忽略安全問題。讓我們看看在部署SDN時需要注意的幾個安全問題。大多數軟件定義網絡的安全問題主要圍繞控制器本身。控制器可以被認為是交換/路由的“大腦”，它允許來自每個系統的控制平面得到集中管理。

對于安全管理人員而言，SDN的最大挑戰是不惜一切代價地保護控制器。現在“大腦”已經從路由器或交換機中取出，并使用新的控制器來替代，該設備需要通過以下步驟加強和保護：

• 一個很重要的安全問題是了解和審核誰訪問過控制器以及控制器在網絡中的位置。需要記住——訪問控制器可能讓攻擊者完全控制，因此，必須保護控制器的安全。

• 檢查控制器和終端節點(路由器或交換機)之間的安全性—特別是它們正在通過SSL通信來防止來自控制器的任何惡意訪問。正如其他任何技術一樣，如果沒有從一開始考慮安全性，那么你必須在稍后增加安全性，但這樣做往往更加困難且昂貴。

• 確保正確配置節點和控制器間的安全性。

• 確認控制器的高可用性。為控制器創造業務連續性是很重要的，因為如果控制器丟失的話，管理網絡的能力同樣也沒有了，SDN和OpenFlow的所有優勢也將喪失。

• 確認系統的任何變化都進行了日志記錄。由于管理人員集中控制網絡，應該日志記錄每一個變化，并將其發送到公司的日志管理解決方案。

• 在部署SDN時，確保企業中可能阻止或記錄變化的SIEM、IPS及任何其他過濾技術進行了相應的更新。同時，關聯來自SIEM的日志以提醒管理人員變化情況。通過SIEM跟蹤自定義事件(例如登錄失敗和政策變化)將確保系統的安全性。

• 確保IPS沒有將這種流量認為是惡意流量。在該過濾系統中配置相應的規則以允許控制器在需要的時候與節點通信。

總之，軟件定義網絡是一種新興技術，它通過為管理員提供企業網絡的完整試圖而允許細粒度安全性。然而，鑒于SDN控制器能夠集中管理網絡節點以向這些系統“推行”更改，我們非常有必要確保圍繞該系統的安全性。該系統是SDN的大腦，如果沒有部署適當的安全措施，網絡可能遭到惡意攻擊或者意外更改，這兩者都會讓網絡崩潰。現在企業應該確保在SDN的設計、部署和管理過程中，安全是首要考慮因素。