根據(jù)Gartner分析師表示，軟件定義網(wǎng)絡是一場變革，也是不可避免的趨勢，但SDN缺乏安全控制，并且現(xiàn)在糟糕的管理功能讓SDN給企業(yè)網(wǎng)絡安全帶來相當大的風險。

[[116256]]

在最近舉行的2014年Gartner公司安全和風險管理峰會上，該公司研究副總裁兼首席網(wǎng)絡安全分析師Greg Young詳細談論了軟件定義網(wǎng)絡(SDN)的安全隱患。

Young 將SDN描述為從轉發(fā)層分離網(wǎng)絡控制層的軟件技術，它通過將路由決策集中在SDN控制服務器中來虛擬化網(wǎng)絡。

Young表示，就安全性來講，SDN存在尚未解決的安全問題，這些問題包括各種產(chǎn)品中不成熟的安全功能以及SDN控制器單點故障帶來的風險。并且還有一個問題，在一些SDN協(xié)議中，安全只是可選項。

“從功能的角度來看，SDN很有用，”Young談到SDN時稱，“但它讓安全工作人員感到很恐慌。”

SDN安全缺陷

Young表示，很少有SDN供應商會投入大量精力在安全中，更糟糕的是，他們正試圖將該功能控制在其產(chǎn)品中，這讓他們沒有動力與第三方安全供應商協(xié)作來推出互操作性SDN安全產(chǎn)品。

Young補充說，如果沒有安全供應商的參與，我們不太可能會很快看到SDN的安全標準。

Young表示：“我們現(xiàn)在正處于SDN安全合作與協(xié)作的低谷期。”

Young還解釋了現(xiàn)在的SDN產(chǎn)品讓攻擊者的夢想成真。在SDN產(chǎn)品中，所有路由決策都在控制器中進行，因此，如果攻擊者可以攻擊控制器，就可以控制整個網(wǎng)絡。

根據(jù)Texas A&M大學最近進行的SDN攻擊研究表明，SDN技術不僅容易被攻擊者檢測，而且很容易受到資源密集型攻擊，例如拒絕服務攻擊。

“在高可用的網(wǎng)絡環(huán)境中，這些是最難抵御的攻擊，”Young表示，“企業(yè)將需要監(jiān)控這種類型的攻擊，無論是有意還是無意的，因為這是還沒有被經(jīng)常談論的事物。”

此外，Young詳細介紹了SDN配置和變更控制中與安全相關的問題。他表示，SDN產(chǎn)品具有自己的管理控制臺，通常無法與其他網(wǎng)絡和安全管理控制臺進行互操作，這給網(wǎng)絡安全管理流程增加了另一層復雜性。

同樣地，他補充說，我們可能很難管理和審計網(wǎng)絡配置變更，因為大量的用戶可能需要SDN配置的訪問權限。

“想想看有多少人可以訪問SDN配置，以及誰可以對網(wǎng)絡作出更改，”Young表示，“這會是一個更廣泛的社區(qū)，更多人需要使用控制臺，這也給攻擊和控制擴大了范圍。”

SDN安全：沒那么糟糕

Young承認說，SDN的某些方面還是有利于安全性，特別是其簡化的代碼庫。他表示，雖然大多數(shù)傳統(tǒng)網(wǎng)絡交換機具有多達3500萬行代碼，但他看過的SDN產(chǎn)品大多數(shù)都是基于Linux的簡裝版本，并且只有100-200萬，減少了攻擊者發(fā)現(xiàn)漏洞的機會。

SDN也可能是網(wǎng)絡安全政策管理的福音。因為SDN控制器可以作為部署政策的中央點，而不是像大多數(shù)網(wǎng)絡產(chǎn)品那樣，要求逐個設備的政策管理。

幸運的是，部署SDN并不意味著企業(yè)必須放棄其所有當前的網(wǎng)絡安全技術。Young表示，企業(yè)可以使用傳統(tǒng)防火墻來分隔SDN網(wǎng)絡，因為物理分隔降低了安全風險，并可能有助于加速SDN部署。

Young推薦了一些其他SDN安全最佳做法。首先是保護SDN控制器?，F(xiàn)在企業(yè)面臨著巨大的挑戰(zhàn)，因為目前并沒有用于這一目的的可行的產(chǎn)品，他表示，安全團隊應該考慮加密控制器和網(wǎng)絡交換機之間的通信。

這種做法仍然會讓SDN控制器容易受到拒絕服務和其他資源消耗型攻擊，因此，Young建議使用冗余網(wǎng)絡路徑強化控制器以幫助確保服務質量，同時，使用入侵防御系統(tǒng)、交換機之間的身份驗證，以及構建到控制器中基于主機的控制。

他還建議重新考慮網(wǎng)絡安全配置管理策略，因為SDN這樣的技術往往會強調現(xiàn)有的工作流程。

“你不能使用老派的工作流程和新派的架構，”Young表示，“你需要更改流程或者改變實施變更的方式。如果這違反了審計的政策，則必須進行修改。”

最后，盡管SDN給企業(yè)帶來了網(wǎng)絡安全挑戰(zhàn)，Young建議安全專家擁抱這項技術，因為SDN能夠讓他們有機會從一開始就將安全作為優(yōu)先事項，同時也能夠在設計和部署階段考慮安全因素。

“你可以成為數(shù)據(jù)中心團隊和網(wǎng)絡運營團隊之間技術通信的橋梁，”Young表示，“這是很好的事情。”