【IT168 资讯】在技术行业,炒作是家常便饭,新兴的软件定义网络技(SDN)术也难逃这一劫。然而对于软件定义网络,炒作内容是一定道理的:SDN能够改变我们所知道的网络安全格局。
在过去几年中,软件定义网络已经从一个想法发展成为一个范例—大型网络供应商不仅“拥抱”它,还将它作为其未来企业网络管理的模型来谈论。这项技术给网络增加了更大的粒度、动态性和可管理性,但也带来了其他问题,我们需要从安全角度来看这些问题。在这篇文章中,我们将解释什么是SDN,并探索企业网络和安全专业人士需要知道的网络安全优点和缺点。
SDN的定义
为了理解软件定义网络的安全优点和缺点,让我们首先快速了解一下这项技术。软件定义网络能够从路由器和交换机中的控制平面分离出数据平面,这个控制平面原本是专有的,只有开发它们的供应商知道,而在SDN中,控制平面将是开放的,并且受到集中控制,同时将命令和逻辑发送回硬件(路由器或交换机)的数据平面。
这提供了整个网络的视图,并且提供了集中更改的能力,而不需要在每个路由器或交换机上分别进行以设备为中心的配置更改。通过开放协议(例如OpenFlow标准)管理控制平面的能力,允许对网络或设备做出精确的更改,这将帮助增加网络的速度和安全性。
SDN安全优势
与其它技术一样,新技术总会存在优点和缺点,首先让我们来看看软件定义网络的一些优点:
• 拥有了自由移动的SDN网络后,工程师将能够通过快速且高水平地查看网络的所有区域以及修改网络来改变规则。
• 这种自由和控制还能为你的系统带来更好的安全性。通过快速限制以及从中央视角查看网络内部的能力,管理人员可以有效地作出更改。例如,如果你的网络中爆发了恶意软件,通过SDN和OpenFlow,你将能够迅速地从集中控制平面阻止这种流量来限制这种爆发,而不需要访问多个路由器或交换机。
• 快速对网络作出调整的能力使管理人员能够以更安全的方式来执行流量整形和数据包QoS。这种能力现在已经存在,但速度和效率不好,当管理人员在试图保护网络安全时,这将限制他们的能力。
SDN安全问题
对于创新的新技术而言,人们很容易忽略安全问题。让我们看看在部署SDN时需要注意的几个安全问题。大多数软件定义网络的安全问题主要围绕控制器本身。控制器可以被认为是交换/路由的“大脑”,它允许来自每个系统的控制平面得到集中管理。
对于安全管理人员而言,SDN的最大挑战是不惜一切代价地保护控制器。现在“大脑”已经从路由器或交换机中取出,并使用新的控制器来替代,该设备需要通过以下步骤加强和保护:
• 一个很重要的安全问题是了解和审核谁访问过控制器以及控制器在网络中的位置。需要记住——访问控制器可能让攻击者完全控制,因此,必须保护控制器的安全。
• 检查控制器和终端节点(路由器或交换机)之间的安全性—特别是它们正在通过SSL通信来防止来自控制器的任何恶意访问。正如其他任何技术一样,如果没有从一开始考虑安全性,那么你必须在稍后增加安全性,但这样做往往更加困难且昂贵。
• 确保正确配置节点和控制器间的安全性。
• 确认控制器的高可用性。为控制器创造业务连续性是很重要的,因为如果控制器丢失的话,管理网络的能力同样也没有了,SDN和OpenFlow的所有优势也将丧失。
• 确认系统的任何变化都进行了日志记录。由于管理人员集中控制网络,应该日志记录每一个变化,并将其发送到公司的日志管理解决方案。
• 在部署SDN时,确保企业中可能阻止或记录变化的SIEM、IPS及任何其他过滤技术进行了相应的更新。同时,关联来自SIEM的日志以提醒管理人员变化情况。通过SIEM跟踪自定义事件(例如登录失败和政策变化)将确保系统的安全性。
• 确保IPS没有将这种流量认为是恶意流量。在该过滤系统中配置相应的规则以允许控制器在需要的时候与节点通信。
总之,软件定义网络是一种新兴技术,它通过为管理员提供企业网络的完整试图而允许细粒度安全性。然而,鉴于SDN控制器能够集中管理网络节点以向这些系统“推行”更改,我们非常有必要确保围绕该系统的安全性。该系统是SDN的大脑,如果没有部署适当的安全措施,网络可能遭到恶意攻击或者意外更改,这两者都会让网络崩溃。现在企业应该确保在SDN的设计、部署和管理过程中,安全是首要考虑因素。