网络通信 频道

灵活与安全 SDN如何解决自相矛盾问题?

        【IT168 评论】对SDN和安全的关注渐多,同时在RSA大会中也有这样的讨论 ,故此我们对SRI International 的Phil Porras进行了采访,我们觉着这是一次了解他及其团队的机会。


▲Phil Porras

  SDNCentral:SDN的发展到了一个关键时刻,就像我们在2013年的观察结果一样,每个网络公司都想成为SDN公司,那么你对SDN发展的成熟度有什么看法呢?

  Phil:供应商们努力把OpenFlow整合到产品的举动,让我印象很深刻,整个OpenFlow社区生机勃勃,而且为未来网络提供了可观的思想引导,我认为每一个负责管理大型网络的人以及那些在网络管理或安全应用做开发的人,如果没有紧跟SDN社区的发展,那么他们真是太疏忽大意了。

  作为一名应用开发员,肯定是需要更成熟的API,或许还要思考一下我们能从控制层获取些什么。我不太愿意思考如何把应用接到不同控制器,OpenFlow版本的问题及交换机规格合不合适的问题。我们还需要成熟的机制可以让多个OpenFlow应用同时存在于一台控制器上,或许随着这些挑战一个一个被解决,将会出现更多引人注目的OpenFlow应用,而且其普及率也会上升。

  最终,安全应该会成为定义OpenFlow标准和设计软件堆栈(用于运营OpenFlow网络)的主要考虑因素。我认为OpenFlow安全是不成熟的,而且在高度敏感的网络中也不推荐使用OpenFlow。我们花了很长的时间来了解如何安全地配置和管理敏感运算环境中的网络。我认为我们可以扩展OpenFlow,使其能够提供落实有力的安全策略,与此同时,只要这些动态流的决策符合安全策略,就该保持OpenFlow应用的活力。

  SDNCentral:我们最后一次交谈的时候,谈论过FortNOX,也就是你在NOX创建安全应用框架的成果。FortNOX发生了什么改变呢?

  Phil:或许你还记得我们利用FortNOX设计并制作了一款安全调解服务,这款服务被整合到了NOX-Classic控制器中。借助FortNOX,我们提出了一个INFOSEC社区期望的基础安全机制,以便在敏感运算环境中落实网络安全策略。我们利用FortNOX托管若干试验用的安全应用,也希望能更进一步了解这些应用在检测和响应各种攻击时存在的功能型北向需求。

  从那时起,我们就致力于在被支持的开源控制器上部署和发布操作型安全调解服务。我们现在做的是SE-Floodlight,它可以在Floodlight上完整部署FortNOX安全调解服务。随着我们的进步,以及小样的推出,我们将在openflowsec官网贴出更多有关SE-Floodlight的信息。  

  SDNCentral:我们上次还谈到了FRESCO。好像FRESCO一直发展得不错。你写的有关FRESCO的论文成为了首个讨论SDN/OpenFlow安全的论文,因而论文被提交到了INFOSEC的高层安全会议。这意味着SDN正成为主流吗?

  Phil:“我认为INFOSEC社区给予OpenFlow的关注会增多。去年,我看到网络安全研究者们的OpenFlow意识都在增强,而我们与其他研究OpenFlow的同僚也有过多次联系,我们双方都希望将其作为发展新安全以及对安全挑战进行分析的机遇。”我暂时还没有把OpenFlow或SDN视为INFOSEC社区的主流话题。FRESCO本周会在ISOC 网络与分布式系统安全会议上发布 。这将促使学术研究者们弄清楚SDN将如何改变我们应对恶意网络流量的方式。OpenFlow有潜力推动智能动态网络安全防守的创新,对此我非常欣喜。而要解决OpenFlow对网络边缘防守的传统观念所带来的安全挑战,还有很多工作要做。

  SDNCentral:能和读者分享一些你论文中的趣闻和精华吗?

  Phil:“当然可以,我们的团队,包括来自Texas A&M的Guofei Gu和Seungwon Shin,开发出了FRESCO,这是一个应用开发框架,可以加快设计以及OF安全模块的组合。FRESCO本身是我们托管在FortNOX的OpenFlow应用。”它提供了一种Click-inspired脚本语言,可以让我们开发和共享许多安全检测和减灾模块。研究者们可以编写这些模块,以便快速制作复杂安全服务的原型。部署完后,这些服务就可以和FortNOX一起确保控制器落实所生成的安全策略。这篇论文对几个独特的反恶意软件和其他FRESCO脚本语言编写的安全应用进行了评估。

  SDNCentral:你对FRESCO和SDN社区有什么希望?

  Phil:“最终,我们希望FRESCO这样的工具可以帮助安全研究员降低成本,让他们为OpenFlow网络设计新的防御措施。”

  借助FRESCO力量,我们已经开发出了一套脚本语言,这套语言可以让我们专注于安全响应模块,可以轻松地把这些模块组合起来,重复利用。例如,我们可以使用FRESCO定义一个模块,以部署本地主机的隔离检查。

  而通过FRESCO API,任何基于历史DPI的安全应用都可以在检测到主机感染时发起隔离响应。对于如何把数据流规则转换到OF交换中,FRESCO模块提取了其中隔离观念的细节。我们可以把各种模块编排到一块,来开发更复杂的只有FRESCO的安全服务。由于我们转向FRESCO,这些安全模块可以不用改变就操作安全环节逻辑中整合的控制器。

   SDNCentral:SE内核要增加控制器吗?

  Phil:“从内部来看,我们目前没有资源在多个控制器上支持安全减灾服务。我希望这种情况可以得到改变。由于我们已经把安全减灾逻辑从NOX Classic重新部署到Floodlight,所以我们不得不考虑如何将安全减灾服务从控制器到控制器上实现模块化。”虽然从NOX到Floodlight的转变涉及到完整的重新部署,目前,原始的FortNOX设计在Floodlight内部发展得还不错。我们也有兴趣了解可以跨控制器分享哪些要素。特别是,我们在和各种对北向API有兴趣的人交流,希望可以贡献一套基础要求,可以让FERSCO这样的应用框架实现跨控制器接驳。

  SDNCentral:采用SE内核和转向有商业力量支撑的控制器是有利可图的吗?

  Phil: “我认为急需用一些参考性的部署解决OpenFlow基础安全挑战。最终,让OpenFlow融入敏感运算环境中,如金融社区,政府,医疗和其他对安全要求很高的行业。那时OpenFlow社区就不得不融入INFOSEC社区。我是赞成尽快加入INFOSEC的。简而言之,我认为强效方案等同于改进OpenFlow的安全性,使其成为商业成功的先决条件,至少对这些行业是如此。”

  SDNCentral: 你认为什么时候我们能看到人们对SDN安全的关注度上升呢?前期好像大家关注更多的是寻找很酷的网络应用。

  Phil:“如你所言,要分两方面来看:SDN带来的对安全挑战的分析以及潜在信息防御功能的开发。我期望今年能有更多讨论围绕OpenFlow堆栈中必须解决的不安全因素而展开。这个领域的研究将会硕果累累,还可能会挫伤一些人运营OpenFlow网络的信心。但开发出安全扩展和解决这些问题的新协议仍需要安全评估。

  至于安全应用,我认为OpenFlow确实不能为那些想创建检测系统的人提供任何新功能。记住,INFOSEC社区过去二十年来一直在开发恶意流量分析技术,我并不认为OpenFlow为改进威胁检测带来了有影响力的新机遇。

  SDN让我兴奋的点在于,它为智能响应的发展带来机遇。在过去几十年里,传统网络设备对于安全威胁的响应一直都没有本质上的改变:都是依靠拦截。OpenFlow让INFOSEC程序员们使用标准协议重组交换机的数据层,目的是对已察觉威胁部署更为有力的响应。例如,我对部署了复杂响应的OpenFlow应用十分兴奋,如Reflector Nets,Quarantine Systems,Emergency Broadcast,Tarpits,启用高级OpenFlow的Honeynet。我们的FRESCO论文提供了这类响应策略的示例,阐述了它们在OpenFlow下如何被有效部署。不论OpenFlow最终是通过何种方式推向市场,我希望SDN网络的防御功效能成为网络安全社区中更有影响力的研发成果之一。”  

2
相关文章