用戶名: 密碼: 驗(yàn)證碼:

SDN能解決很多問題但不包括安全

摘要:軟件定義網(wǎng)絡(luò)(SDN)具有很多的優(yōu)勢,通過將多個(gè)設(shè)備的控制平面整合到單個(gè)控制器中,該控制器將成為整個(gè)網(wǎng)絡(luò)中的決策者,實(shí)現(xiàn)集中控制。但是開發(fā)人員在構(gòu)建SDN產(chǎn)品時(shí)仍然沒有安全保證,因此SDN中存在可能危及企業(yè)安全的弱點(diǎn)。

  Iccsz訊 隨著數(shù)字化企業(yè)努力尋求最佳安全解決方案來保護(hù)其不斷擴(kuò)張的網(wǎng)絡(luò),很多企業(yè)正在尋求提供互操作性功能的下一代工具。

  軟件定義網(wǎng)絡(luò)(SDN)具有很多的優(yōu)勢,通過將多個(gè)設(shè)備的控制平面整合到單個(gè)控制器中,該控制器將成為整個(gè)網(wǎng)絡(luò)中的決策者,實(shí)現(xiàn)集中控制。但是開發(fā)人員在構(gòu)建SDN產(chǎn)品時(shí)仍然沒有安全保證,因此SDN中存在可能危及企業(yè)安全的弱點(diǎn)。

  羅馬Sapienza大學(xué)博士生Fabio De Gaspari表示:“SDN相關(guān)的主要風(fēng)險(xiǎn)是控制平面的妥協(xié)以及控制平面潛在的可擴(kuò)展性問題。”

  控制平面的實(shí)現(xiàn)方式?jīng)Q定了其脆弱性,但是如果攻擊者能夠訪問控制器,那么攻擊者造成的災(zāi)難范圍就擴(kuò)大到對整個(gè)網(wǎng)絡(luò)的完全控制,在多控制器SDN中有很高的安全風(fēng)險(xiǎn),其中非妥協(xié)控制器(non compromised controllers)可以檢測和減輕受損的控制器。

  一般來說,主要的安全風(fēng)險(xiǎn)來自設(shè)備配置不良或不正確,這不僅是SDN中面臨的問題。盡管安全方面存在差距,但SDN仍然是現(xiàn)代網(wǎng)絡(luò)問題的新興替代解決方案。 Hellfire Security的網(wǎng)絡(luò)安全行動Gregory Pickett表示,SDN帶來了很多好處。

  Gregory Pickett表示:“SDN能夠改變提供商幾十年來的運(yùn)營方式,如用戶出口選擇等,通過基于可信任路由選擇增強(qiáng)的BGP安全性、更快的路由收斂和IXP的粒度對等操作。”

  Pickett在Black Hat 2015演示文稿“濫用軟件定義網(wǎng)絡(luò)”中表示,SDN提供了讓網(wǎng)絡(luò)能夠自動應(yīng)對威脅的能力,但SDN仍然有很多安全漏洞。Pickett說:“人們在發(fā)布產(chǎn)品之前并不關(guān)注安全漏洞,他們還沒有認(rèn)真對待安全問題。”

  Pickett認(rèn)為,安全性仍然是SDN的挑戰(zhàn)的一個(gè)原因是,軟件定義網(wǎng)絡(luò)實(shí)際上并沒有明確的定義。他說:“我的印象是,這個(gè)概念至今不明確,你的SDN可能不是我的SDN,而根據(jù)提供商的不同,SDN的各種版本也各不相同。提供商以適應(yīng)其產(chǎn)品線的方式定義了SDN,現(xiàn)在的情況是產(chǎn)品線不是在向SDN的方向發(fā)展,而SDN的定義在向產(chǎn)品線發(fā)展。”

  諷刺的是高級首席分析師Jon Oltsik表示,SDN本應(yīng)該為網(wǎng)絡(luò)帶來一致性,但是SDN本身具有很大的歧義,因?yàn)槠髽I(yè)正在圍繞SDN進(jìn)行戰(zhàn)略規(guī)劃,他們需要讓安全團(tuán)隊(duì)參與其中。Oltsik表示安全從業(yè)者是能夠識別和降低風(fēng)險(xiǎn)的人員,他說:“安全從業(yè)者可以在技術(shù)、實(shí)施或操作中找出風(fēng)險(xiǎn),并降低這些風(fēng)險(xiǎn)。”

  雖然SDN不是新發(fā)展出來的,但是由于新設(shè)計(jì)了很多協(xié)議,使得它與新技術(shù)非常相似。Oltsik表示:“我們還沒有動搖所有的BUG,就已經(jīng)發(fā)生了很大的創(chuàng)新,但并不像現(xiàn)有技術(shù)那樣穩(wěn)定。”

  Oltenik表示軟件正在迅速變化,但是相關(guān)的SDN領(lǐng)域的安全專家并不多。他說:“這是由一個(gè)想要簡化網(wǎng)絡(luò)團(tuán)隊(duì)或數(shù)據(jù)中心運(yùn)營團(tuán)隊(duì)建立的,他們正在試圖通過軟件來實(shí)現(xiàn)這一目標(biāo),但他們不是安全專家。”擁有控制網(wǎng)絡(luò)的現(xiàn)代手段的愿望引發(fā)了新一輪的網(wǎng)絡(luò)管理工具,但新產(chǎn)品面臨的安全風(fēng)險(xiǎn)并沒有減輕。

  ScaleFT聯(lián)合創(chuàng)始人兼CTO abc Paul Querna表示:“安全風(fēng)險(xiǎn)與網(wǎng)絡(luò)中的風(fēng)險(xiǎn)并沒有什么不同,目前攻擊者已經(jīng)知道如何在SDN領(lǐng)域中訪問網(wǎng)絡(luò),對于較弱的攻擊者來說,SDN相對安全,因?yàn)樗鼈兛梢愿菀椎貙?shí)現(xiàn)路由功能。”

  然而,風(fēng)險(xiǎn)根據(jù)所使用的SDN技術(shù)而有所不同。Querna表示:“如果您正在部署SDN,則需要注意交換機(jī),以及如何在硬件中實(shí)現(xiàn)這些規(guī)則。”

  卡巴斯基實(shí)驗(yàn)室的解決方案業(yè)務(wù)主管,數(shù)據(jù)中心和虛擬化安全解決方案業(yè)務(wù)主管Vitaly Mzokov表示:“無論組織是否擁有SDN,他們的安全策略都應(yīng)該繼承多層網(wǎng)絡(luò)安全來保護(hù)企業(yè)環(huán)境。組織不得不預(yù)測網(wǎng)絡(luò)犯罪分子將如何攻擊公司的基礎(chǔ)設(shè)施,以及他們可能使用的攻擊載體,然后開始設(shè)計(jì)合適的IT環(huán)境,并配置網(wǎng)絡(luò)和防火墻策略。”

  但現(xiàn)代網(wǎng)絡(luò)犯罪分子已經(jīng)學(xué)會了靈活性是成功的關(guān)鍵。隨著技術(shù)的發(fā)展,他們必須近乎實(shí)時(shí)地改變他們的攻擊戰(zhàn)術(shù)。較新的網(wǎng)絡(luò)威脅很難識別,因?yàn)闃I(yè)界對這些威脅的理解較少,難以用老式的安全解決方案進(jìn)行檢測。Mzokov說:“SDN使得企業(yè)更快地重新配置環(huán)境,并且還可以將微分段引入其中。”

  Mzokov表示:“如果沒有適當(dāng)?shù)募苫蚺c惡意軟件解決方案的互操作性,任何SDN技術(shù)都只是人們利用不足的工具。組織應(yīng)該從安全角度簡單地讓SDN知道虛擬機(jī)內(nèi)部正在發(fā)生的事情,他們將看到更多的內(nèi)容、更高效的SDN運(yùn)營。”

  傳統(tǒng)保護(hù)控制器的手段仍然可以應(yīng)用于保護(hù)軟件定義網(wǎng)絡(luò)的安全,但仍然需要全新的方式去實(shí)現(xiàn)SDN的安全。

內(nèi)容來自:SDNLAB
本文地址:http://m.huaquanjd.cn//Site/CN/News/2017/03/30/20170330100224098000.htm 轉(zhuǎn)載請保留文章出處
關(guān)鍵字: sdn
文章標(biāo)題:SDN能解決很多問題但不包括安全
【加入收藏夾】  【推薦給好友】 
免責(zé)聲明:凡本網(wǎng)注明“訊石光通訊咨詢網(wǎng)”的所有作品,版權(quán)均屬于光通訊咨詢網(wǎng),未經(jīng)本網(wǎng)授權(quán)不得轉(zhuǎn)載、摘編或利用其它方式使用上述作品。 已經(jīng)本網(wǎng)授權(quán)使用作品的,應(yīng)在授權(quán)范圍內(nèi)使用,反上述聲明者,本網(wǎng)將追究其相關(guān)法律責(zé)任。
※我們誠邀媒體同行合作! 聯(lián)系方式:訊石光通訊咨詢網(wǎng)新聞中心 電話:0755-82960080-188   debison