SDN能解決很多問(wèn)題，但不包括安全

隨著數(shù)字化企業(yè)努力尋求最佳安全解決方案來(lái)保護(hù)其不斷擴(kuò)張的網(wǎng)絡(luò)，很多企業(yè)正在尋求提供互操作性功能的下一代工具。軟件定義網(wǎng)絡(luò)(SDN)具有很多的優(yōu)勢(shì)，通過(guò)將多個(gè)設(shè)備的控制平面整合到單個(gè)控制器中，該控制器將成為整個(gè)網(wǎng)絡(luò)中的決策者，實(shí)現(xiàn)集中控制。但是開(kāi)發(fā)人員在構(gòu)建SDN產(chǎn)品時(shí)仍然沒(méi)有安全保證，因此SDN中存在可能危及企業(yè)安全的弱點(diǎn)。

SDN相關(guān)的主要風(fēng)險(xiǎn)是控制平面的妥協(xié)以及控制平面潛在的可擴(kuò)展性問(wèn)題?？刂破矫娴膶?shí)現(xiàn)方式?jīng)Q定了其脆弱性，但是如果攻擊者能夠訪問(wèn)控制器，那么攻擊者造成的災(zāi)難范圍就擴(kuò)大到對(duì)整個(gè)網(wǎng)絡(luò)的完全控制，在多控制器SDN中有很高的安全風(fēng)險(xiǎn)，其中非妥協(xié)控制器(non compromised controllers)可以檢測(cè)和減輕受損的控制器。一般來(lái)說(shuō)，主要的安全風(fēng)險(xiǎn)來(lái)自設(shè)備配置不良或不正確，這不僅是SDN中面臨的問(wèn)題。盡管安全方面存在差距，但SDN仍然是現(xiàn)代網(wǎng)絡(luò)問(wèn)題的新興替代解決方案。

SDN能夠改變提供商幾十年來(lái)的運(yùn)營(yíng)方式，如用戶(hù)出口選擇等，通過(guò)基于可信任路由選擇增強(qiáng)的BGP安全性、更快的路由收斂和IXP的粒度對(duì)等操作。SDN提供了讓網(wǎng)絡(luò)能夠自動(dòng)應(yīng)對(duì)威脅的能力，但SDN仍然有很多安全漏洞。安全性仍然是SDN的挑戰(zhàn)的一個(gè)原因是軟件定義網(wǎng)絡(luò)實(shí)際上并沒(méi)有明確的定義。小編的印象是這個(gè)概念至今不明確，你的SDN可能不是我的SDN，而根據(jù)提供商的不同，SDN的各種版本也各不相同。提供商以適應(yīng)其產(chǎn)品線的方式定義了SDN，現(xiàn)在的情況是產(chǎn)品線不是在向SDN的方向發(fā)展，而SDN的定義在向產(chǎn)品線發(fā)展。

軟件正在迅速變化，但是相關(guān)的SDN領(lǐng)域的安全專(zhuān)家并不多。安全風(fēng)險(xiǎn)與網(wǎng)絡(luò)中的風(fēng)險(xiǎn)并沒(méi)有什么不同，目前攻擊者已經(jīng)知道如何在SDN領(lǐng)域中訪問(wèn)網(wǎng)絡(luò)，對(duì)于較弱的攻擊者來(lái)說(shuō)，SDN相對(duì)安全，因?yàn)樗鼈兛梢愿菀椎貙?shí)現(xiàn)路由功能?！比欢?，風(fēng)險(xiǎn)根據(jù)所使用的SDN技術(shù)而有所不同。如果您正在部署SDN，則需要注意交換機(jī)以及如何在硬件中實(shí)現(xiàn)這些規(guī)則。

企業(yè)不得不預(yù)測(cè)網(wǎng)絡(luò)犯罪分子將如何攻擊自己的基礎(chǔ)設(shè)施以及他們可能使用的攻擊載體，然后開(kāi)始設(shè)計(jì)合適的IT環(huán)境，并配置網(wǎng)絡(luò)和防火墻策略。但現(xiàn)代網(wǎng)絡(luò)犯罪分子已經(jīng)學(xué)會(huì)了靈活性是成功的關(guān)鍵。隨著技術(shù)的發(fā)展，他們必須近乎實(shí)時(shí)地改變他們的攻擊戰(zhàn)術(shù)。較新的網(wǎng)絡(luò)威脅很難識(shí)別，因?yàn)闃I(yè)界對(duì)這些威脅的理解較少，難以用老式的安全解決方案進(jìn)行檢測(cè)。

如果沒(méi)有適當(dāng)?shù)募苫蚺c惡意軟件解決方案的互操作性，任何SDN技術(shù)都只是人們利用不足的工具。企業(yè)應(yīng)該從安全角度簡(jiǎn)單地讓SDN知道虛擬機(jī)內(nèi)部正在發(fā)生的事情，他們將看到更多的內(nèi)容、更高效的SDN運(yùn)營(yíng)。傳統(tǒng)保護(hù)控制器的手段仍然可以應(yīng)用于保護(hù)軟件定義網(wǎng)絡(luò)的安全，但仍然需要全新的方式去實(shí)現(xiàn)SDN的安全。