軟件定義網(wǎng)絡(luò)SDN的安全優(yōu)點(diǎn)和缺點(diǎn)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

在過(guò)去幾年中，軟件定義網(wǎng)絡(luò)（SDN）已經(jīng)從一個(gè)想法發(fā)展成為一個(gè)范例：大型網(wǎng)絡(luò)供應(yīng)商不僅“擁抱”它，還將它作為其未來(lái)企業(yè)設(shè)備管理系統(tǒng)的模型來(lái)談?wù)摗＿@項(xiàng)技術(shù)給網(wǎng)絡(luò)增加了更大的粒度、動(dòng)態(tài)性和可管理性，但也帶來(lái)了其他問(wèn)題，我們需要從安全角度來(lái)看這些問(wèn)題。在這篇文章中，我們將解釋什么是SDN，并探索企業(yè)網(wǎng)絡(luò)和安全專業(yè)人士需要知道的網(wǎng)絡(luò)安全優(yōu)點(diǎn)和缺點(diǎn)。   SDN的定義   為了理解軟件定義網(wǎng)絡(luò)的安全優(yōu)點(diǎn)和缺點(diǎn)，讓我們首先快速了解一下這項(xiàng)技術(shù)。軟件定義網(wǎng)絡(luò)能夠從路由器和交換機(jī)中的控制平面分離出數(shù)據(jù)平面，這個(gè)控制平面原本是專有的，只有開(kāi)發(fā)它們的供應(yīng)商知道，而在SDN中，控制平面將是開(kāi)放的，并且受到集中控制，同時(shí)將命令和邏輯發(fā)送回硬件（路由器或交換機(jī)）的數(shù)據(jù)平面。   這提供了整個(gè)網(wǎng)絡(luò)的視圖，并且提供了集中更改的能力，而不需要在每個(gè)路由器或交換機(jī)上分別進(jìn)行以設(shè)備為中心的配置更改。通過(guò)開(kāi)放協(xié)議（例如OpenFlow標(biāo)準(zhǔn)）管理控制平面的能力，允許對(duì)網(wǎng)絡(luò)或設(shè)備做出精確的更改，這將幫助增加網(wǎng)絡(luò)的速度和安全性。   SDN的安全優(yōu)勢(shì)   與其它技術(shù)一樣，新技術(shù)總會(huì)存在優(yōu)點(diǎn)和缺點(diǎn)，首先讓我們來(lái)看看軟件定義網(wǎng)絡(luò)的一些優(yōu)點(diǎn)：   • 擁有了自由移動(dòng)的SDN網(wǎng)絡(luò)后，工程師將能夠通過(guò)快速且高水平地查看網(wǎng)絡(luò)的所有區(qū)域以及修改網(wǎng)絡(luò)來(lái)改變規(guī)則。   • 這種自由和控制還能為你的系統(tǒng)帶來(lái)更好的安全性。通過(guò)快速限制以及從中央視角查看網(wǎng)絡(luò)內(nèi)部的能力，管理人員可以有效地作出更改。例如，如果你的網(wǎng)絡(luò)中爆發(fā)了惡意軟件，通過(guò)SDN和OpenFlow，你將能夠迅速地從集中控制平面阻止這種流量來(lái)限制這種爆發(fā)，而不需要訪問(wèn)多個(gè)路由器或交換機(jī)。   • 快速對(duì)網(wǎng)絡(luò)作出調(diào)整的能力使管理人員能夠以更安全的方式來(lái)執(zhí)行流量整形和數(shù)據(jù)包QoS。這種能力現(xiàn)在已經(jīng)存在，但速度和效率不好，當(dāng)管理人員在試圖保護(hù)網(wǎng)絡(luò)安全時(shí)，這將限制他們的能力。   SDN的安全問(wèn)題   對(duì)于創(chuàng)新的新技術(shù)而言，人們很容易忽略安全問(wèn)題。讓我們看看在部署SDN時(shí)需要注意的幾個(gè)安全問(wèn)題。大多數(shù)軟件定義網(wǎng)絡(luò)的安全問(wèn)題主要圍繞控制器本身。控制器可以被認(rèn)為是交換/路由的“大腦”，它允許來(lái)自每個(gè)系統(tǒng)的控制平面得到集中管理。   對(duì)于安全管理人員而言，SDN的最大挑戰(zhàn)是不惜一切代價(jià)地保護(hù)控制器?，F(xiàn)在“大腦”已經(jīng)從路由器或交換機(jī)中取出，并使用新的控制器來(lái)替代，該設(shè)備需要通過(guò)以下步驟加強(qiáng)和保護(hù)：   • 一個(gè)很重要的安全問(wèn)題是了解和審核誰(shuí)訪問(wèn)過(guò)控制器以及控制器在網(wǎng)絡(luò)中的位置。需要記住——訪問(wèn)控制器可能讓攻擊者完全控制，因此，必須保護(hù)控制器的安全。   • 檢查控制器和終端節(jié)點(diǎn)（路由器或交換機(jī)）之間的安全性—特別是它們正在通過(guò)SSL通信來(lái)防止來(lái)自控制器的任何惡意訪問(wèn)。正如其他任何技術(shù)一樣，如果沒(méi)有從一開(kāi)始考慮安全性，那么你必須在稍后增加安全性，但這樣做往往更加困難且昂貴。   • 確保正確配置節(jié)點(diǎn)和控制器間的安全性。   • 確認(rèn)控制器的高可用性。為控制器創(chuàng)造業(yè)務(wù)連續(xù)性是很重要的，因?yàn)槿绻刂破鱽G失的話，管理網(wǎng)絡(luò)的能力同樣也沒(méi)有了，SDN和OpenFlow的所有優(yōu)勢(shì)也將喪失。   • 確認(rèn)系統(tǒng)的任何變化都進(jìn)行了日志記錄。由于管理人員集中控制網(wǎng)絡(luò)，應(yīng)該日志記錄每一個(gè)變化，并將其發(fā)送到公司的日志管理解決方案。   • 在部署SDN時(shí)，確保企業(yè)中可能阻止或記錄變化的SIEM、IPS及任何其他過(guò)濾技術(shù)進(jìn)行了相應(yīng)的更新。同時(shí)，關(guān)聯(lián)來(lái)自SIEM的日志以提醒管理人員變化情況。通過(guò)SIEM跟蹤自定義事件（例如登錄失敗和政策變化）將確保系統(tǒng)的安全性。   • 確保IPS沒(méi)有將這種流量認(rèn)為是惡意流量。在該過(guò)濾系統(tǒng)中配置相應(yīng)的規(guī)則以允許控制器在需要的時(shí)候與節(jié)點(diǎn)通信。   總之，軟件定義網(wǎng)絡(luò)是一種新興技術(shù)，它通過(guò)為管理員提供企業(yè)網(wǎng)絡(luò)的完整試圖而允許細(xì)粒度安全性。然而，鑒于SDN控制器能夠集中管理網(wǎng)絡(luò)節(jié)點(diǎn)以向這些系統(tǒng)“推行”更改，我們非常有必要確保圍繞該系統(tǒng)的安全性。該系統(tǒng)是SDN的大腦，如果沒(méi)有部署適當(dāng)?shù)陌踩胧?，網(wǎng)絡(luò)可能遭到惡意攻擊或者意外更改，這兩者都會(huì)讓網(wǎng)絡(luò)崩潰?，F(xiàn)在企業(yè)應(yīng)該確保在SDN的設(shè)計(jì)、部署和管理過(guò)程中，安全是首要考慮因素。

【推薦閱讀】

◆設(shè)備管理系統(tǒng)運(yùn)維管理專區(qū)

◆下一代設(shè)備管理系統(tǒng)：靠譜的SDN與不靠譜的OpenFlow

◆解析設(shè)備管理系統(tǒng)運(yùn)維基礎(chǔ)架構(gòu)庫(kù)與設(shè)備管理系統(tǒng)運(yùn)維管理

◆設(shè)備管理系統(tǒng)基礎(chǔ)設(shè)施管理：企業(yè)如何迎接下一代管理模式

◆設(shè)備管理軟件軟件專區(qū)

本文來(lái)自互聯(lián)網(wǎng)，僅供參考