SDN是把双刃剑吗?

网络当中接入的设备和云计算的兴起,对传统网络的性能提出了更高的要求,这也是为什么在经过深思熟虑之后,传统网络正在积极向虚拟化网络功能和控制器过渡,电信公司正在部署SDN和NFV技术,以实现更快的速度和网络弹性提高网络性能。事实上,SDN有可能通过提供灵活性来适应当今应用程序和工作负载的动态性来彻底改变数据中心。

然而,在涉及到SDN的安全性方面,虽然服务和策略是分布式的,但仍然通过集中的SDN控制器从单点进行管理。诚然这能够给SDN提高效率,但如果 SDN控制器受到攻击,攻击者可以快速影响整个网络后果不堪设想。在SDN环境中DDoS攻击成为影响SDN控制器有效性的重要方面。本文将探讨DDoS 攻击在SDN环境中的安全隐患,并希望为SDN的用户提供建议。

什么是虚拟网络?组织为什么需要虚拟网络?

SDN是一种全新的技术,它使得网络管理员通过开放接口和较低级功能的抽象来创建动态网络。SDN从实际移动数据(转发平面)的硬件分离决定发送信息的智能化,即所谓的控制平面与转发平面的分离。这两个平面的分离使得决策过程在集中的、基于软件的控制器中执行,而不是让网络中的每个节点做出自己的决策。所有应用程序通过控制器进行配置请求,该控制器具有对整个网络的可见性,并为每个节点做出转发决策。但是,这也意味着IT安全团队需要考虑如何保护控制平面,因为这将成为唯一的故障节点,稍有漏洞就可能导致整个网络瘫痪。

尽管SDN带来了很多好处,如改进网络接入控制的细粒度安全策略等,与传统的网络架构相比,它也引入了传统网络配置过程中不曾有过的挑战。

SDN的安全问题

在安全性方面,SDN终于实现了为每个虚拟化工作负载提供最大限度的保护所需的细粒度策略,并且这些策略在虚拟化基础设施周围迁移时自动遵循这些工作负载。

所面临的挑战在于,这可能导致SDN控制器成为整个网络的单一妥协点,一旦被DDoS攻击很容易被窃取数据导致网络重大中断。

将SDN与管道系统进行比较,这相当于一次泄露,降低系统压力并影响整个网络。事实上,与SDN部署相关的spine带宽显著增加了攻击面,即使是相对较小的多千兆DDoS攻击也可能使整个数据中心宕机。最终即时是一个单一的,低容量的DDoS攻击也可能导致严重的损害,甚至给组织造成长期的损失。

最佳的安全方式

当使用SDN和NFV创建弹性和安全的环境时,必须在数据中心边缘部署始终运行的自动DDoS检测和缓解工具,这是获得实时响应事件所需的可见性的唯一方式。通过在SDN控制器和DDoS防御之间联合API,可以控制对SDN控制器造成的破坏,并可以缓解DDoS攻击。在发生超饱和事件时,DDoS 防御可以迅速向上游发送信息,以报告此类攻击事件。

结论

总体而言,SDN和NFV为组织需要的关键网络功能带来巨大的优势,消除了对专有物理设备的需求,这使得组织能够降低成本和复杂性,并同时享受改进的可扩展性、弹性和更便捷的部署。但是,尽管具备了这样的优势,也使得网络更容易受到攻击。希望从SDN或NFV获益的组织必须确保他们能够全面了解其虚拟化环境以减轻这些风险。通过在系统之间联合API来集成DDoS保护来展开网络防御,只有密切关注虚拟化环境的管道,才能保持其操作和数据的安全性。

本文作者:佚名          

来源:51CTO

时间: 2024-09-28 11:33:46

SDN是把双刃剑吗?的相关文章

修复SDN路由故障?没那么简单

两年前,我曾经写到过:修复软件定义网络故障需要使用数据包穿梭机才能在快速变化的动态网络中理清复杂且快速变化的拓扑.此外,企业正在加速迁移到混合云网络,这使得我们更加依赖目前无法轻松控制的服务提供商网络内部路由. 网络结构会在防火墙两端自动定期重新配置,那么网络工程师又该如何修复快速变化.路由波动或最新变化等问题呢?SDN路由新工具可以解决这些问题,但是它们与我们以前使用的工具大相径庭. 远程分析网络行为 科学的一个重要原则就是可再现性,其他研究人员按照相同的流程就能够在类似的条件下获得相同的结果

修复SDN路由故障?没那么简单!

两年前,我曾经写到过:修复软件定义网络故障需要使用数据包穿梭机才能在快速变化的动态网络中理清复杂且快速变化的拓扑.此外,企业正在加速迁移到混合云 网络,这使得我们更加依赖目前无法轻松控制的服务提供商网络内部路由. 网络结构会在防火墙两端自动定期重新配置,那么网络工程师又该如何修复快速变化.路由波动或最新变化等问题呢?SDN路由新工具可以解决这些问题,但是它 们与我们以前使用的工具大相径庭. 远程分析网络行为 科学的一个重要原则就是可再现性,其他研究人员按照相同的流程就能够在类似的条件下获得相同的

修复SDN路由故障?没那么简单

两年前,我曾经写到过:修复软件定义网络故障需要使用数据包穿梭机才能在快速变化的动态网络中理清复杂且快速变化的拓扑.此外,企业正在加速迁移到混合云网络,这使得我们更加依赖目前无法轻松控制的服务提供商网络内部路由. 网络结构会在防火墙两端自动定期重新配置,那么网络工程师又该如何修复快速变化.路由波动或最新变化等问题呢?SDN路由新工具可以解决这些问题,但是它们与我们以前使用的工具大相径庭. 远程分析网络行为 科学的一个重要原则就是可再现性,其他研究人员按照相同的流程就能够在类似的条件下获得相同的结果

换汤不换药 SDN真能拯救运营商?

西班牙电信首席技术官恩里克·布兰科(Enrique Blanco)曾经表示,投资网络虚拟化并不是为了与其它运营商竞争.相反,它在去年的世界移动大会上表示,网络虚拟化有助于对抗OTT厂商,前提是所有运营商要合作. NFV旨在抵御OTT的入侵 目前,我们总能听到这样一种说法,大量运营商都在向SDN和NFV转型.随着技术与资本的不断投入,不少人开始质疑其能否节约成本,至少短期内看不是这样.一些运营商开始改变它们的服务理念,与精简网络比起来,它们更看重抵御OTT厂商的入侵. 然而,电信运营商很难轻松卸下

网站优化双刃剑:如何提高网站排名

随着搜索引擎对SEO的关注,网站优化被越来越多的人认同着.但是SEO是把双刃剑,利用得当可以迅速提高网站排名,发展前景也蒸蒸日上.但是利用不当不仅仅站长一番苦功付诸东流,就连网站也可能被殃及降权就得不偿失了.不过风险虽然大,在衡量利弊之后最终还是选择了做优化.那么,如何利用好SEO扩大访问量就成为了我们今天所要说的话题. 对于网页的优化,网站的内容是优化的前提,好的内容定位标准为"新"且丰富.但是"新"不并不意味着完全的原创,专题的整合同样算式一种更新创作.好的内容

B2B行业站 内容是把双刃剑(一)

B2B是一种企业之间的沟通平台模式,可以理解为是一种行业信息集散地,在电商愈演愈烈的互联网时代,B2B垂直站也逐渐走向了成熟,大如alibaba .hc360.世界工厂.五金网;小如千千万万的开源程序个人站,都在奋力的抢夺B2B这块蛋糕! B2B行业站对于其他门户.信息.企业.个人等有它独有的优缺点,它本身对于传统企业来说也是意义深远! B2B是一个金矿,而且很大,日渐发达的互联网已经快要把以往的线下行业一股脑的搬到了线上,不涉足线上营销的小企业可以说在起步就慢了对手一拍,也少了一个很大的销售渠

利用SDN扩展虚拟网络

  SDN可以将你带到现有网络没有到过的地方,但你可能要重新考虑转发表. SDN被认为是企业实现完全虚拟化网络的主要途径,乃至实现完全虚拟数据中心的主要方式. 所有这些虚拟化的主要好处之一是规模.不受硬件限制,SDN环境将能够根据用户的变化而变化,这带来了随时随地实现数据连接的时代. 然而,如果是这样的话,为什么还有这么多围绕虚拟网络平台的可扩展性限制的问题出现呢? 转发表限制 事实证明,虽然控制平面和转发平面的分离可以带来很多好处,但虚拟网络仍然受到转发表能力的限制,虚拟网需要转发表来记录推动

应当关注SDN控制器的哪些要素?

  软件定义网络潜在用户所面临的一个关键挑战是判断特定SDN控制器的特定价值,毕竟控制器作为网络应用和网络基础设施之间的桥梁发挥着关键性作用.但目前还没有一个可以规范SDN的模型,也没有一个SDN控制器必须要遵守的任何标准. 虽然Linux基金会旗下的多厂商OpenDaylight项目的出现为统一的模块化控制器架构所需的SDN堆栈带来了希望,但是对于控制器需要提供什么样的特定服务,厂商当中仍然存在着许多不同的意见.用户的压力在于确定SDN控制器具有什么样的能力,以及这些功能是否能够帮助实现期望的

双刃剑与灰色地带:“泄露数据收藏家”的素描

无论是国内还是国外,都存在着这样一群匿名人士,他们乐于对已经被盗的数据库进行备份和收集--这里我们暂且称他们为"泄露数据收藏家" 多亏了像Keen(化名)这样的泄露数据收藏家,一些从多年前开始就被使用的被盗数据才能引起足够的关注.像是前段时间知名色情网站Brazzers被黑,这家以提供高清色情电影而起家的企业共有80万的用户信息遭到泄露.此次事件当时在FreeBuf已有报道(详见:http://www.freebuf.com/news/113904.html). Keen运营的网站Vi