SDN能解决很多问题,但不包括安全

随着数字化企业努力寻求最佳安全解决方案来保护其不断扩张的网络,很多企业正在寻求提供互操作性功能的下一代工具。

软件定义网络(SDN)具有很多的优势,通过将多个设备的控制平面整合到单个控制器中,该控制器将成为整个网络中的决策者,实现集中控制。但是开发人员在构建SDN产品时仍然没有安全保证,因此SDN中存在可能危及企业安全的弱点。

罗马Sapienza大学博士生Fabio De Gaspari表示:“SDN相关的主要风险是控制平面的妥协以及控制平面潜在的可扩展性问题。”

控制平面的实现方式决定了其脆弱性,但是如果攻击者能够访问控制器,那么攻击者造成的灾难范围就扩大到对整个网络的完全控制,在多控制器SDN中有很高的安全风险,其中非妥协控制器(non compromised controllers)可以检测和减轻受损的控制器。

一般来说,主要的安全风险来自设备配置不良或不正确,这不仅是SDN中面临的问题。尽管安全方面存在差距,但SDN仍然是现代网络问题的新兴替代解决方案。 Hellfire Security的网络安全行动Gregory Pickett表示,SDN带来了很多好处。

Gregory Pickett表示:“SDN能够改变提供商几十年来的运营方式,如用户出口选择等,通过基于可信任路由选择增强的BGP安全性、更快的路由收敛和IXP的粒度对等操作。”

Pickett在Black Hat 2015演示文稿“滥用软件定义网络”中表示,SDN提供了让网络能够自动应对威胁的能力,但SDN仍然有很多安全漏洞。Pickett说:“人们在发布产品之前并不关注安全漏洞,他们还没有认真对待安全问题。”

Pickett认为,安全性仍然是SDN的挑战的一个原因是,软件定义网络实际上并没有明确的定义。他说:“我的印象是,这个概念至今不明确,你的SDN可能不是我的SDN,而根据提供商的不同,SDN的各种版本也各不相同。提供商以适应其产品线的方式定义了SDN,现在的情况是产品线不是在向SDN的方向发展,而SDN的定义在向产品线发展。”

讽刺的是高级首席分析师Jon Oltsik表示,SDN本应该为网络带来一致性,但是SDN本身具有很大的歧义,因为企业正在围绕SDN进行战略规划,他们需要让安全团队参与其中。Oltsik表示安全从业者是能够识别和降低风险的人员,他说:“安全从业者可以在技术、实施或操作中找出风险,并降低这些风险。”

虽然SDN不是新发展出来的,但是由于新设计了很多协议,使得它与新技术非常相似。Oltsik表示:“我们还没有动摇所有的BUG,就已经发生了很大的创新,但并不像现有技术那样稳定。”

Oltenik表示软件正在迅速变化,但是相关的SDN领域的安全专家并不多。他说:“这是由一个想要简化网络团队或数据中心运营团队建立的,他们正在试图通过软件来实现这一目标,但他们不是安全专家。”拥有控制网络的现代手段的愿望引发了新一轮的网络管理工具,但新产品面临的安全风险并没有减轻。

ScaleFT联合创始人兼CTO abc Paul Querna表示:“安全风险与网络中的风险并没有什么不同,目前攻击者已经知道如何在SDN领域中访问网络,对于较弱的攻击者来说,SDN相对安全,因为它们可以更容易地实现路由功能。”

然而,风险根据所使用的SDN技术而有所不同。Querna表示:“如果您正在部署SDN,则需要注意交换机,以及如何在硬件中实现这些规则。”

卡巴斯基实验室的解决方案业务主管,数据中心和虚拟化安全解决方案业务主管Vitaly Mzokov表示:“无论组织是否拥有SDN,他们的安全策略都应该继承多层网络安全来保护企业环境。组织不得不预测网络犯罪分子将如何攻击公司的基础设施,以及他们可能使用的攻击载体,然后开始设计合适的IT环境,并配置网络和防火墙策略。”

但现代网络犯罪分子已经学会了灵活性是成功的关键。随着技术的发展,他们必须近乎实时地改变他们的攻击战术。较新的网络威胁很难识别,因为业界对这些威胁的理解较少,难以用老式的安全解决方案进行检测。Mzokov说:“SDN使得企业更快地重新配置环境,并且还可以将微分段引入其中。”

Mzokov表示:“如果没有适当的集成或与恶意软件解决方案的互操作性,任何SDN技术都只是人们利用不足的工具。组织应该从安全角度简单地让SDN知道虚拟机内部正在发生的事情,他们将看到更多的内容、更高效的SDN运营。”

传统保护控制器的手段仍然可以应用于保护软件定义网络的安全,但仍然需要全新的方式去实现SDN的安全。

本文作者:佚名          

来源:51CTO

时间: 2024-09-27 07:07:55

SDN能解决很多问题,但不包括安全的相关文章

利用WebBrowser彻底解决Web打印问题(包括后台打印)_javascript技巧

抱着"取之于众 服务于众"的思想,我总结了一下,把它拿到网上来与大家分享,希望能帮助遇到类似问题的朋友. 我主要使用了IE内置的WebBrowser控件,无需用户下载和安装.WebBrowser有很多功能,除打印外的其他功能就不再赘述了,你所能用到的打印功能也几乎全部可以靠它完成,下面的问题就是如何使用它了.先说显示后打印,后面说后台打印. 1.首先引入一个WebBrowser在需要打印的页面,可以直接添加: <object id="WebBrowser" c

这款芯片1+1都算不准,但能解决很多大难题

Singular Computing公司生产的芯片不能正确的执行数学运算.比如1+1会返回答案2.01或1.98.该芯片的研发得到了美国国防部高级研究计划署(DARPA)的资助. 公司CEO Joseph Bates说,硬件不怎么样不意味着软件结果也会如此.一个不能保证每次计算都精确的芯片在处理很多问题上能得到较好的结果,完成这些工作芯片需要的电路更少消耗的能量更低. Bates正与MIT和桑迪亚国家实验室合作演示该公司的S1芯片在处理某些困难计算任务上可能更有效率,如高分辨率雷达成像,从立体照

留一下缺口给你的属下

大多领导都会放权不放心,常常对属下的工作偷偷监督和越级调查 一位著名企业家在做报告,一位听众问:"你在事业上取得了巨大的成功,请问,对你来说,最重要的是什么?" 企业家没有直接回答,他拿起粉笔在黑板上画了一个圈,只是并没有画圆满,留下一个缺口.他反问道:"这是什么?" "零"?"圈"?"未完成的事业"?"成功"?台下的听众七嘴八舌地答道. 他对这些回答未置可否:"其实,这只是一

SDN大趋势:控制器整合

在软件定义网络(SDN)中,控制器是网络架构中至关重要的一个点,它处在网络应用和网络设备之间.对网络专业人士来说,集中化的控制器担负着控制平面的作用,而控制平面就是传统上各种分布式路由协议如BGP和OSPF等驻留的所在.   目前,我们仍处在SDN的初期阶段,众多的组织和厂商都在想方设法力图控制或者支配SDN的发展,因此出现了大量可供选择的控制器也就不足为奇了.一般而言,SDN控制器可以分成如下一些类别: ● 科研用SDN控制器项目 ● 厂商支持的开源SDN控制器项目 ● 有特定用途.厂商专用的

SDN分析的重要性

SDN技术能够带来动态.灵活的网络,可以帮助企业快速重新配置网络,以适应不同的业务需求,但是SDN的这些优势仅仅只靠自动化无法实现.目前的SDN基础设施缺乏有效运行自主网络的智能管控,SDN优势很大但是挑战更大,用户将失去对网络发生变化的可见性和控制,以及需要相关人员具备SDN应用程序的知识. SDN分析是传统和SDN网络基础设施的实时协调和增强服务可视化所迫切需要的功能,需要另一层管理才能获得这些分析并创建真正的自适应网络. 本文将介绍服务提供商面临的问题,SDN分析的案例(包括用例和分析所在

中国联通云管理研究组组长徐雷:运营商SDN发展策略

2016年6月1-2日,"2016全球SDNFV技术大会"在北京盛大召开.作为连续举办三届的SDN/NFV技术与产业盛会,本届大会着眼于SDN /NFV的实践应用与部署,从SDN/NFV在运营商网络.企业网.云数据中心.测试解决方案等多个场景的应用出发,深入解析产业部署现状及面临的挑战与发展趋势.   中国联通研究院云计算实验室,云管理研究组组长徐雷 在大会第一天下午的主会场中,中国联通研究院云计算实验室,云管理研究组组长徐雷分享了主题为"运营商SDN发展策略"的精

Neutron的SDN化

对于SDN大家估计都耳熟能详,这里首先讲讲虚拟化网络技术故事,当VM技术出现的时候,存储通过本地存储或远端挂载的形式基本没有太大变化,但是网络技术呈现形式一直不断翻新. OVS可以说是一个网络虚拟化里一个重量级的开源产品级作品,OVS模仿物理交换机设备的工作流程,实现了很多物理交换机当时才支持的许多网络功能,但是每次配置都需要到宿主机里去手工设置,管理员们正在烦恼之时,SDN就像朝阳带来了希望 就是可以将OVS设置SDN的控制器,然后管理员就可以通过页面点击按钮来调用SDN的北向API来配置和管

中国移动研究院副院长杨志强:对SDN和NFV的实践和思考

2016年6月1-2日,"2016全球SDNFV技术大会"在北京盛大召开.作为连续举办三届的SDN/NFV技术与产业盛会,本届大会着眼于SDN /NFV的实践应用与部署,从SDN/NFV在运营商网络.企业网.云数据中心.测试解决方案等多个场景的应用出发,深入解析产业部署现状及面临的挑战与发展趋势. 中国移动研究院副院长杨志强 在大会第一天下午的主会场中,中国移动研究院副院长杨志强分享了主题为"对SDN和NFV的实践和思考"的精彩演讲.其中讲到,关于SDNFV,我们觉

NFV/SDN是5G必选项而不是可选项

5G的到来对于运营商来说不仅只是一次网络制式标准的演进,更是一次网络架构的变革,全新的商业模式也将从此诞生. 英特尔数据中心事业部5G基础设施部总经理林怡颜表示,以前2G.3G.4G运营商建网主要面对消费者的通话及上网需求.但5G将让运营商参与到所有的商业模式,比如垂直行业.物联网.车联网.这为运营商带来了更为广阔的发展机遇.但如果5G时代运营商仍旧用固定的,为通讯而建专用平台就难以满足各行业灵活多变的业务需求.这就需要运营商网络进行虚拟化. 林怡颜认为,未来NFV/SDN是5G必选项而不是可选