從理論上講，軟件定義網(wǎng)絡(luò)( SDN )技術(shù)應(yīng)該帶來更安全的網(wǎng)絡(luò)。因為，通過虛擬化網(wǎng)絡(luò)到可編程的堆棧，網(wǎng)絡(luò)會變得更加靈活，操作應(yīng)該更加自動化，這應(yīng)該意味著更少的“胖手指”災(zāi)難。

但對于任何互聯(lián)系統(tǒng)，當(dāng)我們分配基本操作到軟件時，我們同時也引入了新風(fēng)險。當(dāng)我們將服務(wù)器聯(lián)網(wǎng)時，我們知道有些服務(wù)器將會受到攻擊，所以我們盡最大努力來減小這種風(fēng)險。但當(dāng)網(wǎng)絡(luò)本身受到攻擊時會發(fā)生什么呢?SDN工具包是什么樣?全面的有效的SDN安全是什么樣的?我們怎樣避免SDN漏洞呢?

SDN是Stuxnet夢想的搖籃?

SDN已經(jīng)成為網(wǎng)絡(luò)可編程新的簡稱。無論是基于標(biāo)準(zhǔn)的解決方案還是來自單個供應(yīng)商的專有技術(shù)(即構(gòu)建自己的OpenDaylight解決方案或者VMware打造的SDN環(huán)境)，它們都帶來同樣的困境：你都會被迫相信這個新的比較復(fù)雜的軟件攜帶著通往你的王國的鑰匙。這個“解決方案”將涉及更廣的范圍，將會改變權(quán)力和容量，程度甚至超過任何高級管理員。它還會控制網(wǎng)絡(luò)日志的現(xiàn)狀。

然而，事情并沒有那么糟糕，但企業(yè)需要考慮SDN安全帶來一些影響，或者更糟的是，零日漏洞利用。Stuxnet如此難以創(chuàng)造的原因之一是它需要克服的各種各樣的挑戰(zhàn)，它需要應(yīng)對多個版本的專有工業(yè)控制器和使用各種協(xié)議及應(yīng)用程序接口(API)的操作系統(tǒng)。但在SDN環(huán)境下，情況就不同了。

SDN帶來新的網(wǎng)絡(luò)安全問題

通過可編程網(wǎng)絡(luò)，蠕蟲不再需要利用現(xiàn)有的網(wǎng)絡(luò)裂縫;它們可以抓住一個弱控制點，并通過這個控制點創(chuàng)建一個后門，然后將其隱藏起來。與Stuxnet不同，SDN蠕蟲不需要管理數(shù)以百計的不同的攻擊向量。即使在專有廠商部署中，SDN蠕蟲也可以通過良好記錄的易于導(dǎo)航的API來提供控制。

當(dāng)我們從CLI、SNMP和其他“舊世界”接口轉(zhuǎn)移時，還面臨一個額外的威脅，我們將通過SDN架構(gòu)連接我們的性能監(jiān)控和安全政策掃描系統(tǒng)。也就是說，如果攻擊者破壞SDN控制層，他們將可以從監(jiān)控和安全系統(tǒng)隱藏其行蹤。隨著技術(shù)逐漸成熟，并且，我們越來越依賴于自動化，我們也應(yīng)該期望在管理員配置出現(xiàn)與系統(tǒng)相同的變化，特別是在中小企業(yè)方面。畢竟，較小的經(jīng)驗不足的團隊不太可能比它們?nèi)〈木G屏管理員更能發(fā)現(xiàn)安全問題。

如何避免SDN安全噩夢

SDN的未來是光明的，我們不應(yīng)該妄下結(jié)論，認(rèn)為SDN將會帶來通往美國國家安全局的后門。該技術(shù)確實會帶來一系列新的挑戰(zhàn)，但我們可以利用從其他可編程平臺獲取的豐富經(jīng)驗來解決這些問題，例如服務(wù)器。無論你正在與供應(yīng)商溝通還是試圖構(gòu)建自己的SDN解決方案，當(dāng)你部署安全的SDN時，請務(wù)必考慮以下問題：

多少比率的文檔(或營銷材料)用于安全?安全像是可有可無的東西，還是作為解決方案架構(gòu)的一部分?

這個解決方案是否認(rèn)為不需要對防火墻內(nèi)提供安全保護?太多產(chǎn)品認(rèn)為沒有面向互聯(lián)網(wǎng)的系統(tǒng)享受著魔術(shù)般的安全保護。

對于聯(lián)合SDN等復(fù)合解決方案，聯(lián)合網(wǎng)絡(luò)將如何管理控制器之間分配的信任關(guān)系?你將在哪里部署分界點來限制多層分配變化的范圍?

該解決方案將如何管理分布式政策?所有受控制的設(shè)備都信任來自任意長命令行的變更請求嗎?它們是否能意識到繼承、模擬或者請求者角色?

你如何信任還是核查?解決方案是否包含至少一點點“石器時代”的技術(shù)來監(jiān)控不在其控制之內(nèi)的SDN控制器?

與其他任何新技術(shù)一樣，網(wǎng)絡(luò)可編程性在初期會遇到一些問題，但如果我們把眼光放遠(yuǎn)一點，提出問題，將其放在實驗室的顯微鏡下研究，這將是一個好事情。