軟件定義網(wǎng)絡(SDN)將網(wǎng)絡從硬件平面轉移到了軟件平面，受到軟件控制器的管理。其好處包括自動化和簡化網(wǎng)絡管理工作以及提高應用程序性能。但同時，作為一項新的技術，SDN也很容易受到攻擊。

首先，根據(jù)Casaba Security公司共同創(chuàng)始人Chris Weber表示，將控制集中到SDN控制器中能夠模糊了防護的分層硬件的界限，例如防火墻。

其次，根據(jù)Gartner分析師Neil MacDonald表示，通過從數(shù)據(jù)平面解耦控制平面，SDN引入了新的攻擊面，例如網(wǎng)絡控制器、其協(xié)議以及API。

第三，SDN的一個優(yōu)勢在于，軟件控制器可以安裝在操作系統(tǒng)(例如Windows或者Linux)之上的COTS硬件上，這能夠節(jié)省部署和其他成 本。但根據(jù)Casaba公司合作貨幣Ramsey Dow表示，反復出現(xiàn)緩沖區(qū)溢出等攻擊的主機會導致遠程代碼執(zhí)行，從而危及這些系統(tǒng)。這使得SDN控制器面臨著與操作系統(tǒng)相同的風險。

第四，由于SDN控制器的集中化性質，高級持續(xù)性攻擊(APT)只需要感染這個控制器就可以有效地獲取對整個網(wǎng)絡的控制權。

為了解決這些問題，讓我們來看看一些有效的安全選項和控制措施。

SDN漏洞

在談到SDN如何替代用于保護傳統(tǒng)網(wǎng)絡的防火墻、內(nèi)部交換機和其他硬件時，Dow說道：“對于SDN，我最大的擔憂是，我們從網(wǎng)絡設計中移除了歷史悠久的物理部分，并將這一切都虛擬化了。”

并且，當SDN替代這些分層硬件時，取而代之的是高度敏感的網(wǎng)絡層面，這很容易受到攻擊，MacDonald 表示:“SDN創(chuàng)建了一個抽象層，帶來了新的攻擊面，例如網(wǎng)絡控制器、OpenFlow協(xié)議，SDN可能部署的XMPP等協(xié)議，甚至供應商的API也可能 受到攻擊。”

不僅控制平面的北向變得容易受到攻擊，而且其“軟肋”處更易受攻擊。通過在Windows或者linux之上安裝SDN控制器，企業(yè)讓它暴露在各種軟件問題面前，這些是日常電腦操作系統(tǒng)反復面對的問題。

微軟最新的安全公告公布了五個新的Windows安全漏洞，這些漏洞都能夠用于遠程代碼執(zhí)行。開發(fā)人員最近還在Ubuntu中發(fā)現(xiàn)了四個新的漏洞，Ubuntu是流行的Linux發(fā)行版。

除了操作系統(tǒng)漏洞、新的攻擊面，以及消失的硬件防護線，最可能困擾SDN的可能是最常見的問題—錯誤配置。Enterprise CyberSecurity Architects公司首席執(zhí)行官Neil Rerup表示：“大部分攻擊利用的是錯誤配置，而不是漏洞本身。”Rerup通過思科UCS錯誤配置的實例來說明這個問題：

一家企業(yè)部署了思科UCS，除了應用范圍不同(它解決服務器而不是網(wǎng)絡)，這基本與SDN控制器是相同的概念。該企業(yè)部署UCS采用了默認設置，UID和密碼配置，沒有進行必要的控制來保護它。

Rerup表示：“我可以訪問這個控制平面，因為默認角色、默認密碼并沒有改變，訪問控制平面是通過用于訪問底層設備的正常的網(wǎng)絡連接。”

Rerup表示，由于SDN控制器相對較新，大多數(shù)安全人員并沒有完全了解它們，這往往導致他們沒有部署必要的控制措施。安全通常被視為SDN解決方案的一個“附加物”。雖然新技術意味著幫助企業(yè)提高生產(chǎn)力和降低成本，但這通常是沒有考慮企業(yè)的安全態(tài)勢得出的結論。

攻擊者只要通過高級持續(xù)攻擊獲得對SDN控制器的控制權，就可能導致整個網(wǎng)絡“淪陷”。作為直接與網(wǎng)絡設備通信的應用程序系統(tǒng)，SDN控制器是在所 有組件直接建立通信的軟件系統(tǒng)。Dow表示：“就其本質而言，這些控制器觸及一切事物。如果你攻擊了一個控制器，你就有可能不受限制地訪問整個環(huán)境。”

SDN安全措施

沒有什么能夠取代傳統(tǒng)硬件層，當然，我們還需要保護SDN通信。根據(jù)Weber表示，在控制這些設備的管理員之間以及網(wǎng)絡設備之間通常需要更強的核心通信協(xié)議，最好使用通過身份驗證的加密協(xié)議，避免使用弱強度密碼。

MacDonald表示：“我們可以通過硬化控制器和協(xié)議來減少攻擊面。”為了保護新的層面，減少曝光率，我們還可以這樣做：使用嵌入式Linux的硬化配置，通過使用有效的身份、身份驗證和授權技術來硬化API，以及使用應用程序白名單來防止未經(jīng)授權的代碼執(zhí)行。

除了硬化操作系統(tǒng)，我們還可以通過采取一些分層的方法來保護Linux或Windows之上的SDN控制器。首先，了解供應商的安全配置最佳做法，并遵循這些做法。

及時修復補丁。Dow表示：“你的操作人員需要比平常更加積極地監(jiān)控多個數(shù)據(jù)源的信息。”這些來源包括思科或瞻博網(wǎng)絡等供應商以及安全組織(例如CERT和NIST NVD)發(fā)布的信息。

“使用全功能的經(jīng)測試的事故響應計劃，”Dow繼續(xù)說道，“這樣，當你檢測到什么時，你就可以作出回應。”為所有關鍵任務硬件簽署支持合同。

Weber表示：“你的供應商也應該提供一個強大的身份驗證協(xié)議。”這意味著雙因素身份驗證或者更強大的驗證。供應商應該包括基于角色的授權機制來分配訪問級別、權限和特權。

至于錯誤配置，我們有很多最佳做法來幫助企業(yè)避免錯誤配置，以及部署適當?shù)陌踩刂啤Ｊ紫?，你需要將SDN漏洞當做任何虛擬解決方案中的漏洞來對待。Rerup說道：“你需要將控制平面作為特權升級平面來對待。”企業(yè)還應該使用以下控制來管理控制平面內(nèi)部發(fā)生的情況。

管理帶外SDN控制平面，將到SDN控制平面的路徑與一般流量路徑分離開來。移除所有的默認配置，因為供應商會廣泛發(fā)布這些配置信息，而攻擊者經(jīng)常會利用這些信息來發(fā)動攻擊。

記錄特權賬戶的所有活動，并將這些日志轉發(fā)到SIEM(安全信息和事件管理)安全日志聚合點，以提供集中訪問。Rerup說道：“如果你監(jiān)控特權賬戶的活動，你就可以迅速地發(fā)現(xiàn)問題，以及解決問題。”

在部署SDN時應該考慮潛在的故障情況，Rerup解釋說;“如果你這樣做的話，那么你還應該考慮SDN被宕機之后會發(fā)生什么。”

定期備份SDN配置文件，這樣你就可以在故障發(fā)生后很快啟動SDN以及運行它。最后，對SDN控制平面部署與企業(yè)為可以利用SDN的最高安全區(qū)相同的安全要求。

有些安全措施已經(jīng)存在很久了，有些則很新，對SDN安全問題的討論還將繼續(xù)進行，我們是否言之過早?等發(fā)生問題的時候，你必定會聽到這樣的聲音，“我找告訴過你了。”