如何保護(hù)你的SDN控制器
管理網(wǎng)絡(luò)已經(jīng)變得越來(lái)越復(fù)雜,隨著物聯(lián)網(wǎng)設(shè)備的數(shù)量持續(xù)激增,管理網(wǎng)絡(luò)面臨著更加嚴(yán)重的挑戰(zhàn),這種復(fù)雜性使得難以及時(shí)重新配置傳統(tǒng)網(wǎng)絡(luò)來(lái)響應(yīng)惡意事件或修復(fù)配置錯(cuò)誤。
軟件定義網(wǎng)絡(luò)(SDN)可以幫助網(wǎng)絡(luò)工程師靈活、動(dòng)態(tài)地改變網(wǎng)絡(luò)在節(jié)點(diǎn)上的行為,這種傳統(tǒng)網(wǎng)絡(luò)中通常是不可用的。SDN使用虛擬化來(lái)簡(jiǎn)化網(wǎng)絡(luò)資源的管理,并提供增加容量的解決方案,且不會(huì)顯著增加成本。
隨著網(wǎng)絡(luò)控制從硬件轉(zhuǎn)向軟件,結(jié)果是多個(gè)設(shè)備合并成一個(gè)控制器,使網(wǎng)絡(luò)工程師能夠控制整個(gè)網(wǎng)絡(luò),但是這一模式存在明顯的安全隱患,必須得以解決。
SDN的優(yōu)勢(shì)
SDN使得將諸如實(shí)時(shí)高清視頻會(huì)議和云應(yīng)用等服務(wù)整合到企業(yè)的環(huán)境中更加容易,應(yīng)用程序開(kāi)發(fā)人員或測(cè)試人員可以隔離和運(yùn)行工作負(fù)載,而無(wú)需擔(dān)心生產(chǎn)網(wǎng)絡(luò)中的虛擬租戶。這可以加快解決問(wèn)題的速度,并減少部署之前測(cè)試所需的時(shí)間。
SDN通過(guò)集中的儀表板帶來(lái)了更高的可見(jiàn)性和控制的優(yōu)勢(shì)。控制器可以確定每個(gè)應(yīng)用程序的業(yè)務(wù)流的最佳路由、擁塞狀況、鏈路健康狀況和優(yōu)先級(jí)以實(shí)時(shí)跟蹤,而通過(guò)不同路徑或多路徑路由特定應(yīng)用流量的能力提供了冗余的功能。
例如,如果企業(yè)的應(yīng)用程序由兩個(gè)獨(dú)立的云服務(wù)提供商托管,則可以將特定用戶的流量路由到平均延遲較低的云服務(wù)提供商,這可以使企業(yè)能夠提供更更好的用戶體驗(yàn)。
SDN的另一個(gè)優(yōu)勢(shì)是不用擔(dān)心廠商鎖定,SDN的目標(biāo)是使用開(kāi)放標(biāo)準(zhǔn)。企業(yè)可以輕松使用多廠商的產(chǎn)品,這有助于降低成本。通過(guò)在低成本商用服務(wù)器上集合多個(gè)計(jì)算、存儲(chǔ)和處理功能,可以顯著降低資本支出,這種虛擬化可以使大量手動(dòng)網(wǎng)絡(luò)配置變得自動(dòng)化并提高其可追溯性。
安全性也是企業(yè)使用SDN的一大優(yōu)勢(shì),這意味著企業(yè)可以將防御功能從簡(jiǎn)單地阻止特定攻擊擴(kuò)展到主動(dòng)修改以適應(yīng)新的威脅。SDN控制器可以通過(guò)網(wǎng)絡(luò)集中推送全局安全策略更新,虛擬交換機(jī)可以在網(wǎng)絡(luò)邊緣過(guò)濾數(shù)據(jù)包,并將可疑流量重定向到其他安全設(shè)備以供進(jìn)一步分析。
SDN的安全問(wèn)題
關(guān)于SDN安全性的一個(gè)重要問(wèn)題是虛擬化網(wǎng)絡(luò)基礎(chǔ)設(shè)施的每個(gè)方面都會(huì)放大攻擊的影響,SDN控制器通常是攻擊者的主要目標(biāo),因?yàn)樗蔷W(wǎng)絡(luò)決策的中心點(diǎn),也理所當(dāng)然成為攻擊的中心。
攻擊者可以嘗試通過(guò)闖入控制器或偽裝成一個(gè)控制網(wǎng)絡(luò),一旦中央控制器遭到破壞,攻擊者就可以完全控制你的網(wǎng)絡(luò)。這是一種極端的狀況,但隨著SDN使用量的持續(xù)增長(zhǎng),這種攻擊現(xiàn)象極有可能成為現(xiàn)實(shí)。
一些新的拒絕服務(wù)攻擊類(lèi)型,通過(guò)查找使用大量CPU的特定自動(dòng)進(jìn)程來(lái)嘗試?yán)肧DN基礎(chǔ)設(shè)施的潛在擴(kuò)展限制。由于控制和數(shù)據(jù)平面的分離,SDN可能非常容易受到攻擊,兩個(gè)平面之間的通信鏈路中斷可能會(huì)導(dǎo)致攻擊者找到漏洞。
由于SDN控制器的可編程性,工程師們可以在控制器的北向接口上安全安全應(yīng)用,為網(wǎng)絡(luò)上的安全策略開(kāi)辟新的途徑,當(dāng)然可編程北向接口也是一個(gè)潛在的漏洞。
另外,安裝在控制器上的應(yīng)用程序可能會(huì)重新配置網(wǎng)絡(luò),攻擊者可以誘騙網(wǎng)絡(luò)工程師安裝已經(jīng)被入侵的應(yīng)用程序,并可能使網(wǎng)絡(luò)完全出乎意料。
如何保護(hù)你的SDN控制器
對(duì)SDN控制器的訪問(wèn)控制非常重要,能夠防止未經(jīng)授權(quán)的活動(dòng)。應(yīng)該使用基于角色的訪問(wèn)策略,并且一致地審查。任何未經(jīng)授權(quán)的嘗試都應(yīng)該向安全人員發(fā)出警報(bào),此外,必須對(duì)其配置更改進(jìn)行定期審核。
使用高可用性控制器體系架構(gòu)來(lái)防止分布式拒絕服務(wù)(DDoS)攻擊非常重要,在設(shè)計(jì)中具有高可用性將使得企業(yè)能夠測(cè)試生產(chǎn)環(huán)境中的更新或更改,以及如果更新無(wú)法正常工作,則提供故障轉(zhuǎn)移的選擇。
北向通信應(yīng)通過(guò)TLS或SSH進(jìn)行加密,此外任何北向的應(yīng)用程序都應(yīng)該安全編碼。對(duì)這些應(yīng)用程序的任何攻擊或妥協(xié)都可能影響控制器的安全性和操作。此外,避免為這些應(yīng)用程序使用默認(rèn)密碼,并確保應(yīng)用程序在于控制器進(jìn)行通信執(zhí)勤啊有某種形式的身份驗(yàn)證。
對(duì)于南向通信,使用TLS對(duì)端點(diǎn)進(jìn)行身份驗(yàn)證非常重要,控制協(xié)議流量應(yīng)與主數(shù)據(jù)流隔離,最好通過(guò)一個(gè)帶外網(wǎng)絡(luò)來(lái)完成。
在設(shè)計(jì)SDN解決方案時(shí)必須考慮安全因素,控制器是SDN的核心,保護(hù)控制器和與之通信的應(yīng)用程序以及控制器和應(yīng)用程序之間的流量至關(guān)重要。