随着数字化企业努力寻求最佳安全解决方案来保护其不断扩张的网络,很多企业正在寻求提供互操作性功能的下一代工具。
软件定义网络(SDN)具有很多的优势,通过将多个设备的控制平面整合到单个控制器中,该控制器将成为整个网络中的决策者,实现集中控制。但是开发人员在构建SDN产品时仍然没有安全保证,因此SDN中存在可能危及企业安全的弱点。
罗马Sapienza大学博士生Fabio De Gaspari表示:“SDN相关的主要风险是控制平面的妥协以及控制平面潜在的可扩展性问题。”
控制平面的实现方式决定了其脆弱性,但是如果攻击者能够访问控制器,那么攻击者造成的灾难范围就扩大到对整个网络的完全控制,在多控制器SDN中有很高的安全风险,其中非妥协控制器(non compromised controllers)可以检测和减轻受损的控制器。
一般来说,主要的安全风险来自设备配置不良或不正确,这不仅是SDN中面临的问题。尽管安全方面存在差距,但SDN仍然是现代网络问题的新兴替代解决方案。 Hellfire Security的网络安全行动Gregory Pickett表示,SDN带来了很多好处。
Gregory Pickett表示:“SDN能够改变提供商几十年来的运营方式,如用户出口选择等,通过基于可信任路由选择增强的BGP安全性、更快的路由收敛和IXP的粒度对等操作。”
Pickett在Black Hat 2015演示文稿“滥用软件定义网络”中表示,SDN提供了让网络能够自动应对威胁的能力,但SDN仍然有很多安全漏洞。Pickett说:“人们在发布产品之前并不关注安全漏洞,他们还没有认真对待安全问题。”
Pickett认为,安全性仍然是SDN的挑战的一个原因是,软件定义网络实际上并没有明确的定义。他说:“我的印象是,这个概念至今不明确,你的SDN可能不是我的SDN,而根据提供商的不同,SDN的各种版本也各不相同。提供商以适应其产品线的方式定义了SDN,现在的情况是产品线不是在向SDN的方向发展,而SDN的定义在向产品线发展。”
讽刺的是高级首席分析师Jon Oltsik表示,SDN本应该为网络带来一致性,但是SDN本身具有很大的歧义,因为企业正在围绕SDN进行战略规划,他们需要让安全团队参与其中。Oltsik表示安全从业者是能够识别和降低风险的人员,他说:“安全从业者可以在技术、实施或操作中找出风险,并降低这些风险。”
虽然SDN不是新发展出来的,但是由于新设计了很多协议,使得它与新技术非常相似。Oltsik表示:“我们还没有动摇所有的BUG,就已经发生了很大的创新,但并不像现有技术那样稳定。”
Oltenik表示软件正在迅速变化,但是相关的SDN领域的安全专家并不多。他说:“这是由一个想要简化网络团队或数据中心运营团队建立的,他们正在试图通过软件来实现这一目标,但他们不是安全专家。”拥有控制网络的现代手段的愿望引发了新一轮的网络管理工具,但新产品面临的安全风险并没有减轻。
ScaleFT联合创始人兼CTO abc Paul Querna表示:“安全风险与网络中的风险并没有什么不同,目前攻击者已经知道如何在SDN领域中访问网络,对于较弱的攻击者来说,SDN相对安全,因为它们可以更容易地实现路由功能。”
然而,风险根据所使用的SDN技术而有所不同。Querna表示:“如果您正在部署SDN,则需要注意交换机,以及如何在硬件中实现这些规则。”
卡巴斯基实验室的解决方案业务主管,数据中心和虚拟化安全解决方案业务主管Vitaly Mzokov表示:“无论组织是否拥有SDN,他们的安全策略都应该继承多层网络安全来保护企业环境。组织不得不预测网络犯罪分子将如何攻击公司的基础设施,以及他们可能使用的攻击载体,然后开始设计合适的IT环境,并配置网络和防火墙策略。”
但现代网络犯罪分子已经学会了灵活性是成功的关键。随着技术的发展,他们必须近乎实时地改变他们的攻击战术。较新的网络威胁很难识别,因为业界对这些威胁的理解较少,难以用老式的安全解决方案进行检测。Mzokov说:“SDN使得企业更快地重新配置环境,并且还可以将微分段引入其中。”
Mzokov表示:“如果没有适当的集成或与恶意软件解决方案的互操作性,任何SDN技术都只是人们利用不足的工具。组织应该从安全角度简单地让SDN知道虚拟机内部正在发生的事情,他们将看到更多的内容、更高效的SDN运营。”
传统保护控制器的手段仍然可以应用于保护软件定义网络的安全,但仍然需要全新的方式去实现SDN的安全。