随着数字化企业努力寻求最佳安全解决方案来保护其不断扩张的网络,很多企业正在寻求提供互操作性功能的下一代工具。软件定义网络(SDN)具有很多的优势,通过将多个设备的控制平面整合到单个控制器中,该控制器将成为整个网络中的决策者,实现集中控制。但是开发人员在构建SDN产品时仍然没有安全保证,因此SDN中存在可能危及企业安全的弱点。
SDN相关的主要风险是控制平面的妥协以及控制平面潜在的可扩展性问题。控制平面的实现方式决定了其脆弱性,但是如果攻击者能够访问控制器,那么攻击者造成的灾难范围就扩大到对整个网络的完全控制,在多控制器SDN中有很高的安全风险,其中非妥协控制器(non compromised controllers)可以检测和减轻受损的控制器。一般来说,主要的安全风险来自设备配置不良或不正确,这不仅是SDN中面临的问题。尽管安全方面存在差距,但SDN仍然是现代网络问题的新兴替代解决方案。
SDN能够改变提供商几十年来的运营方式,如用户出口选择等,通过基于可信任路由选择增强的BGP安全性、更快的路由收敛和IXP的粒度对等操作。SDN提供了让网络能够自动应对威胁的能力,但SDN仍然有很多安全漏洞。安全性仍然是SDN的挑战的一个原因是软件定义网络实际上并没有明确的定义。小编的印象是这个概念至今不明确,你的SDN可能不是我的SDN,而根据提供商的不同,SDN的各种版本也各不相同。提供商以适应其产品线的方式定义了SDN,现在的情况是产品线不是在向SDN的方向发展,而SDN的定义在向产品线发展。
软件正在迅速变化,但是相关的SDN领域的安全专家并不多。安全风险与网络中的风险并没有什么不同,目前攻击者已经知道如何在SDN领域中访问网络,对于较弱的攻击者来说,SDN相对安全,因为它们可以更容易地实现路由功能。”然而,风险根据所使用的SDN技术而有所不同。如果您正在部署SDN,则需要注意交换机以及如何在硬件中实现这些规则。
企业不得不预测网络犯罪分子将如何攻击自己的基础设施以及他们可能使用的攻击载体,然后开始设计合适的IT环境,并配置网络和防火墙策略。但现代网络犯罪分子已经学会了灵活性是成功的关键。随着技术的发展,他们必须近乎实时地改变他们的攻击战术。较新的网络威胁很难识别,因为业界对这些威胁的理解较少,难以用老式的安全解决方案进行检测。
如果没有适当的集成或与恶意软件解决方案的互操作性,任何SDN技术都只是人们利用不足的工具。企业应该从安全角度简单地让SDN知道虚拟机内部正在发生的事情,他们将看到更多的内容、更高效的SDN运营。传统保护控制器的手段仍然可以应用于保护软件定义网络的安全,但仍然需要全新的方式去实现SDN的安全。