從理論上講，軟件定義網(wǎng)絡(luò)( SDN )技術(shù)應(yīng)該帶來更安全的網(wǎng)絡(luò)。因?yàn)椋ㄟ^虛擬化網(wǎng)絡(luò)到可編程的堆棧，網(wǎng)絡(luò)會(huì)變得更加靈活，操作應(yīng)該更加自動(dòng)化，這應(yīng)該意味著更少的“胖手指”災(zāi)難。

但對(duì)于任何互聯(lián)系統(tǒng)，當(dāng)我們分配基本操作到軟件時(shí)，我們同時(shí)也引入了新風(fēng)險(xiǎn)。當(dāng)我們將服務(wù)器聯(lián)網(wǎng)時(shí)，我們知道有些服務(wù)器將會(huì)受到攻擊，所以我們盡最大努力來減小這種風(fēng)險(xiǎn)。但當(dāng)網(wǎng)絡(luò)本身受到攻擊時(shí)會(huì)發(fā)生什么呢?SDN工具包是什么樣?全面的有效的SDN安全是什么樣的?我們?cè)鯓颖苊釹DN漏洞呢?

SDN是Stuxnet夢(mèng)想的搖籃?

SDN已經(jīng)成為網(wǎng)絡(luò)可編程新的簡稱。無論是基于標(biāo)準(zhǔn)的解決方案還是來自單個(gè)供應(yīng)商的專有技術(shù)(即構(gòu)建自己的OpenDaylight解決方案或者VMware打造的SDN環(huán)境)，它們都帶來同樣的困境：你都會(huì)被迫相信這個(gè)新的比較復(fù)雜的軟件攜帶著通往你的王國的鑰匙。這個(gè)“解決方案”將涉及更廣的范圍，將會(huì)改變權(quán)力和容量，程度甚至超過任何高級(jí)管理員。它還會(huì)控制網(wǎng)絡(luò)日志的現(xiàn)狀。

然而，事情并沒有那么糟糕，但企業(yè)需要考慮SDN安全帶來一些影響，或者更糟的是，零日漏洞利用。Stuxnet如此難以創(chuàng)造的原因之一是它需要克服的各種各樣的挑戰(zhàn)，它需要應(yīng)對(duì)多個(gè)版本的專有工業(yè)控制器和使用各種協(xié)議及應(yīng)用程序接口(API)的操作系統(tǒng)。但在SDN環(huán)境下，情況就不同了。

SDN帶來新的網(wǎng)絡(luò)安全問題

通過可編程網(wǎng)絡(luò)，蠕蟲不再需要利用現(xiàn)有的網(wǎng)絡(luò)裂縫;它們可以抓住一個(gè)弱控制點(diǎn)，并通過這個(gè)控制點(diǎn)創(chuàng)建一個(gè)后門，然后將其隱藏起來。與Stuxnet不同，SDN蠕蟲不需要管理數(shù)以百計(jì)的不同的攻擊向量。即使在專有廠商部署中，SDN蠕蟲也可以通過良好記錄的易于導(dǎo)航的API來提供控制。

當(dāng)我們從CLI、SNMP和其他“舊世界”接口轉(zhuǎn)移時(shí)，還面臨一個(gè)額外的威脅，我們將通過SDN架構(gòu)連接我們的性能監(jiān)控和安全政策掃描系統(tǒng)。也就是說，如果攻擊者破壞SDN控制層，他們將可以從監(jiān)控和安全系統(tǒng)隱藏其行蹤。隨著技術(shù)逐漸成熟，并且，我們?cè)絹碓揭蕾囉谧詣?dòng)化，我們也應(yīng)該期望在管理員配置出現(xiàn)與系統(tǒng)相同的變化，特別是在中小企業(yè)方面。畢竟，較小的經(jīng)驗(yàn)不足的團(tuán)隊(duì)不太可能比它們?nèi)〈木G屏管理員更能發(fā)現(xiàn)安全問題。

如何避免SDN安全噩夢(mèng)

SDN的未來是光明的，我們不應(yīng)該妄下結(jié)論，認(rèn)為SDN將會(huì)帶來通往美國國家安全局的后門。該技術(shù)確實(shí)會(huì)帶來一系列新的挑戰(zhàn)，但我們可以利用從其他可編程平臺(tái)獲取的豐富經(jīng)驗(yàn)來解決這些問題，例如服務(wù)器。無論你正在與供應(yīng)商溝通還是試圖構(gòu)建自己的SDN解決方案，當(dāng)你部署安全的SDN時(shí)，請(qǐng)務(wù)必考慮以下問題：

多少比率的文檔(或營銷材料)用于安全?安全像是可有可無的東西，還是作為解決方案架構(gòu)的一部分?

這個(gè)解決方案是否認(rèn)為不需要對(duì)防火墻內(nèi)提供安全保護(hù)?太多產(chǎn)品認(rèn)為沒有面向互聯(lián)網(wǎng)的系統(tǒng)享受著魔術(shù)般的安全保護(hù)。

對(duì)于聯(lián)合SDN等復(fù)合解決方案，聯(lián)合網(wǎng)絡(luò)將如何管理控制器之間分配的信任關(guān)系?你將在哪里部署分界點(diǎn)來限制多層分配變化的范圍?

該解決方案將如何管理分布式政策?所有受控制的設(shè)備都信任來自任意長命令行的變更請(qǐng)求嗎?它們是否能意識(shí)到繼承、模擬或者請(qǐng)求者角色?

你如何信任還是核查?解決方案是否包含至少一點(diǎn)點(diǎn)“石器時(shí)代”的技術(shù)來監(jiān)控不在其控制之內(nèi)的SDN控制器?

與其他任何新技術(shù)一樣，網(wǎng)絡(luò)可編程性在初期會(huì)遇到一些問題，但如果我們把眼光放遠(yuǎn)一點(diǎn)，提出問題，將其放在實(shí)驗(yàn)室的顯微鏡下研究，這將是一個(gè)好事情。