軟件定義網(wǎng)絡(luò)(SDN)是極少數(shù)由安全引領(lǐng)的技術(shù)，但這個(gè)事實(shí)并沒有得到應(yīng)得的關(guān)注。

就在911事件不久后，Martin Casado腦海里產(chǎn)生了促使SDN的原始想法，他當(dāng)時(shí)在情報(bào)機(jī)構(gòu)處理具有高度安全設(shè)置的系統(tǒng)?，F(xiàn)在Casado是VMware公司網(wǎng)絡(luò)和安全首席技術(shù)官。

　　Casado意識到他們完全可以編程一臺計(jì)算機(jī)來處理計(jì)算機(jī)層面的安全問題，但對于網(wǎng)絡(luò)安全問題，卻無法采用相同的方式。他們受限于網(wǎng)絡(luò)供應(yīng)商銷售的產(chǎn)品，并且，他們沒辦法改變這種局面。從可操作化安全網(wǎng)絡(luò)來看，這是最薄弱的環(huán)節(jié)。

　　Casado把他的提高企業(yè)網(wǎng)絡(luò)安全的想法帶到了斯坦福大學(xué)，在那里他獲得了他的博士學(xué)位，并為現(xiàn)在我們所謂的SDN奠定了基礎(chǔ)。

　　為了將虛擬化的靈活性和安全屬性引入到網(wǎng)絡(luò)中，Casado及其在斯坦福大學(xué)的博士學(xué)位導(dǎo)師Nick McKeown，以及加州大學(xué)伯克利分校的Scott Shenker在2007年共同創(chuàng)立了Nicira。該公司的初始資金來自情報(bào)機(jī)構(gòu)，而在2012年，VMware收購了Nicira。

　　“不僅SDN本身在設(shè)計(jì)時(shí)將安全作為其基礎(chǔ)，而且SDN旨在創(chuàng)造更安全的網(wǎng)絡(luò)設(shè)計(jì)，”Casado表示，“SDN將能夠解決傳統(tǒng)網(wǎng)絡(luò)面對的日益嚴(yán)重的安全問題。”

什么是SDN?

　　SDN是一個(gè)“堆棧”架構(gòu)，它將網(wǎng)絡(luò)控制平面從轉(zhuǎn)發(fā)平面分離出來，并將其集中在控制器中，控制器通過高水平的政策定義轉(zhuǎn)發(fā)行為。北向應(yīng)用編程接口(API)位于該控制器的頂部，并提供到應(yīng)用和管理的網(wǎng)絡(luò)抽象接口。南向API(例如OpenFlow)允許控制器在SDN堆棧的底部定義交換機(jī)的行為。

　　SDN到底是什么，這里存在有很多混淆。IDC公司數(shù)據(jù)中心網(wǎng)絡(luò)研究主管Brad Casemore表示：“記住，有些編程網(wǎng)絡(luò)的方式并不涉及SDN，如果它不涉及分離數(shù)據(jù)平面和控制平面，它就不是SDN。”SDN并不是構(gòu)建到網(wǎng)絡(luò)的基礎(chǔ)設(shè)施上的修復(fù)解決方案。

　　SDN在安全方面需要知道的最重要的事情之一就是，它涉及根本性轉(zhuǎn)移到零信任模式。在這種模式中，你需要假設(shè)你的訪客是不受信任的，限制代碼基礎(chǔ)，只允許最低訪問權(quán)限來完成工作，在SDN出現(xiàn)之前，這是非常困難的工作。

　　Casado指出：“安全領(lǐng)域的人都知道，信息收集往往容易受到攻擊。因此，我們要確保兩個(gè)原則：最少的信息和最低的特權(quán)。”

SDN實(shí)現(xiàn)信任整合

　　SDN的另一個(gè)關(guān)鍵特性是信任整合。在物理世界中，如果你將所有可信任的東西放在保管庫中，并鎖上它，你的安全問題就縮小為保管庫的解鎖問題。

　　傳統(tǒng)網(wǎng)絡(luò)沒有可以整合信任的中央機(jī)構(gòu)或者信托機(jī)構(gòu)，因此，整個(gè)網(wǎng)絡(luò)散布著潛在的不安全因素。

　　傳統(tǒng)網(wǎng)絡(luò)中的信任泛濫的原因之一是互聯(lián)網(wǎng)技術(shù)被設(shè)計(jì)為有機(jī)地增長，而沒有任何中央授權(quán)。

　　Casado表示，現(xiàn)在這種隱形信任的問題是，攻擊者經(jīng)?？梢岳盟?。而SDN可以保證這種信任整合，確認(rèn)幾個(gè)可信實(shí)體，并認(rèn)為其他一切都是不可信的。

　　SDN提供對架構(gòu)的更多控制，以及控制平面的分布模型，這使其可以將信任整合到較少的元素。

　　肯塔基大學(xué)的首席網(wǎng)絡(luò)工程師Brent Salisbury指出，現(xiàn)在你不需要擔(dān)心數(shù)千個(gè)元素，你只需要擔(dān)心幾十個(gè)元素。

　　“SDN縮小了你的攻擊向量，”Salisbury表示，“當(dāng)然，那些幾十個(gè)設(shè)備就變得更加重要，你可以圍繞它們構(gòu)建安全基礎(chǔ)設(shè)施，而不是圍繞所有的設(shè)備來構(gòu)建安全基礎(chǔ)設(shè)施。傳統(tǒng)網(wǎng)絡(luò)的問題在于，你需要到處部署安全基礎(chǔ)設(shè)施，這需要非常高的成本。通過SDN，我們不僅可以節(jié)省成本，還可以提高安全性。”#p#

SDN是一個(gè)機(jī)制，不是一個(gè)部署

　　盡管供應(yīng)商使用各種術(shù)語，但我們需要意識到，SDN是一種機(jī)制，并不是關(guān)于如何部署架構(gòu)的代名詞。大型公司和初創(chuàng)公司(包括VMware、思科、瞻博網(wǎng)絡(luò)、Big Switch以及Plexxi)都在采用不同的部署方法。

　　Casado在Nicira(現(xiàn)在屬于VMware公司)打造了第一批SDN部署之一，這個(gè)網(wǎng)絡(luò)虛擬化平臺NSX在8月下旬的2013年 VMworld大會(huì)上首次亮相。它能夠在虛擬主機(jī)和現(xiàn)有的物理網(wǎng)絡(luò)之間創(chuàng)建一個(gè)智能抽象層。

　　網(wǎng)絡(luò)虛擬化與服務(wù)器虛擬化類似，因?yàn)樗且粋€(gè)平臺，一組可以由軟件控制的原生功能，獨(dú)立于物理設(shè)備。它使用虛擬機(jī)提供的相同屬性：隔離和有限的可信計(jì)算基礎(chǔ)。

　　“作為SDN的證明點(diǎn)或者SDN之上構(gòu)建的應(yīng)用，網(wǎng)絡(luò)虛擬化具有可靠的安全屬性，”Casado說道，“這是我在情報(bào)機(jī)構(gòu)工作時(shí)使用的用例：你如何構(gòu)建計(jì)算隔離組?它們都有自己的安全政策，無論虛擬機(jī)去哪里，這些政策都將保持不變。對于我來說，這是關(guān)鍵所在，這也是為什么我認(rèn)為網(wǎng)絡(luò)虛擬化將是未來所有安全部署的根本所在。”

SDN控制器是攻擊目標(biāo)嗎?

　　對于SDN，人們最大的擔(dān)憂就是，SDN控制器現(xiàn)在將成為攻擊者的巨大目標(biāo)。但事實(shí)上，這個(gè)控制器根本沒有那么簡單可以攻破。

　　在計(jì)算機(jī)虛擬化中，信任整合是在管理程序中進(jìn)行，因此，安全問題被縮小到保護(hù)管理程序。網(wǎng)絡(luò)虛擬化依賴于與計(jì)算虛擬化相同的信任假設(shè);它也在管理程序中使用信任整合。

　　面對質(zhì)疑管理程序上信任整合的安全性的人，Casado提到了亞馬遜的彈性計(jì)算云。該管理程序因其隔離性質(zhì)以及運(yùn)行數(shù)以百萬計(jì)的工作負(fù)載而備受信賴。

　　“如果你可以信任現(xiàn)在的管理程序，那么你應(yīng)該同樣地信任網(wǎng)絡(luò)虛擬化?？刂破鞅旧硎遣荒鼙蛔鈶糁苯釉L問的;它們不是控制空間的一部分。攻擊者沒有辦法攻擊它們，”Casado解釋說，“你需要攻擊管理程序，這是你現(xiàn)在必須做的，并且，我們正在使用租戶之間的隔離。”

　　底線是，現(xiàn)在在物理網(wǎng)絡(luò)中，與控制器相對應(yīng)的是物理網(wǎng)絡(luò)設(shè)備以及可以攻擊它們的任何終端主機(jī)。Casado表示：“在網(wǎng)絡(luò)虛擬化中，控制器完全是隱藏的，它們甚至不在訪客的地址空間，因此，它們不可能受到攻擊。”

安全公司的新機(jī)會(huì)

　　SDN涉及更改網(wǎng)絡(luò)架構(gòu)，這個(gè)過程存在安全隱患。它允許你以不同的方式建立系統(tǒng)，這改變了很多安全假設(shè)。這給安全行業(yè)帶來了巨大的機(jī)會(huì)，讓他們可以利用這個(gè)新架構(gòu)的優(yōu)勢，同時(shí)，還能幫助定義核心規(guī)則集以及新模式來重新思考安全。

　　VMware已經(jīng)開發(fā)了一個(gè)生態(tài)系統(tǒng)來聯(lián)合安全行業(yè)的大型供應(yīng)商，包括所有的傳統(tǒng)安全設(shè)備和終端主機(jī)防病毒公司。作為該生態(tài)系統(tǒng)的一部分，客戶可以決定他們想要的安全服務(wù)，想要的供應(yīng)商，來建立自己的虛擬世界。

　　作為SDN的首批用例之一，網(wǎng)絡(luò)虛擬化從根本上改變了我們對安全的認(rèn)識，Casado說道：“這為我們提供了一個(gè)機(jī)會(huì)來重新定義安全，它為我們提供了全球性覆蓋，讓我們可以動(dòng)態(tài)地對事物做出反應(yīng)?，F(xiàn)在我們正在進(jìn)入全新的安全世界。”