軟件定義網(wǎng)絡(luò)(SDN)將網(wǎng)絡(luò)從硬件平面轉(zhuǎn)移到了軟件平面，受到軟件控制器的管理。其好處包括自動化和簡化網(wǎng)絡(luò)管理工作以及提高應(yīng)用程序性能。但同時，作為一項新的技術(shù)，SDN也很容易受到攻擊。

首先，根據(jù)Casaba Security公司共同創(chuàng)始人Chris Weber表示，將控制集中到SDN控制器中能夠模糊了防護(hù)的分層硬件的界限，例如防火墻。

其次，根據(jù)Gartner分析師Neil MacDonald表示，通過從數(shù)據(jù)平面解耦控制平面，SDN引入了新的攻擊面，例如網(wǎng)絡(luò)控制器、其協(xié)議以及API。

第三，SDN的一個優(yōu)勢在于，軟件控制器可以安裝在操作系統(tǒng)(例如Windows或者Linux)之上的COTS硬件上，這能夠節(jié)省部署和其他成 本。但根據(jù)Casaba公司合作貨幣Ramsey Dow表示，反復(fù)出現(xiàn)緩沖區(qū)溢出等攻擊的主機(jī)會導(dǎo)致遠(yuǎn)程代碼執(zhí)行，從而危及這些系統(tǒng)。這使得SDN控制器面臨著與操作系統(tǒng)相同的風(fēng)險。

第四，由于SDN控制器的集中化性質(zhì)，高級持續(xù)性攻擊(APT)只需要感染這個控制器就可以有效地獲取對整個網(wǎng)絡(luò)的控制權(quán)。

為了解決這些問題，讓我們來看看一些有效的安全選項和控制措施。

SDN漏洞

在談到SDN如何替代用于保護(hù)傳統(tǒng)網(wǎng)絡(luò)的防火墻、內(nèi)部交換機(jī)和其他硬件時，Dow說道：“對于SDN，我最大的擔(dān)憂是，我們從網(wǎng)絡(luò)設(shè)計中移除了歷史悠久的物理部分，并將這一切都虛擬化了。”

并且，當(dāng)SDN替代這些分層硬件時，取而代之的是高度敏感的網(wǎng)絡(luò)層面，這很容易受到攻擊，MacDonald 表示:“SDN創(chuàng)建了一個抽象層，帶來了新的攻擊面，例如網(wǎng)絡(luò)控制器、OpenFlow協(xié)議，SDN可能部署的XMPP等協(xié)議，甚至供應(yīng)商的API也可能 受到攻擊。”

不僅控制平面的北向變得容易受到攻擊，而且其“軟肋”處更易受攻擊。通過在Windows或者linux之上安裝SDN控制器，企業(yè)讓它暴露在各種軟件問題面前，這些是日常電腦操作系統(tǒng)反復(fù)面對的問題。

微軟最新的安全公告公布了五個新的Windows安全漏洞，這些漏洞都能夠用于遠(yuǎn)程代碼執(zhí)行。開發(fā)人員最近還在Ubuntu中發(fā)現(xiàn)了四個新的漏洞，Ubuntu是流行的Linux發(fā)行版。

除了操作系統(tǒng)漏洞、新的攻擊面，以及消失的硬件防護(hù)線，最可能困擾SDN的可能是最常見的問題—錯誤配置。Enterprise CyberSecurity Architects公司首席執(zhí)行官Neil Rerup表示：“大部分攻擊利用的是錯誤配置，而不是漏洞本身。”Rerup通過思科UCS錯誤配置的實例來說明這個問題：

一家企業(yè)部署了思科UCS，除了應(yīng)用范圍不同(它解決服務(wù)器而不是網(wǎng)絡(luò))，這基本與SDN控制器是相同的概念。該企業(yè)部署UCS采用了默認(rèn)設(shè)置，UID和密碼配置，沒有進(jìn)行必要的控制來保護(hù)它。

Rerup表示：“我可以訪問這個控制平面，因為默認(rèn)角色、默認(rèn)密碼并沒有改變，訪問控制平面是通過用于訪問底層設(shè)備的正常的網(wǎng)絡(luò)連接。”

Rerup表示，由于SDN控制器相對較新，大多數(shù)安全人員并沒有完全了解它們，這往往導(dǎo)致他們沒有部署必要的控制措施。安全通常被視為SDN解決方案的一個“附加物”。雖然新技術(shù)意味著幫助企業(yè)提高生產(chǎn)力和降低成本，但這通常是沒有考慮企業(yè)的安全態(tài)勢得出的結(jié)論。

攻擊者只要通過高級持續(xù)攻擊獲得對SDN控制器的控制權(quán)，就可能導(dǎo)致整個網(wǎng)絡(luò)“淪陷”。作為直接與網(wǎng)絡(luò)設(shè)備通信的應(yīng)用程序系統(tǒng)，SDN控制器是在所 有組件直接建立通信的軟件系統(tǒng)。Dow表示：“就其本質(zhì)而言，這些控制器觸及一切事物。如果你攻擊了一個控制器，你就有可能不受限制地訪問整個環(huán)境。”

SDN安全措施

沒有什么能夠取代傳統(tǒng)硬件層，當(dāng)然，我們還需要保護(hù)SDN通信。根據(jù)Weber表示，在控制這些設(shè)備的管理員之間以及網(wǎng)絡(luò)設(shè)備之間通常需要更強的核心通信協(xié)議，最好使用通過身份驗證的加密協(xié)議，避免使用弱強度密碼。

MacDonald表示：“我們可以通過硬化控制器和協(xié)議來減少攻擊面。”為了保護(hù)新的層面，減少曝光率，我們還可以這樣做：使用嵌入式Linux的硬化配置，通過使用有效的身份、身份驗證和授權(quán)技術(shù)來硬化API，以及使用應(yīng)用程序白名單來防止未經(jīng)授權(quán)的代碼執(zhí)行。

除了硬化操作系統(tǒng)，我們還可以通過采取一些分層的方法來保護(hù)Linux或Windows之上的SDN控制器。首先，了解供應(yīng)商的安全配置最佳做法，并遵循這些做法。

及時修復(fù)補丁。Dow表示：“你的操作人員需要比平常更加積極地監(jiān)控多個數(shù)據(jù)源的信息。”這些來源包括思科或瞻博網(wǎng)絡(luò)等供應(yīng)商以及安全組織(例如CERT和NIST NVD)發(fā)布的信息。

“使用全功能的經(jīng)測試的事故響應(yīng)計劃，”Dow繼續(xù)說道，“這樣，當(dāng)你檢測到什么時，你就可以作出回應(yīng)。”為所有關(guān)鍵任務(wù)硬件簽署支持合同。

Weber表示：“你的供應(yīng)商也應(yīng)該提供一個強大的身份驗證協(xié)議。”這意味著雙因素身份驗證或者更強大的驗證。供應(yīng)商應(yīng)該包括基于角色的授權(quán)機(jī)制來分配訪問級別、權(quán)限和特權(quán)。

至于錯誤配置，我們有很多最佳做法來幫助企業(yè)避免錯誤配置，以及部署適當(dāng)?shù)陌踩刂?。首先，你需要將SDN漏洞當(dāng)做任何虛擬解決方案中的漏洞來對待。Rerup說道：“你需要將控制平面作為特權(quán)升級平面來對待。”企業(yè)還應(yīng)該使用以下控制來管理控制平面內(nèi)部發(fā)生的情況。

管理帶外SDN控制平面，將到SDN控制平面的路徑與一般流量路徑分離開來。移除所有的默認(rèn)配置，因為供應(yīng)商會廣泛發(fā)布這些配置信息，而攻擊者經(jīng)常會利用這些信息來發(fā)動攻擊。

記錄特權(quán)賬戶的所有活動，并將這些日志轉(zhuǎn)發(fā)到SIEM(安全信息和事件管理)安全日志聚合點，以提供集中訪問。Rerup說道：“如果你監(jiān)控特權(quán)賬戶的活動，你就可以迅速地發(fā)現(xiàn)問題，以及解決問題。”

在部署SDN時應(yīng)該考慮潛在的故障情況，Rerup解釋說;“如果你這樣做的話，那么你還應(yīng)該考慮SDN被宕機(jī)之后會發(fā)生什么。”

定期備份SDN配置文件，這樣你就可以在故障發(fā)生后很快啟動SDN以及運行它。最后，對SDN控制平面部署與企業(yè)為可以利用SDN的最高安全區(qū)相同的安全要求。

有些安全措施已經(jīng)存在很久了，有些則很新，對SDN安全問題的討論還將繼續(xù)進(jìn)行，我們是否言之過早?等發(fā)生問題的時候，你必定會聽到這樣的聲音，“我找告訴過你了。”