SDN在創(chuàng)立之初就受到了全球矚目并發(fā)展迅速，SDN的發(fā)展壯大帶來網(wǎng)絡(luò)產(chǎn)業(yè)格局重大調(diào)整的同時，也勢必會波及到網(wǎng)絡(luò)安全設(shè)備行業(yè)。網(wǎng)絡(luò)側(cè)安全產(chǎn)品在本質(zhì)上是一種特殊用途的網(wǎng)絡(luò)設(shè)備，SDN技術(shù)將對跨L2-L7的整個協(xié)議棧產(chǎn)生影響，因此在網(wǎng)絡(luò)基礎(chǔ)架構(gòu)發(fā)生變化時，甚至是發(fā)生變化之前，網(wǎng)絡(luò)安全設(shè)備的工作機制和解決方案也會發(fā)生相應(yīng)的變化。

 [[140679]]

回到虛擬化，它給數(shù)據(jù)中心和企業(yè)網(wǎng)絡(luò)帶來了新的問題和挑戰(zhàn)。一方面，傳統(tǒng)的安全產(chǎn)品和安全解決方案無法解決在虛擬化后出現(xiàn)新的網(wǎng)絡(luò)安全問題;另一方面，網(wǎng)絡(luò)虛擬化自身也面臨一些安全問題。網(wǎng)絡(luò)在虛擬化后主要面臨的問題有：

物理安全設(shè)備存在觀測死角

虛擬機與外界存在數(shù)據(jù)交換，在虛擬化環(huán)境中的數(shù)據(jù)流有兩類，即跨物理主機的VM 數(shù)據(jù)流和同一物理主機內(nèi)部的VM 數(shù)據(jù)流。前者一般通過隧道或VLAN 等模式進行傳輸，現(xiàn)有的IDS/IPS 等安全設(shè)備需要在所有的傳輸路徑上進行監(jiān)控，后者只經(jīng)過物理主機中的虛擬交換機，無法被實體的安全設(shè)備監(jiān)控到，成為整個安全系統(tǒng)的死角。攻擊者可以在內(nèi)部虛擬網(wǎng)絡(luò)中發(fā)動任何攻擊，而不會被安全設(shè)備所察覺。

虛擬網(wǎng)絡(luò)的數(shù)據(jù)流難以理解

雖然安全設(shè)備無法獲得物理主機內(nèi)部的VM 間的數(shù)據(jù)包，但可以獲取跨物理主機間VM 的數(shù)據(jù)流。盡管如此，傳統(tǒng)的安全設(shè)備還是不能理解這些數(shù)據(jù)流，也就無法應(yīng)用正確的安全策略。例如，兩個租戶分別在兩臺物理主機上租用了一臺虛擬機，當(dāng)租戶A從VM1向VM3發(fā)數(shù)據(jù)包時，防火墻能接收到物理主機1到物理主機2的數(shù)據(jù)包，但不知道到底是租戶A還是租戶B的程序在發(fā)送數(shù)據(jù)包，也不知道是哪兩臺VM在通信。此外，很多虛擬機之間的數(shù)據(jù)包是經(jīng)過GRE隧道傳輸?shù)模詡鹘y(tǒng)的網(wǎng)絡(luò)安全設(shè)施可能不能解析這些封裝后的數(shù)據(jù)流。

安全策略難以遷移

虛擬化解決方案的重要優(yōu)點是彈性和快速，例如當(dāng)VM從一臺物理主機無縫快速地遷移到另一臺物理主機時，或當(dāng)增加或刪除VM時，網(wǎng)絡(luò)虛擬化管理工具可快速調(diào)整網(wǎng)絡(luò)拓撲，在舊物理網(wǎng)絡(luò)中刪除VM 的網(wǎng)絡(luò)資源(地址、路由策略等)，并在新的物理網(wǎng)絡(luò)中分配VM的網(wǎng)絡(luò)資源。相應(yīng)地，安全解決方案也應(yīng)將原網(wǎng)絡(luò)設(shè)備和安全設(shè)備的安全控制(ACL和QoS)跟隨遷移，然而現(xiàn)有安全產(chǎn)品缺乏對安全策略遷移的支持，導(dǎo)致安全邊界不能適應(yīng)虛擬網(wǎng)絡(luò)的變化。

網(wǎng)絡(luò)流量不可見

在傳統(tǒng)網(wǎng)絡(luò)中，所有數(shù)據(jù)包經(jīng)由交換或路由設(shè)備，這些設(shè)備可以感知并學(xué)習(xí)當(dāng)前環(huán)境的數(shù)據(jù)流量，可以針對目前的網(wǎng)絡(luò)狀況動態(tài)調(diào)整路由策略。但基于OpenFlow的SDN架構(gòu)中的網(wǎng)絡(luò)控制器只會收到底層設(shè)備發(fā)來的部分數(shù)據(jù)包，并不了解控制域中大部分直接被轉(zhuǎn)發(fā)的數(shù)據(jù)流具體內(nèi)容。

控制器的單點失效

除了傳統(tǒng)網(wǎng)絡(luò)升級到SDN后網(wǎng)絡(luò)層的新問題外，SDN本身也會存在漏洞，特別是復(fù)雜的SDN的控制器。數(shù)據(jù)平面和控制平面的分離主要是由控制器實現(xiàn)的，所以控制器就成為網(wǎng)絡(luò)虛擬化的最重要的設(shè)施。

然而控制器需要應(yīng)對各種動態(tài)的網(wǎng)絡(luò)拓撲，解析各種類型的數(shù)據(jù)包，接收上層應(yīng)用的信息，并控制底層網(wǎng)絡(luò)設(shè)備的行為，所以功能實現(xiàn)將會非常復(fù)雜，也就可能存在不少漏洞。當(dāng)攻擊者攻破控制器，就可以向所有的網(wǎng)絡(luò)設(shè)施發(fā)送指令，很容易癱瘓整個網(wǎng)絡(luò);或?qū)⒛承?shù)據(jù)流重定向到惡意VM，造成敏感信息的泄露。

所以，針對傳統(tǒng)安全產(chǎn)品對內(nèi)部網(wǎng)絡(luò)不可見的缺點，安全廠商需推出支持虛擬化的安全產(chǎn)品，這些安全產(chǎn)品以軟件的形式存在，并兼容主流的虛擬化解決方案，可監(jiān)控內(nèi)部虛擬網(wǎng)絡(luò)中的數(shù)據(jù)流。要想達到真正的軟件定義安全，就需要在保護現(xiàn)有和新增設(shè)備以及內(nèi)部虛擬網(wǎng)絡(luò)的基礎(chǔ)上，深刻理解SDN的工作模式，提出松耦合但與之匹配的安全架構(gòu)，設(shè)計網(wǎng)絡(luò)控制器和安全控制器聯(lián)動的安全機制，建立基于環(huán)境的數(shù)據(jù)傳輸決策模型。