網(wǎng)絡當中接入的設備和云計算的興起,已經(jīng)將傳統(tǒng)網(wǎng)絡的性能推到了極限,這也是為什么在經(jīng)過深思熟慮之后,傳統(tǒng)網(wǎng)絡正在積極向虛擬化網(wǎng)絡功能和控制器過渡,電信公司正在部署SDN和NFV技術(shù),以實現(xiàn)更快的速度和網(wǎng)絡彈性提高網(wǎng)絡性能。事實上,SDN有可能通過提供靈活性來適應當今應用程序和工作負載的動態(tài)性來徹底改變數(shù)據(jù)中心。
然而,在涉及到SDN的安全性方面,雖然服務和策略是分布式的,但仍然通過集中的SDN控制器從單點進行管理。誠然這能夠給SDN提高效率,但如果SDN控制器受到攻擊,攻擊者可以快速影響整個網(wǎng)絡后果不堪設想。在SDN環(huán)境中DDoS攻擊成為影響SDN控制器有效性的重要方面。本文將探討DDoS攻擊在SDN環(huán)境中的安全隱患,并希望為SDN的用戶提供建議。
什么是虛擬網(wǎng)絡?組織為什么需要虛擬網(wǎng)絡?SDN是一種全新的技術(shù),它使得網(wǎng)絡管理員通過開放接口和較低級功能的抽象來創(chuàng)建動態(tài)網(wǎng)絡。SDN從實際移動數(shù)據(jù)(轉(zhuǎn)發(fā)平面)的硬件分離決定發(fā)送信息的智能化,即所謂的控制平面與轉(zhuǎn)發(fā)平面的分離。這兩個平面的分離使得決策過程在集中的、基于軟件的控制器中執(zhí)行,而不是讓網(wǎng)絡中的每個節(jié)點做出自己的決策。所有應用程序通過控制器進行配置請求,該控制器具有對整個網(wǎng)絡的可見性,并為每個節(jié)點做出轉(zhuǎn)發(fā)決策。但是,這也意味著IT安全團隊需要考慮如何保護控制平面,因為這將成為唯一的故障節(jié)點,稍有漏洞就可能導致整個網(wǎng)絡癱瘓。
盡管SDN帶來了很多好處,如改進網(wǎng)絡接入控制的細粒度安全策略等,與傳統(tǒng)的網(wǎng)絡架構(gòu)相比,它也引入了傳統(tǒng)網(wǎng)絡配置過程中不曾有過的挑戰(zhàn)。
SDN的安全問題在安全性方面,SDN終于實現(xiàn)了為每個虛擬化工作負載提供最大限度的保護所需的細粒度策略,并且這些策略在虛擬化基礎(chǔ)設施周圍遷移時自動遵循這些工作負載。
所面臨的挑戰(zhàn)在于,這可能導致SDN控制器成為整個網(wǎng)絡的單一妥協(xié)點,一旦被DDoS攻擊很容易被竊取數(shù)據(jù)導致網(wǎng)絡重大中斷。
將SDN與管道系統(tǒng)進行比較,這相當于一次泄露,降低系統(tǒng)壓力并影響整個網(wǎng)絡。事實上,與SDN部署相關(guān)的spine帶寬顯著增加了攻擊面,即使是相對較小的多千兆DDoS攻擊也可能使整個數(shù)據(jù)中心宕機。最終即時是一個單一的,低容量的DDoS攻擊也可能導致嚴重的損害,甚至給組織造成長期的損失。
最佳的安全方式當使用SDN和NFV創(chuàng)建彈性和安全的環(huán)境時,必須在數(shù)據(jù)中心邊緣部署始終運行的自動DDoS檢測和緩解工具,這是獲得實時響應事件所需的可見性的唯一方式。通過在SDN控制器和DDoS防御之間聯(lián)合API,可以控制對SDN控制器造成的破壞,并可以緩解DDoS攻擊。在發(fā)生超飽和事件時,DDoS防御可以迅速向上游發(fā)送信息,以報告此類攻擊事件。
結(jié)論總體而言,SDN和NFV為組織需要的關(guān)鍵網(wǎng)絡功能帶來巨大的優(yōu)勢,消除了對專有物理設備的需求,這使得組織能夠降低成本和復雜性,并同時享受改進的可擴展性、彈性和更便捷的部署。但是,盡管具備了這樣的優(yōu)勢,也使得網(wǎng)絡更容易受到攻擊。希望從SDN或NFV獲益的組織必須確保他們能夠全面了解其虛擬化環(huán)境以減輕這些風險。通過在系統(tǒng)之間聯(lián)合API來集成DDoS保護來展開網(wǎng)絡防御,只有密切關(guān)注虛擬化環(huán)境的管道,才能保持其操作和數(shù)據(jù)的安全性。