最近網(wǎng)絡(luò)領(lǐng)域最流行的詞匯是軟件定義網(wǎng)絡(luò)。SDN是對(duì)數(shù)據(jù)層和控制層的一種解耦,允許用戶通過(guò)安裝在通用服務(wù)器上的軟件控制器來(lái)管理物理設(shè)備。
SDN為提供了許多有用的東西,為用戶帶來(lái)了不少好處。用戶不必去接觸每臺(tái)交換機(jī)和路由器,就可以利用SDN控制器通過(guò)OpenFlow標(biāo)準(zhǔn)與物理網(wǎng)絡(luò)設(shè)備的聯(lián)絡(luò)以加強(qiáng)執(zhí)行政策。此外,用戶在理論上能夠使用任何具有OpenFlow功能的硬件設(shè)施,這意味著用戶不必從一家供應(yīng)商那里購(gòu)買其所需的所有網(wǎng)絡(luò)設(shè)備,而是可以選擇多家產(chǎn)品。
Check Point Fellow的資深行業(yè)專家Robert Hinden本周在RSA會(huì)議上發(fā)表演講,他提醒用戶在使用SDN技術(shù)之前,一定要注意SDN上可能會(huì)出現(xiàn)的一些安全風(fēng)險(xiǎn)。
Hinden指出,一旦你在這臺(tái)服務(wù)器上建立了集中的控制,那么你需要考慮到如果這臺(tái)服務(wù)器遭到攻擊的話會(huì)怎么樣?或者SDN控制器被黑客控制了該怎么辦?
從理論上說(shuō),黑客可以使網(wǎng)絡(luò)通訊直接繞過(guò)你的防火墻,然后向這個(gè)網(wǎng)絡(luò)嵌入惡意軟件,實(shí)施中間人攻擊或者向被攻破的節(jié)點(diǎn)發(fā)送網(wǎng)絡(luò)流量。
此外,網(wǎng)絡(luò)斷網(wǎng)或者出現(xiàn)故障時(shí)會(huì)出現(xiàn)什么事?目前還不清楚SDN控制器如何處理網(wǎng)絡(luò)斷網(wǎng)事故,或許需要重新路由網(wǎng)絡(luò)流量。
除了安全的擔(dān)心之外,Hinden還對(duì)SDN的可擴(kuò)展性提出了質(zhì)疑。他指出,傳統(tǒng)的路由和交換技術(shù)是基于目的地的,物理設(shè)備讀取標(biāo)頭 (header)并且使用路由表向適當(dāng)?shù)哪康牡匕l(fā)送數(shù)據(jù)包。
但是,SDN是基于流量的。這是好的,因?yàn)樗梢允顾械木W(wǎng)絡(luò)管理員制定出精細(xì)的政策。另一方面,所有進(jìn)入的流量都必須發(fā)送給網(wǎng)絡(luò)上的所有設(shè)備。Hinden認(rèn)為,這其實(shí)很難處理。
另一方面,Hinden表示,談到SDN和安全其實(shí)也有些積極的意義。這個(gè)控制器能夠把安全政策推送到這個(gè)網(wǎng)絡(luò)上的所有的路由器和交換機(jī)上,為所有的流量創(chuàng)建一個(gè)統(tǒng)一的SDN安全態(tài)勢(shì)。例如,如果有一臺(tái)被攻破的主機(jī),這個(gè)控制器能夠輕松地把這臺(tái)主機(jī)與網(wǎng)絡(luò)的其它部分隔離開(kāi)來(lái)。
雖然目前仍然是SDN應(yīng)用周期的最初階段,但是,Hinden建議,網(wǎng)絡(luò)和安全團(tuán)隊(duì)需要合作,因?yàn)樵赟DN領(lǐng)域所有網(wǎng)絡(luò)工作人員都需要對(duì)安全負(fù)責(zé)。