虛擬化安全問題影響SDN前進(jìn)步伐

責(zé)任編輯:editor004

2014-03-18 10:41:25

摘自:通信世界網(wǎng)

3月18日?qǐng)?bào)道,目前,SDN已被業(yè)界公認(rèn)為下一代網(wǎng)絡(luò)的發(fā)展方向,包括愛立信、思科、華為在內(nèi)的眾多網(wǎng)絡(luò)設(shè)備供應(yīng)商都在順應(yīng)這一趨勢(shì),推出相應(yīng)的產(chǎn)品和解決方案。

3月18日?qǐng)?bào)道,目前,SDN已被業(yè)界公認(rèn)為下一代網(wǎng)絡(luò)的發(fā)展方向,包括愛立信、思科、華為在內(nèi)的眾多網(wǎng)絡(luò)設(shè)備供應(yīng)商都在順應(yīng)這一趨勢(shì),推出相應(yīng)的產(chǎn)品和解決方案。不過,近期思科總裁錢伯斯一句:“還沒有從一個(gè)客戶那里聽到他們想要SDN”,讓人們對(duì)SDN產(chǎn)業(yè)化能力產(chǎn)生諸多質(zhì)疑。而探究其中原因,在SDN世界里,虛擬化所產(chǎn)生的安全問題一直未解,使得SDN發(fā)展緩慢前行。

據(jù)媒體報(bào)道,在近期召開的一個(gè)安全會(huì)議上,市場(chǎng)調(diào)研機(jī)構(gòu)IDC的安全產(chǎn)品部門研究主管John Grady對(duì)SDN安全問題的擔(dān)憂表示肯定。他認(rèn)為SDN目前依然只是一個(gè)流行詞匯。物理網(wǎng)絡(luò)安全仍然是一個(gè)以硬件為導(dǎo)向的市場(chǎng)。從長(zhǎng)遠(yuǎn)看,人們很想知道對(duì)于虛擬化網(wǎng)絡(luò)安全應(yīng)用有什么影響,以及這種影響對(duì)于網(wǎng)絡(luò)安全平臺(tái)意味著什么。

從概念上講,SDN帶來的益處顯而易見:其不必觸及每個(gè)交換機(jī)和路由器,OpenFlow通過將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)面分離開來,便可實(shí)現(xiàn)網(wǎng)絡(luò)流量的靈活控制。這樣一來,客戶可以在理論上使用任何啟用OpenFlow的硬件,這意味著企業(yè)不再需要從同一供應(yīng)商那里購(gòu)買所有的網(wǎng)絡(luò)設(shè)備。

但是這樣做的同時(shí)也會(huì)產(chǎn)生一些安全隱患,OpenFlow網(wǎng)絡(luò)由OpenFlow交換機(jī)、FlowVisor網(wǎng)絡(luò)虛擬化和Controller控制器三部分組成。而負(fù)責(zé)管理OpenFlow協(xié)議的開放網(wǎng)絡(luò)聯(lián)盟(ONF)在去年10月發(fā)表了一篇論文,文中指出了兩個(gè)潛在的SDN安全問題,也是行業(yè)必須封堵的兩個(gè)網(wǎng)絡(luò)攻擊途徑: 集中控制是一個(gè)“潛在的單點(diǎn)攻擊和故障源”;控制器與數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備之間的南向接口很容易“受到攻擊而降低網(wǎng)絡(luò)的可用性、性能和完整性。”

可以很明顯的看出,SDN控制器是黑客一個(gè)主要攻擊目標(biāo),因?yàn)樗仁且粋€(gè)集中的網(wǎng)絡(luò)干擾點(diǎn),也是一個(gè)潛在的單點(diǎn)故障源。Voodoo Security安全咨詢師和IANS領(lǐng)導(dǎo)成員Dave Shackleford說:“如果不注意控制器,那么它會(huì)成為攻擊者的最重要目標(biāo),他們可能會(huì)輕松攻破它,修改代碼庫,改變流量控制,從而在一些位置過濾或藏匿數(shù)據(jù),任由攻擊者操控?cái)?shù)據(jù)。”

也正因?yàn)槿绱?,目前選擇SDN就意味著要選擇承受來自網(wǎng)絡(luò)安全的威脅,而一直以來,SDN概念中并沒有過多的去考慮安全因素。這也是造成企業(yè)在選擇SDN時(shí)猶豫不決,無法進(jìn)行規(guī)模部署的原因之一。因此,目前需要盡快了解安全系統(tǒng)如何融入SDN網(wǎng)絡(luò)是至關(guān)重要的。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)