現(xiàn)如今的企業(yè)可能正在掀起一股部署實(shí)施軟件定義網(wǎng)絡(luò)(SDN)的趨勢(shì),但是,企業(yè)必須確保其從一開始就是安全的。
SDN仍處于其早期采用階段,當(dāng)然其發(fā)展成長(zhǎng)的勢(shì)頭不可阻擋。根據(jù)Gartner公司在2014年六月發(fā)布的SDN調(diào)研報(bào)告顯示,只有4%的企業(yè)機(jī)構(gòu)正處在部署該技術(shù)的過程中,但也有其他的研究表明,許多企業(yè)均熱衷于采用該技術(shù)。
而根據(jù)Infonetics Research發(fā)表的《關(guān)于2014年SDN策略:北美企業(yè)調(diào)查報(bào)告》發(fā)現(xiàn),45%的企業(yè)將會(huì)在2015年在其數(shù)據(jù)中心生產(chǎn)環(huán)境實(shí)現(xiàn)SDN的部署,這一數(shù)據(jù)到2016年還將上升到87%。
盡管其新生的狀態(tài),但SDN正在迅速地受到越來越多企業(yè)的青睞。鑒于這一趨勢(shì)的迅猛發(fā)展,在本文中,我們將為廣大讀者介紹企業(yè)如何以最為安全的方式部署SDN?
選擇最佳的技能組合
Riverbed科技公司高級(jí)產(chǎn)品營(yíng)銷經(jīng)理Brent Lees表示說,部署實(shí)施SDN技術(shù)尚在起步階段,因而存在相當(dāng)?shù)募夹g(shù)安全風(fēng)險(xiǎn)。企業(yè)所面臨的最大挑戰(zhàn)之一如何確保安裝必要的技術(shù),使得漏洞不會(huì)被惡意攻擊利用。
“學(xué)習(xí)一種完全不同的安全架構(gòu)本身就是一項(xiàng)十分艱巨的挑戰(zhàn)。”他說。“此外,相同的開放接口和已知的SDN協(xié)議,簡(jiǎn)化了網(wǎng)絡(luò)編程,也為攻擊者提供了機(jī)會(huì)。”
向量攻擊
其是控制面板從轉(zhuǎn)發(fā)面板的分離,可以證明企業(yè)使用SDN架構(gòu)的安全問題。架構(gòu)分為三個(gè)層次:應(yīng)用層,控制層和基礎(chǔ)設(shè)施層,后者包括應(yīng)用程序和服務(wù)配置、以及SDN基礎(chǔ)設(shè)施請(qǐng)求SDN。所有這三層均可以被向量攻擊(attackvector),而該問題通過技術(shù)所帶來的額外的復(fù)雜性程度的增加而進(jìn)一步加劇。
“SDN完全徹底的改變了安全模式,” Exponential-e公司的技術(shù)專家史蒂芬·哈里森表示說。 “更糟的是,由于許多SDN技術(shù)依賴于新的覆蓋和封裝技術(shù),使得我們現(xiàn)有的許多安全工具不能真正檢查和了解SDN流量。
“就像虛擬化使得服務(wù)器的安全性變得既更為安全也更為不安全一樣:更安全是因?yàn)槌橄髮?,更不安全是因?yàn)槟辉傩枰锢碓L問,我們現(xiàn)在已然看到這種模式在SDN上重演了。”
如果SDN基礎(chǔ)設(shè)施的部署無視安全,企業(yè)就難免會(huì)受到攻擊。讓我們來看看每一層如何會(huì)被攻擊以及如何最好地采取保護(hù)措施把。
數(shù)據(jù)層(南向)
一些南向API和協(xié)議被控制器用來網(wǎng)絡(luò)上溝通,如OpenFlow(OF),OpenvSwitch數(shù)據(jù)庫管理協(xié)議(OVSDB),思科onePK,應(yīng)用中心基礎(chǔ)設(shè)施(ACI),等等。
上述每種協(xié)議都有自己的方式確保通信,但這些都是新的,可能沒有充分考慮過安全性。
使用API來創(chuàng)建更加用戶友好的管理界面的能力,增加了網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊面,因?yàn)榘踩辉倬窒抻诰W(wǎng)絡(luò)設(shè)備供應(yīng)商,MWR InfoSecurity的高級(jí)安全研究員和顧問David Chismon說。
“你的網(wǎng)絡(luò)的安全性可能會(huì)由于不安全的執(zhí)行管理應(yīng)用程序而受挫。”他說。
這可以讓攻擊者很容易地添加自己的流到flow table,并欺騙原本在網(wǎng)絡(luò)上不允許的流量。
保護(hù)數(shù)據(jù)層
SDN系統(tǒng)通常使用通用的基于x86的系統(tǒng)和TLS以加強(qiáng)控制面板的安全,但長(zhǎng)期而言,會(huì)使數(shù)據(jù)面板易于受到攻擊。
“控制協(xié)議流量應(yīng)從主要數(shù)據(jù)流分離,或者通過網(wǎng)絡(luò)安全措施或一個(gè)帶外網(wǎng)絡(luò)。” Chismon說。“企業(yè)選擇控制器的時(shí)候應(yīng)注重安全選項(xiàng)的可用性因素(如SSL)。”
使用TLS(需要SSL)來驗(yàn)證控制器和終端將有助于防止竊聽、偽造南向連接通信。
控制層
SDN控制器也是黑客們感興趣的攻擊目標(biāo)。“強(qiáng)大的中央集中式的SDN模型,即SDN控制器,也代表一個(gè)單點(diǎn)故障和高價(jià)值的攻擊目標(biāo)。”Wedge Networks(穩(wěn)捷網(wǎng)絡(luò))首席執(zhí)行官兼云以太網(wǎng)論壇安全倡議聯(lián)合主席張鴻文表示說。
“如果他們可以妥協(xié)的話,他們就可以開始直接影響到網(wǎng)絡(luò)上的流量。”
Juniper網(wǎng)絡(luò)營(yíng)銷服務(wù)提供商的負(fù)責(zé)人David Noguer Bau表示說,網(wǎng)絡(luò)組件現(xiàn)已從控制器向命令開放,這可能是應(yīng)對(duì)網(wǎng)絡(luò)罪犯的方式。
“潛在的攻擊者可以嘗試控制網(wǎng)絡(luò),假裝是一個(gè)SDN控制器或剛剛突破到控制器本身。”他說。“還有一些新類型的DDoS攻擊,試圖通過找到自動(dòng)化的進(jìn)程占用大量的CPU周期,利用SDN基礎(chǔ)設(shè)施潛在的縮放限制。”
保護(hù)控制層
為強(qiáng)化面向公眾的Linux服務(wù)器安全的最佳方案,可以適用于這種情況,Chismon說。但是,企業(yè)可能還是需要監(jiān)督控制器的可疑活動(dòng)。
對(duì)于SDN控制網(wǎng)絡(luò)的訪問應(yīng)被控制,以防止發(fā)生未經(jīng)授權(quán)的活動(dòng)。管理員被建議建立基于角色的訪問控制(RBAC)政策,以及審計(jì)跟蹤,以查看未經(jīng)授權(quán)的針對(duì)控制器的更改。
高可用性控制器架構(gòu)可以在一定程度上通過使用冗余控制器,以彌補(bǔ)其他控制器的損失減輕DDoS攻擊。
Fortinet公司SDN安全專家Ronen Shpirer表示:“在網(wǎng)絡(luò)的集中決策點(diǎn),首要關(guān)鍵點(diǎn)是要確保架構(gòu)內(nèi)的SDN控制器的安全。強(qiáng)大的訪問控制是必需的,沿著信任區(qū)域分割。DDoS防護(hù),防病毒和其他威脅的預(yù)防、以及緩解技術(shù)都是必須的。”
應(yīng)用程序?qū)?北向)
北向的協(xié)議和API也是攻擊目標(biāo),其中有許多來自黑客。這些API使用Java,JSON和Python等等,并且攻擊者可以通過利用任何漏洞獲得對(duì)SDN的基礎(chǔ)設(shè)施的控制權(quán)。因此,北向的API安全是必須的,否則,SDN管理政策可以被攻擊者創(chuàng)建,以便采取控制。
在這樣的API上只使用默認(rèn)密碼將使得黑客能夠輕易猜到密碼,然后創(chuàng)建數(shù)據(jù)包轉(zhuǎn)發(fā)到控制器的管理界面,以確定該SDN網(wǎng)絡(luò)的結(jié)構(gòu),甚至建立他們自己的網(wǎng)絡(luò)。
“最常見的挑戰(zhàn)是確保有一個(gè)地方,以免受黑客攻擊驗(yàn)證應(yīng)用程序的訪問控制平面和防止這種身份驗(yàn)證的應(yīng)用程序的機(jī)制,”Riverbed的Lees說。
保護(hù)應(yīng)用層
使用TLS或SSH以確保北向通信的安全被認(rèn)為是最佳做法。另一種用來幫助實(shí)現(xiàn)這一目的方式是確保北向應(yīng)用程序的代碼安全。這也意味著認(rèn)證和加密方法應(yīng)該被部署在所有應(yīng)用程序和服務(wù)請(qǐng)求SDN服務(wù)和數(shù)據(jù),以及服務(wù)于這些請(qǐng)求的所有控制器之間。
Extreme Networks公司解決方案架構(gòu)和創(chuàng)新的副總裁Markus Nispel說:“最終用戶應(yīng)該利用相關(guān)的SDN功能,以引入新的安全功能,集成到無處不在的網(wǎng)絡(luò)。他們應(yīng)該在保護(hù)控制器;以及控制器和應(yīng)用程序之間的通信的北向API側(cè)的的安全配置給予更多的關(guān)注。”
SDN是否可以提高安全性?
一些分析師認(rèn)為,SDN非但不會(huì)造成安全問題,反而有助于提升整個(gè)企業(yè)的安全。
“這些解決方案的安全性在實(shí)質(zhì)上是有重大改善的,因?yàn)橛辛诉@些覆蓋方案,使得定義一個(gè)虛擬的網(wǎng)絡(luò)架構(gòu),以準(zhǔn)確反映應(yīng)用程序的邏輯結(jié)構(gòu),讓所有的應(yīng)用程序快均反映到一個(gè)虛擬網(wǎng)絡(luò)成為可能。” 451研究所的研究總監(jiān)彼得·克里斯蒂表示。
有了這些虛擬的網(wǎng)絡(luò),各部分之間的合適與不合適的通信可以清楚的定義,而私人網(wǎng)絡(luò)與其他網(wǎng)絡(luò)通信的規(guī)則也能夠被精確的定義和明確的規(guī)則。“而這些在傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)都是不可能實(shí)現(xiàn)的。”克里斯蒂說。
預(yù)計(jì)未來的可能威脅
想要精確的預(yù)測(cè)黑客將如何以SDN為目標(biāo)進(jìn)行攻擊是很難的。畢竟,SDN基礎(chǔ)設(shè)施的部署仍然很新,其控制器和協(xié)議也是如此。我們只能猜測(cè)攻擊者會(huì)如何攻擊。利用相關(guān)的安全測(cè)試,我們只有把自己放在網(wǎng)絡(luò)犯罪的環(huán)境下,才可以看到其中的漏洞存在于哪些位置。
隨著企業(yè)開始掌握相關(guān)的部署技術(shù),從一開始就充分考慮到SDN的安全是非常重要的。如果在SDN部署完成事后才這樣做,北向和南向的流量容易造成各處所提供的服務(wù)的問 題。因此把事情從一開始就處理好就會(huì)幫助企業(yè)避免后續(xù)發(fā)展中的許多問題。