SDN解决了很多网络问题,但安全性不是其中之一

SDN安全性:更多功能与协议和依赖性缺点

作家,CSO |

SDN自动化
Shutterstock.

由于数字企业努力寻找最佳安全解决方案来捍卫其不断扩展的网络,许多人正在寻找提供互操作性功能的下一代工具。

软件定义网络(SDN)持有很多承诺。通过将多个设备的控制平面固化到单个控制器中,该控制器将成为整个网络上的无所不能的决策者。

这是大量的力量,而且开发人员在构建SDN产品时仍然没有安全的思想中的最前沿,这就是为什么SDN存在缺陷,可以危及企业安全。

Fabio de Gaspari,博士生,萨皮萨大学罗马据说,“与SDN相关的主要风险是控制平面和控制平面的潜在可扩展性问题的折衷。”

如何实现控制平面确定其漏洞,但如果攻击者能够访问控制器,结果,则可以从灾难性与攻击者从整个网络获得完全控制,以便在多控制器中的高安全性风险De Gaspari说,SDN可以潜在地检测和减轻受损的控制器。“

由于在缺少控制器的情况下,开关不能正常运行,因此De Gaspari表示,“控制平面可扩展性差的结果可以从网络效率差到对新网络流完全没有响应的网络设备。”

通常,主要安全风险来自设备的差或不正确的配置。虽然这在SDN中不仅仅是真的,但De Gaspari表示,鉴于如何灵活,甚至可能更重要,因此误解架构是多么容易。

尽管安全性差距,但SDN继续成为现代网络问题的新出现的替代解决方案。Gregory Pickett,Heldfire Security的网络安全行动表示,SDN有很多好的良好。

“它允许提供商需要几十年来的操作,维护干出,客户出口选择,通过信誉的路由选择,更快的路由融合,以及IXP的颗粒凝视。SDN呈现这些所有的操作这些问题没有,“Pickett写道。

在他的黑色帽子2015年演示文稿中,滥用软件定义的网络,Pickett表示,SDN提供了网络响应威胁网络的能力。虽然提供承诺,但SDN仍然具有安全漏洞。

“这个洞是,在释放产品之前,人们没有看到安全。他们仍然没有认真对待安全性,”Pickett说。

Pickett说,安全性仍然是SDN仍然存在挑战的部分原因是,Pickett说,没有明确建立的软件已定义网络的定义。

“我的印象是这个概念是一个嗡嗡声。你的SDN可能不是我的SDN。看看思科,他们有自己的SDN版本,”Pickett说。但是,根据供应商而有所不同的SDN的Sundry版本。

“供应商将以适合其产品线的方式定义[SDN]。发生的情况是产品线在SDN的方向上不会移动,但SDN的定义正在移动到产品线,”Pickett说。

具有讽刺意味的是,SDN应该向网络带来一致性,但迄今为止有很多歧义,这是为什么高级首席分析师Jon Oltsik所说,作为企业正在做的战略规划,他们需要获得所涉及的安全团队。

安全从业者是可以努力识别和减轻风险的人。“他们可以寻求技术,实施或操作中的风险,并尝试尽可能地减轻那些的风险,”奥特尼克说。

控制器可以是单点故障,而Oltsik表示,“当SDN实现时,它会对整个网络进行监督。在传统网络中,如果我损害了第2层交换机,我可能能够查看流量从那个开关,而不是整个网络。“

虽然SDN不是一个新的开发,但很多关于新设计的协议,使其使它与新技术非常相似。“我们还没有摇动所有的错误。发生了高度的创新,但它并不像既定技术那么稳定,”奥特里克说。

奥尔蒂克说,在熨烫纠结纠正纠正纠结后,软件正在迅速变化,但是在雇用中,没有很多SDN专家。“它由一个网络团队或想要简化的数据中心运营团队建立,他们使用软件来做到这一点,但他们不是雷竞技电脑网站安全专家。”

拥有现代控制网络的欲望已经产生了一系列新的网络管理工具,但新产品不会减轻安全风险。

Paul Querna,CTO ABD Co-Forder of Scaleft,说:“安全风险并非所有这些都与他们在一般网络中不同。它仍然是网络上的人。”

“现实是最先进的攻击者已经弄清楚了如何在SDN世界中访问网络。对于较弱的攻击者,SDN更加安全,因为他们可以更容易地绕过东西,”Querna说。

然而,风险根据他们正在使用的确切SDN技术而有所不同。“如果您正在部署SDN,则需要小心执行交换机以及如何在硬件中实现这些规则,并了解如果不是,则了解发生的情况,”Querna说。

Vitaly Mzokov,解决方案业务领先,数据中心和虚拟化安全在卡巴斯基实雷竞技电脑网站验室说,“组织是否有SDN,他们的安全策略应整合多层网络安全以保护企业环境。”

Mzokov表示,“组织必须预测或估计网络罪犯希望如何攻击公司基础架构以及他们可能使用的载体。然后,他们将开始设计正确的IT环境,以及配置网络和防火墙策略。“

但现代网络罪犯已经了解到敏捷是成功的关键。随着技术的发展,他们必须在接近实时改变他们的策略。“这意味着花费越多的时间试图预测攻击向量,然后设计适当的基础设施,越来越脆弱的组织将成为现代或未知的威胁,”Mzokov说。

较新的网络威胁很难确定,因为它们在行业中不太了解,并且难以使用老式的安全解决方案来检测。“SDN允许更快地重新配置环境,并且还将微分段带入图片中,”Mzokov说。

“如果没有适当的集成或与反恶意软件解决方案的互操作,任何SDN技术都只是人们未充分利用的强大工具。组织应该简单地让SDN知道虚拟机中发生的内容从安全角度来看,他们将看到更多efficient SDN’s operation and overall corporate environment can be," said Mzokov.

了解它们仍然是一个重要的软件所定义的网络安全性。是的,传统的保护控制器仍然适用,但Pickett说:“我们很重要,我们加强了我们的游戏。为此,安全需要是讨论的一部分。”

这个故事,“SDN解决了很多网络问题,但安全性不是其中之一”最初是发表的CSO

加入网络世界社区有个足球雷竞技appFacebook.linkedin.评论是最重要的主题。
有关:

Kacy Zurkus是CSO的贡献作家,涵盖了各种安全和风险主题。

版权所有©2017.Raybet2

IT薪水调查:结果是