管理网络已经变得越来越复杂,随着物联网设备的使用不断增长,这仍然是一个挑战。这种复杂性使得很难及时重新配置传统网络以响应恶意事件或修复配置错误。
一个软件定义网络(SDN)可以帮助网络工程师在一个节点一个节点的基础上动态地改变网络的行为的灵活性——这在传统网络中是不可能的。SDN通过虚拟化简化了网络资源的管理,在不显著增加成本的情况下提供了扩容的解决方案。
随着网络控制从硬件转移到软件,结果是多个设备合并到一个控制器中,这使得网络工程师能够控制整个网络。不过,这种新模型存在一些必须解决的安全挑战。
SDN的好处
SDN使得将实时高清视频会议和云应用程序等服务集成到您的环境中变得更加容易。应用程序开发人员或测试人员可以作为生产网络中的虚拟租户隔离和运行工作负载,而没有风险。这可以加快解决问题的速度,并减少部署前测试所需的时间。
SDN带来了通过集中式仪表板增加可见性和控制的好处。控制器可以为每个应用程序流量确定最佳路径。可以实时跟踪拥塞级别、链路健康状况和优先级。通过不同或多条路径路由特定应用程序流量的能力增加了冗余。
例如,如果您有一个应用程序托管在两个独立的云提供商上,那么您可以将特定客户的流量路由到平均延迟值较低的云提供商。这可以使组织提供更好的客户体验。
SDN的另一个好处是,您不必只使用一家供应商。SDN的目标是使用开放标准。企业可以轻松地使用多供应商选项,这有助于降低成本。
还可以通过在低成本的普通服务器上共享多个计算、存储和处理功能来降低成本。这可以显著减少资本支出。这种虚拟化使大量手动网络配置实现自动化,并提高了它们的可跟踪性。
安全性也是企业注意到的SDN的另一个好处。这意味着您可以扩展您的防御能力,从简单地阻止特定的攻击,到做出主动的改变,以适应新的威胁。SDN控制器可以在整个网络集中推送全局安全策略更新,虚拟交换机可以在网络边缘过滤数据包,将可疑流量重定向到其他安全设备进行进一步分析。
SDN安全问题
关于SDN安全性的一个重要问题是,虚拟化网络基础设施的每个方面会增加攻击足迹。SDN控制器通常是攻击者的主要目标,因为它是网络决策的中心点,也是故障的中心点。
攻击者可以试图通过闯入控制器或假装控制器来控制网络。一旦中央控制器被攻破,攻击者就可以完全控制您的网络。这可能被认为是一种极端的情况,但随着SDN使用的持续增长,这是可能的。
有一种新型的拒绝服务攻击,它试图通过定位使用大量CPU周期的特定自动进程来利用SDN基础设施的潜在伸缩限制。
由于控制面和数据面分离,SDN网络很容易受到攻击。两架飞机之间通信路径的中断可能会造成一个大漏洞,让攻击者有机可乘。
由于SDN控制器的可编程特性,工程师可以在控制器的北向接口上安装安全应用程序,开辟了新的途径应用安全策略在一个网络。可编程的北向接口也可能是一个潜在的漏洞。
此外,安装在控制器上的应用程序可能会重新配置网络。攻击者可以诱骗网络工程师安装已被破解的应用程序,并可能使网络做一些完全意想不到的事情。
如何保护您的SDN控制器
控制对SDN控制器的访问以防止未经授权的活动是至关重要的。应该使用在一致的基础上审计和审查的基于角色的访问策略。任何未经授权的尝试都应向保安人员发出警报。另外,对它的配置更改必须定期审计和审查。
加固和修补系统的最佳实践应该到位。如果没有遵循最佳实践或安全标准,则其风险和潜在影响必须由领导记录、度量和批准。
使用高可用性控制器体系结构来防止分布式拒绝服务(DDoS)攻击非常重要。您不会想要冒险让您的控制器停止工作。此外,在设计中具有高可用性将允许您在生产环境中测试更新或更改,并在更改不能正常工作时提供立即故障转移的选项。
北向通信采用TLS或SSH加密方式。此外,任何北向的应用程序都应该安全地编码。任何对这些应用程序的攻击或破坏都可能影响控制器的安全和运行。此外,避免为这些应用程序使用默认密码,并确保应用程序在与控制器通信之前具有某种形式的身份验证,这一点非常重要。
对于南向通信,使用TLS对端点进行身份验证是很重要的,控制协议流量应该与主数据流隔离。最好通过带外网络来实现。
在设计SDN解决方案时,必须考虑安全性。控制器是SDN的核心,为了保护它,与它通信的应用程序以及它们之间的任何流量都是至关重要的。从一开始就在设计计划中包含安全性将避免今后的潜在问题,这是值得花费时间和精力的。