用户需密切关注SDN可能带来的安全风险


最近网络领域最流行的词汇是SDN,它是对数据层和控制层的一种解耦,允许用户通过安装在通用服务器上的软件控制器来管理物理设备。

SDN为提供了许多有用的东西,为用户带来了不少好处。用户不必去接触每台交换机和路由器,就可以利用SDN控制器通过OpenFlow标准与物理网络设备的联络以加强执行政策。此外,用户在理论上能够使用任何具有OpenFlow功能的硬件设施,这意味着用户不必从一家供应商那里购买其所需的所有网络设备,而是可以选择多家产品。

Check Point Fellow的资深行业专家Robert Hinden本周在RSA会议上发表演讲,他提醒用户在使用SDN技术之前,一定要注意SDN上可能会出现的一些安全风险。

Hinden指出,一旦你在这台服务器上建立了集中的控制,那么你需要考虑到如果这台服务器遭到攻击的话会怎么样?或者SDN控制器被黑客控制了该怎么办?

从理论上说,黑客可以使网络通讯直接绕过你的防火墙,然后向这个网络嵌入恶意软件,实施中间人攻击或者向被攻破的节点发送网络流量。

此外,网络断网或者出现故障时会出现什么事?目前还不清楚SDN控制器如何处理网络断网事故,或许需要重新路由网络流量。

除了安全的担心之外,Hinden还对SDN的可扩展性提出了质疑。他指出,传统的路由和交换技术是基于目的地的,物理设备读取标头 (header)并且使用路由表向适当的目的地发送数据包。

但是,SDN是基于流量的。这是好的,因为它可以使所有的网络管理员制定出精细的政策。另一方面,所有进入的流量都必须发送给网络上的所有设备。Hinden认为,这其实很难处理。

另一方面,Hinden表示,谈到SDN和安全其实也有些积极的意义。这个控制器能够把安全政策推送到这个网络上的所有的路由器和交换机上,为所有的流量创建一个统一的SDN安全态势。例如,如果有一台被攻破的主机,这个控制器能够轻松地把这台主机与网络的其它部分隔离开来。

虽然目前仍然是SDN应用周期的最初阶段,但是,Hinden建议,网络和安全团队需要合作,因为在SDN领域所有网络工作人员都需要对安全负责。

相关内容