压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　根據(jù)Gartner分析師表示，軟件定義網(wǎng)絡(luò)是一場變革，也是不可避免的趨勢，但SDN缺乏安全控制，并且現(xiàn)在糟糕的管理功能讓SDN給企業(yè)網(wǎng)絡(luò)安全帶來相當(dāng)大的風(fēng)險。

　　在最近舉行的2014年Gartner公司安全和風(fēng)險管理峰會上，該公司研究副總裁兼首席網(wǎng)絡(luò)安全分析師Greg Young詳細(xì)談?wù)摿塑浖x網(wǎng)絡(luò)(SDN)的安全隱患。

　　Young 將SDN描述為從轉(zhuǎn)發(fā)層分離網(wǎng)絡(luò)控制層的軟件技術(shù)，它通過將路由決策集中在SDN控制服務(wù)器中來虛擬化網(wǎng)絡(luò)。

　　Young表示，就安全性來講，SDN存在尚未解決的安全問題，這些問題包括各種產(chǎn)品中不成熟的安全功能以及SDN控制器單點(diǎn)故障帶來的風(fēng)險。并且還有一個問題，在一些SDN協(xié)議中，安全只是可選項(xiàng)。

　　“從功能的角度來看，SDN很有用，”Young談到SDN時稱，“但它讓安全工作人員感到很恐慌。”

　　SDN安全缺陷

　　Young表示，很少有SDN供應(yīng)商會投入大量精力在安全中，更糟糕的是，他們正試圖將該功能控制在其產(chǎn)品中，這讓他們沒有動力與第三方安全供應(yīng)商協(xié)作來推出互操作性SDN安全產(chǎn)品。

　　Young補(bǔ)充說，如果沒有安全供應(yīng)商的參與，我們不太可能會很快看到SDN的安全標(biāo)準(zhǔn)。

　　Young表示：“我們現(xiàn)在正處于SDN安全合作與協(xié)作的低谷期。”

　　Young還解釋了現(xiàn)在的SDN產(chǎn)品讓攻擊者的夢想成真。在SDN產(chǎn)品中，所有路由決策都在控制器中進(jìn)行，因此，如果攻擊者可以攻擊控制器，就可以控制整個網(wǎng)絡(luò)。

　　根據(jù)Texas A&M大學(xué)最近進(jìn)行的SDN攻擊研究表明，SDN技術(shù)不僅容易被攻擊者檢測，而且很容易受到資源密集型攻擊，例如拒絕服務(wù)攻擊。

　　“在高可用的網(wǎng)絡(luò)環(huán)境中，這些是最難抵御的攻擊，”Young表示，“企業(yè)將需要監(jiān)控這種類型的攻擊，無論是有意還是無意的，因?yàn)檫@是還沒有被經(jīng)常談?wù)摰氖挛铩?rdquo;

　　此外，Young詳細(xì)介紹了SDN配置和變更控制中與安全相關(guān)的問題。他表示，SDN產(chǎn)品具有自己的管理控制臺，通常無法與其他網(wǎng)絡(luò)和安全管理控制臺進(jìn)行互操作，這給網(wǎng)絡(luò)安全管理流程增加了另一層復(fù)雜性。

　　同樣地，他補(bǔ)充說，我們可能很難管理和審計(jì)網(wǎng)絡(luò)配置變更，因?yàn)榇罅康挠脩艨赡苄枰猄DN配置的訪問權(quán)限。

　　“想想看有多少人可以訪問SDN配置，以及誰可以對網(wǎng)絡(luò)作出更改，”Young表示，“這會是一個更廣泛的社區(qū)，更多人需要使用控制臺，這也給攻擊和控制擴(kuò)大了范圍。”

　　SDN安全：沒那么糟糕

　　Young承認(rèn)說，SDN的某些方面還是有利于安全性，特別是其簡化的代碼庫。他表示，雖然大多數(shù)傳統(tǒng)網(wǎng)絡(luò)交換機(jī)具有多達(dá)3500萬行代碼，但他看過的SDN產(chǎn)品大多數(shù)都是基于Linux的簡裝版本，并且只有100-200萬，減少了攻擊者發(fā)現(xiàn)漏洞的機(jī)會。

　　SDN也可能是網(wǎng)絡(luò)安全政策管理的福音。因?yàn)镾DN控制器可以作為部署政策的中央點(diǎn)，而不是像大多數(shù)網(wǎng)絡(luò)產(chǎn)品那樣，要求逐個設(shè)備的政策管理。

　　幸運(yùn)的是，部署SDN并不意味著企業(yè)必須放棄其所有當(dāng)前的網(wǎng)絡(luò)安全技術(shù)。Young表示，企業(yè)可以使用傳統(tǒng)防火墻來分隔SDN網(wǎng)絡(luò)，因?yàn)槲锢矸指艚档土税踩L(fēng)險，并可能有助于加速SDN部署。

　　Young推薦了一些其他SDN安全最佳做法。首先是保護(hù)SDN控制器。現(xiàn)在企業(yè)面臨著巨大的挑戰(zhàn)，因?yàn)槟壳安]有用于這一目的的可行的產(chǎn)品，他表示，安全團(tuán)隊(duì)?wèi)?yīng)該考慮加密控制器和網(wǎng)絡(luò)交換機(jī)之間的通信。

　　這種做法仍然會讓SDN控制器容易受到拒絕服務(wù)和其他資源消耗型攻擊，因此，Young建議使用冗余網(wǎng)絡(luò)路徑強(qiáng)化控制器以幫助確保服務(wù)質(zhì)量，同時，使用入侵防御系統(tǒng)、交換機(jī)之間的身份驗(yàn)證，以及構(gòu)建到控制器中基于主機(jī)的控制。

　　他還建議重新考慮網(wǎng)絡(luò)安全配置管理策略，因?yàn)镾DN這樣的技術(shù)往往會強(qiáng)調(diào)現(xiàn)有的工作流程。

　　“你不能使用老派的工作流程和新派的架構(gòu)，”Young表示，“你需要更改流程或者改變實(shí)施變更的方式。如果這違反了審計(jì)的政策，則必須進(jìn)行修改。”

　　最后，盡管SDN給企業(yè)帶來了網(wǎng)絡(luò)安全挑戰(zhàn)，Young建議安全專家擁抱這項(xiàng)技術(shù)，因?yàn)镾DN能夠讓他們有機(jī)會從一開始就將安全作為優(yōu)先事項(xiàng)，同時也能夠在設(shè)計(jì)和部署階段考慮安全因素。

　　“你可以成為數(shù)據(jù)中心團(tuán)隊(duì)和網(wǎng)絡(luò)運(yùn)營團(tuán)隊(duì)之間技術(shù)通信的橋梁，”Young表示，“這是很好的事情。”