運(yùn)營(yíng)商部署SDN存在安全挑戰(zhàn) 如何解決?

責(zé)任編輯:jackye

作者:白寧

2016-05-06 09:38:27

摘自:中關(guān)村在線

在傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)中,需要阻止的是外部的惡意攻擊,需要保護(hù)的是網(wǎng)絡(luò)設(shè)備本身。以往使用加密信道、端到端監(jiān)測(cè)等防護(hù)手段,很難靈活應(yīng)用于云服務(wù)之中,因此防護(hù)應(yīng)該是針對(duì)日志進(jìn)行數(shù)據(jù)分析。

在傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)中,需要阻止的是外部的惡意攻擊,需要保護(hù)的是網(wǎng)絡(luò)設(shè)備本身。而隨著軟件定義網(wǎng)絡(luò)SDN的引入,網(wǎng)絡(luò)架構(gòu)中又多了一個(gè)控制層(SDN將控制平面和數(shù)據(jù)平面解耦),并且可以讓上層應(yīng)用通過(guò)可編程的方式控制網(wǎng)絡(luò)。

這種架構(gòu)上的改變,讓用戶不再擔(dān)心底層的網(wǎng)絡(luò)設(shè)備,因?yàn)槠渲回?fù)責(zé)數(shù)據(jù)的傳輸。而擔(dān)心的重點(diǎn)集中在了SDN控制器、上層應(yīng)用和APIs上,因?yàn)樗鼈儤O有可能印象整個(gè)網(wǎng)絡(luò)的安全。

運(yùn)營(yíng)商部署SDN存在安全挑戰(zhàn) 如何解決?

當(dāng)然,目前采用純SDN的網(wǎng)絡(luò)架構(gòu)還不多,通常是采用混合的網(wǎng)絡(luò)架構(gòu),其中傳統(tǒng)、核心業(yè)務(wù)依然由傳統(tǒng)網(wǎng)絡(luò)架構(gòu)支撐,而創(chuàng)新業(yè)務(wù)則遷移到SDN架構(gòu)上。所以在安全防護(hù)方面,也變得更加復(fù)雜,下面就一起來(lái)看看國(guó)外安全專家Terry Ip的看法和建議:

在不斷變化的環(huán)境中阻止安全威脅

首先,要確定整個(gè)基礎(chǔ)架構(gòu)中最重要的部分,即最重要的數(shù)據(jù)信息存儲(chǔ)在什么位置,這里就是防護(hù)的重點(diǎn)。此時(shí),傳統(tǒng)的防護(hù)措施,比如防火墻規(guī)則和ACL等依然有用;不過(guò)引入SDN后,由于虛機(jī)在網(wǎng)絡(luò)中不斷變化,所以防火墻的規(guī)則也要變得更加靈活。而借助VLANs和容器可實(shí)現(xiàn)快速配置并將虛擬主機(jī)放在一個(gè)可以控制、監(jiān)測(cè)流量的網(wǎng)絡(luò)區(qū)域,以提升安全性。

其次,通過(guò)網(wǎng)絡(luò)控制器的接口也有可能威脅到管理和監(jiān)測(cè)系統(tǒng),或?qū)⒊霈F(xiàn)一個(gè)內(nèi)部虛擬主機(jī)連接惡意IP地址或域名的情況,這就要求防火墻的規(guī)則必須可以自動(dòng)修改,防止這種鏈接。而使用帶外數(shù)據(jù)控制流量,使用堡壘機(jī)來(lái)保護(hù)管理界面也是很重要的防護(hù)方法。

此外,以往使用加密信道、端到端監(jiān)測(cè)等防護(hù)手段,很難靈活應(yīng)用于云服務(wù)之中,因此防護(hù)應(yīng)該是針對(duì)日志進(jìn)行數(shù)據(jù)分析。

SDN可以節(jié)省成本 但安全成本不能節(jié)省

如今運(yùn)營(yíng)商積極擁抱SDN的重要原因之一就是可以節(jié)省成本,包括可以選擇白牌硬件設(shè)備,選擇開(kāi)源的軟件等等。但在安全防護(hù)方面,必須保證一定的投入,包括提升IT團(tuán)隊(duì)的安全防護(hù)能力,特別是要普及SDN的相關(guān)知識(shí),因?yàn)橹挥惺煜ち薙DN的理念,才能做出正確的安全防護(hù)策略。然后再配以響應(yīng)的防護(hù)(開(kāi)源)工具,才能將安全威脅降到最低。

未來(lái),大數(shù)據(jù)防護(hù)才是關(guān)鍵

面向未來(lái),無(wú)論運(yùn)營(yíng)商的網(wǎng)絡(luò)架構(gòu)發(fā)生怎樣的變革,傳統(tǒng)的防護(hù)理念必須發(fā)生轉(zhuǎn)變——從現(xiàn)在的“被動(dòng)式”防護(hù)變?yōu)榛诖髷?shù)據(jù)分析的主動(dòng)防護(hù),以應(yīng)對(duì)各種0day和未知威脅;與此同時(shí),還需要實(shí)現(xiàn)防護(hù)設(shè)備的聯(lián)動(dòng)、以及威脅情報(bào)的共享等等,這樣才能應(yīng)對(duì)不斷變化的安全挑戰(zhàn)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)