SDN已經(jīng)逐漸應(yīng)用于一些超大型企業(yè),因為這種類型的企業(yè)需要不惜任何代價來獲取高性能,但是,在其它普通的大中型企業(yè)中,情況就不一樣了。
雖然廠商正在積極生產(chǎn)SDN,但是分析師預(yù)測,到2016年之前SDN不會被正式采納,大多數(shù)企業(yè)的網(wǎng)絡(luò)工程師都表示,他們還不準備投資SDN,因為它還有幾個關(guān)鍵問題沒有解決。
受訪的IT負責人對于SDN的顧慮也不盡相同,有的認為其削弱了安全性,有的則認為是缺乏SDN標準,不管是因為什么原因,都導(dǎo)致他們不建議企業(yè)現(xiàn)在投資SDN,至少在短期內(nèi)是這樣。
顧慮一:安全和監(jiān)控性能IT管理人員首先也是最擔心的,就是當SDN堆棧同時遇到虛擬機管理程序和物理基礎(chǔ)設(shè)施時的安全監(jiān)控問題。
Biotechnology Center of Oslo的高級系統(tǒng)工程師George Magklaras表示:“在SDN應(yīng)用于關(guān)鍵任務(wù)和安全環(huán)境之前,廠商需要努力研究SDN軟件堆棧是如何與云環(huán)境和虛擬層中的虛擬機管理程序聯(lián)系的。”
如今,當IT管理人員使用Juniper公司的設(shè)備向網(wǎng)絡(luò)路徑發(fā)送一系列字節(jié)時,會進行靜態(tài)檢查,這樣可以防止攻擊者運行惡意軟件來創(chuàng)建信息漏洞。“但是,使用云堆棧和虛擬機管理程序時,就不是這樣了。” Magklaras表示。
SDN環(huán)境下,IDS/IPS有用嗎?
Magklaras也是Steelcyber Scientific安全咨詢公司的首席顧問,他曾在該公司對一個大型金融機構(gòu)實施了一個SDN試點,只是為了證明其安全性能會受到影響,尤其是遇到IDS/IPS(入侵檢測系統(tǒng)/入侵防御系統(tǒng))。
Magklaras的團隊在思科和惠普硬件配置的環(huán)境中放置了一個基于OpenDaylight的SDN控制器。Magklaras說:“我們的責任是監(jiān)督這60個VLAN利用OpenStack私有云模式向OpenDayLight控制器遷移。”
Magklaras表示,問題出現(xiàn)在對入站和出站IDS/IPS系統(tǒng)的網(wǎng)絡(luò)監(jiān)控上。IDS/IPS是通過竊聽一組端口或一個特定端口來復(fù)制整個用來竊聽的VLAN或網(wǎng)絡(luò)分段的流量。傳統(tǒng)的交換機硬件和軟件會復(fù)制這個流量,然后再把它提供給IDS/IPS系統(tǒng)。相反,SDN是利用虛擬機管理程序和通用OS程序來復(fù)制該流量的。
Magklaras說:“我們對IDS/IPS系統(tǒng)所進行的各種測試表明,SDN可能會丟失大約25%到30%的攻擊事件。我們認為導(dǎo)致這種結(jié)果的原因是SDN軟件堆棧在復(fù)制端口流量時比較慢,同時會損失以太網(wǎng)幀或流量。”
MAC地址追蹤問題
Magklaras的團隊還發(fā)現(xiàn)在追蹤連接到有線和無線網(wǎng)絡(luò)的設(shè)備的MAC地址有問題。Magklaras說:“根據(jù)在SDN軟件中的故障而記錄的MAC地址并不正確。SDN軟件在網(wǎng)段較擁擠的情況下會丟棄MAC地址(由于PXE引導(dǎo)問題),SDN甚至會破壞其軟件注冊表中的MAC地址。”
虛擬機管理程序安全弱點
在測試過程中,Magklaras還發(fā)現(xiàn),在某些情況下,攻擊者甚至可以看到本不應(yīng)該暴漏的網(wǎng)絡(luò)流量。
他解釋說,一旦虛擬機管理程序的安全被攻破了,未授權(quán)的用戶就可以利用root管理權(quán)限來進入VLAN。
包括VMware在內(nèi)的很多企業(yè)都在努力解決安全問題,但是,這個漏洞仍然存在,Magklaras解釋說。這也是為什么我們不向金融機構(gòu)和其他客戶推薦SDN堆棧的原因。其實我們知道SDN最終會幫助企業(yè)節(jié)省成本,而且這也是一條必經(jīng)之路。