SDN能解决很多问题,但不包括安全-阿里云开发者社区

开发者社区> 青衫无名> 正文

SDN能解决很多问题,但不包括安全

简介:
+关注继续查看

随着数字化企业努力寻求最佳安全解决方案来保护其不断扩张的网络,很多企业正在寻求提供互操作性功能的下一代工具。

软件定义网络(SDN)具有很多的优势,通过将多个设备的控制平面整合到单个控制器中,该控制器将成为整个网络中的决策者,实现集中控制。但是开发人员在构建SDN产品时仍然没有安全保证,因此SDN中存在可能危及企业安全的弱点。

罗马Sapienza大学博士生Fabio De Gaspari表示:“SDN相关的主要风险是控制平面的妥协以及控制平面潜在的可扩展性问题。”

控制平面的实现方式决定了其脆弱性,但是如果攻击者能够访问控制器,那么攻击者造成的灾难范围就扩大到对整个网络的完全控制,在多控制器SDN中有很高的安全风险,其中非妥协控制器(non compromised controllers)可以检测和减轻受损的控制器。

一般来说,主要的安全风险来自设备配置不良或不正确,这不仅是SDN中面临的问题。尽管安全方面存在差距,但SDN仍然是现代网络问题的新兴替代解决方案。 Hellfire Security的网络安全行动Gregory Pickett表示,SDN带来了很多好处。

Gregory Pickett表示:“SDN能够改变提供商几十年来的运营方式,如用户出口选择等,通过基于可信任路由选择增强的BGP安全性、更快的路由收敛和IXP的粒度对等操作。”

Pickett在Black Hat 2015演示文稿“滥用软件定义网络”中表示,SDN提供了让网络能够自动应对威胁的能力,但SDN仍然有很多安全漏洞。Pickett说:“人们在发布产品之前并不关注安全漏洞,他们还没有认真对待安全问题。”

Pickett认为,安全性仍然是SDN的挑战的一个原因是,软件定义网络实际上并没有明确的定义。他说:“我的印象是,这个概念至今不明确,你的SDN可能不是我的SDN,而根据提供商的不同,SDN的各种版本也各不相同。提供商以适应其产品线的方式定义了SDN,现在的情况是产品线不是在向SDN的方向发展,而SDN的定义在向产品线发展。”

讽刺的是高级首席分析师Jon Oltsik表示,SDN本应该为网络带来一致性,但是SDN本身具有很大的歧义,因为企业正在围绕SDN进行战略规划,他们需要让安全团队参与其中。Oltsik表示安全从业者是能够识别和降低风险的人员,他说:“安全从业者可以在技术、实施或操作中找出风险,并降低这些风险。”

虽然SDN不是新发展出来的,但是由于新设计了很多协议,使得它与新技术非常相似。Oltsik表示:“我们还没有动摇所有的BUG,就已经发生了很大的创新,但并不像现有技术那样稳定。”

Oltenik表示软件正在迅速变化,但是相关的SDN领域的安全专家并不多。他说:“这是由一个想要简化网络团队或数据中心运营团队建立的,他们正在试图通过软件来实现这一目标,但他们不是安全专家。”拥有控制网络的现代手段的愿望引发了新一轮的网络管理工具,但新产品面临的安全风险并没有减轻。

ScaleFT联合创始人兼CTO abc Paul Querna表示:“安全风险与网络中的风险并没有什么不同,目前攻击者已经知道如何在SDN领域中访问网络,对于较弱的攻击者来说,SDN相对安全,因为它们可以更容易地实现路由功能。”

然而,风险根据所使用的SDN技术而有所不同。Querna表示:“如果您正在部署SDN,则需要注意交换机,以及如何在硬件中实现这些规则。”

卡巴斯基实验室的解决方案业务主管,数据中心和虚拟化安全解决方案业务主管Vitaly Mzokov表示:“无论组织是否拥有SDN,他们的安全策略都应该继承多层网络安全来保护企业环境。组织不得不预测网络犯罪分子将如何攻击公司的基础设施,以及他们可能使用的攻击载体,然后开始设计合适的IT环境,并配置网络和防火墙策略。”

但现代网络犯罪分子已经学会了灵活性是成功的关键。随着技术的发展,他们必须近乎实时地改变他们的攻击战术。较新的网络威胁很难识别,因为业界对这些威胁的理解较少,难以用老式的安全解决方案进行检测。Mzokov说:“SDN使得企业更快地重新配置环境,并且还可以将微分段引入其中。”

Mzokov表示:“如果没有适当的集成或与恶意软件解决方案的互操作性,任何SDN技术都只是人们利用不足的工具。组织应该从安全角度简单地让SDN知道虚拟机内部正在发生的事情,他们将看到更多的内容、更高效的SDN运营。”

传统保护控制器的手段仍然可以应用于保护软件定义网络的安全,但仍然需要全新的方式去实现SDN的安全。


作者:佚名

来源:51CTO

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
9801 0
这些知识点你都了解了吗?#云安全CCSK-M4:云计算的数据安全
内容概述:云计算中的数据安全。云安全中最大的问题之一是数据保护。该模块涵盖了云的信息生命周期管理以及如何应用安全控制,重点关注公共云。主题包括数据安全生命周期、云存储模型、不同交付模型的数据安全问题以及管理云中的加密,包括客户托管的密码(BYOK)。
261 0
部署DDoS高防需要注意网络安全公司的哪些套路?
现在的互联网环境,互联网企业的网络安全措施必不可少,市场上网络安全公司龙蛇混杂,质量参差不齐,很多互联网企业在接入网络安全DDoS高防时碰了不少坑。小编写这篇文章的时候,势必会引起很多网络安全防护公司的不满,因为(你懂的),说穿了他们的最大利益,毕竟用户的眼睛是雪亮的。
1083 0
这些知识点你都了解了吗?#CISSP-D2:资产安全
资产安全知识域涵盖信息和信息资产在其生命周期中的安全保护,包括恰当的收集、分类、处置以及控制措施的选择和使用。本知识域的重要概念包括数据的所有权、隐私、数据安全控制和相关密码学的应用。安全和风险管理知识域包含了许多基本的信息安全概念、原则以及信息安全管理相关活动和方法。
271 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
13525 0
这些知识点你都了解了吗?#云安全CCSK-M1:云计算概念和体系架构
内容概述:本单元涵盖了云计算的基础知识,包括定义、构架和虚拟化的角色。主要议题包括云计算服务模型,部署模型和基本特征。它还介绍了共享责任模型和接近云安全的框架。
294 0
报名通道开启!原生安全二倍速:探秘基础设施的内生“免疫系统"
作为云原生架构基础设施的核心组成部分,容器安全一直是企业关注的核心问题之一,并且在新时代面临着新挑战。越来越高的容器应用部署密度、越来越多的攻击面都在向企业和云服务商发出警报——体系化的容器安全能力建设迫在眉睫。
208 0
这些知识点你都了解了吗?#云安全CCSK-M2:云计算基础设施安全
内容概述:云计算基础设施安全。本模块深入探讨保护云计算核心基础架构的细节,包括云组件、网络、管理接口和管理员证书。它深入研究了虚拟网络和工作负载安全,包括容器和无服务器的基础知识。
298 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
7183 0
+关注
3598
文章
840
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载