在傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)中,需要阻止的是外部的惡意攻擊���,需要保護(hù)的是網(wǎng)絡(luò)設(shè)備本身。而隨著軟件定義網(wǎng)絡(luò)SDN的引入,網(wǎng)絡(luò)架構(gòu)中又多了一個控制層(SDN將控制平面和數(shù)據(jù)平面解耦)�,并且可以讓上層應(yīng)用通過可編程的方式控制網(wǎng)絡(luò)�。
在傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)中,需要阻止的是外部的惡意攻擊��,需要保護(hù)的是網(wǎng)絡(luò)設(shè)備本身�。而隨著軟件定義網(wǎng)絡(luò)SDN的引入�����,網(wǎng)絡(luò)架構(gòu)中又多了一個控制層(SDN將控制平面和數(shù)據(jù)平面解耦)��,并且可以讓上層應(yīng)用通過可編程的方式控制網(wǎng)絡(luò)��。
這種架構(gòu)上的改變���,讓用戶不再擔(dān)心底層的網(wǎng)絡(luò)設(shè)備�,因為其只負(fù)責(zé)數(shù)據(jù)的傳輸�����。而擔(dān)心的重點集中在了SDN控制器、上層應(yīng)用和APIs上�,因為它們極有可能印象整個網(wǎng)絡(luò)的安全。
當(dāng)然��,目前采用純SDN的網(wǎng)絡(luò)架構(gòu)還不多����,通常是采用混合的網(wǎng)絡(luò)架構(gòu),其中傳統(tǒng)�、核心業(yè)務(wù)依然由傳統(tǒng)網(wǎng)絡(luò)架構(gòu)支撐,而創(chuàng)新業(yè)務(wù)則遷移到SDN架構(gòu)上���。所以在安全防護(hù)方面�����,也變得更加復(fù)雜��,下面就一起來看看國外安全專家Terry Ip的看法和建議:
在不斷變化的環(huán)境中阻止安全威脅
首先���,要確定整個基礎(chǔ)架構(gòu)中最重要的部分,即最重要的數(shù)據(jù)信息存儲在什么位置�����,這里就是防護(hù)的重點。此時��,傳統(tǒng)的防護(hù)措施����,比如防火墻規(guī)則和ACL 等依然有用;不過引入SDN后,由于虛機(jī)在網(wǎng)絡(luò)中不斷變化�,所以防火墻的規(guī)則也要變得更加靈活。而借助VLANs和容器可實現(xiàn)快速配置并將虛擬主機(jī)放在一 個可以控制��、監(jiān)測流量的網(wǎng)絡(luò)區(qū)域��,以提升安全性��。
其次�,通過網(wǎng)絡(luò)控制器的接口也有可能威脅到管理和監(jiān)測系統(tǒng)�����,或?qū)⒊霈F(xiàn)一個內(nèi)部虛擬主機(jī)連接惡意IP地址或域名的情況���,這就要求防火墻的規(guī)則必須可以自動修改��,防止這種鏈接����。而使用帶外數(shù)據(jù)控制流量,使用堡壘機(jī)來保護(hù)管理界面也是很重要的防護(hù)方法��。
此外���,以往使用加密信道����、端到端監(jiān)測等防護(hù)手段����,很難靈活應(yīng)用于云服務(wù)之中,因此防護(hù)應(yīng)該是針對日志進(jìn)行數(shù)據(jù)分析�。
SDN可以節(jié)省成本 但安全成本不能節(jié)省
如今運營商積極擁抱SDN的重要原因之一就是可以節(jié)省成本,包括可以選擇白牌硬件設(shè)備����,選擇開源的軟件等等。但在安全防護(hù)方面�����,必須保證一定的投 入,包括提升IT團(tuán)隊的安全防護(hù)能力����,特別是要普及SDN的相關(guān)知識,因為只有熟悉了SDN的理念�����,才能做出正確的安全防護(hù)策略���。然后再配以響應(yīng)的防護(hù) (開源)工具�,才能將安全威脅降到最低�����。
未來���,大數(shù)據(jù)防護(hù)才是關(guān)鍵
面向未來,無論運營商的網(wǎng)絡(luò)架構(gòu)發(fā)生怎樣的變革��,傳統(tǒng)的防護(hù)理念必須發(fā)生轉(zhuǎn)變——從現(xiàn)在的“被動式”防護(hù)變?yōu)榛诖髷?shù)據(jù)分析的主動防護(hù)���,以應(yīng)對各種0day和未知威脅;與此同時��,還需要實現(xiàn)防護(hù)設(shè)備的聯(lián)動����、以及威脅情報的共享等等,這樣才能應(yīng)對不斷變化的安全挑戰(zhàn)��。
