网络设备
    作者:白宁

    运营商部署SDN存在安全挑战 如何解决?

         [ 中关村在线 原创 ] 暂无评论

      在传统的网络架构中,需要阻止的是外部的恶意攻击,需要保护的是网络设备本身。而随着软件定义网络SDN的引入,网络架构中又多了一个控制层(SDN将控制平面和数据平面解耦),并且可以让上层应用通过可编程的方式控制网络。

      这种架构上的改变,让用户不再担心底层的网络设备,因为其只负责数据的传输。而担心的重点集中在了SDN控制器、上层应用和APIs上,因为它们极有可能印象整个网络的安全。

    运营商部署SDN存在安全挑战 如何解决?

      当然,目前采用纯SDN的网络架构还不多,通常是采用混合的网络架构,其中传统、核心业务依然由传统网络架构支撑,而创新业务则迁移到SDN架构上。所以在安全防护方面,也变得更加复杂,下面就一起来看看国外安全专家Terry Ip的看法和建议:

      在不断变化的环境中阻止安全威胁

      首先,要确定整个基础架构中最重要的部分,即最重要的数据信息存储在什么位置,这里就是防护的重点。此时,传统的防护措施,比如防火墙规则和ACL等依然有用;不过引入SDN后,由于虚机在网络中不断变化,所以防火墙的规则也要变得更加灵活。而借助VLANs和容器可实现快速配置并将虚拟主机放在一个可以控制、监测流量的网络区域,以提升安全性。

      其次,通过网络控制器的接口也有可能威胁到管理和监测系统,或将出现一个内部虚拟主机连接恶意IP地址或域名的情况,这就要求防火墙的规则必须可以自动修改,防止这种链接。而使用带外数据控制流量,使用堡垒机来保护管理界面也是很重要的防护方法。

      此外,以往使用加密信道、端到端监测等防护手段,很难灵活应用于云服务之中,因此防护应该是针对日志进行数据分析。

      SDN可以节省成本 但安全成本不能节省

      如今运营商积极拥抱SDN的重要原因之一就是可以节省成本,包括可以选择白牌硬件设备,选择开源的软件等等。但在安全防护方面,必须保证一定的投入,包括提升IT团队的安全防护能力,特别是要普及SDN的相关知识,因为只有熟悉了SDN的理念,才能做出正确的安全防护策略。然后再配以响应的防护(开源)工具,才能将安全威胁降到最低。

      未来,大数据防护才是关键

      面向未来,无论运营商的网络架构发生怎样的变革,传统的防护理念必须发生转变——从现在的“被动式”防护变为基于大数据分析的主动防护,以应对各种0day和未知威胁;与此同时,还需要实现防护设备的联动、以及威胁情报的共享等等,这样才能应对不断变化的安全挑战。

    标签:SDN

    关注排行榜

    路由器交换机无线路由无线AP

    文章推荐

    互动沙龙

    相关内容 网友评论 返回首页
    专家咨询