管理网络已经变得越来越复杂,并且随着物联网使用设备的使用,它将仍然是一项挑战。这种复杂性使得难以及时重新配置传统网络,以响应恶意事件或修复配置错误。
一种软件定义的网络(SDN)可以通过提供网络工程师来帮助动态地改变节点节点上网络的行为 - 通常在传统网络中不可用的东西。SDN使用虚拟化来简化网络资源的管理,并提供提高容量的解决方案,而不会显着提高成本。
随着网络控件从硬件移动到软件,结果是多个设备合并到一个控制器中,这使得网络工程师能够控制整个网络。但是,这种新模型必须解决的安全挑战。
SDN的好处
SDN使得将服务(如实时高清视频会议和云应用程序)集成到环境中的更容易。应用程序开发人员或测试人员可以在生产网络中孤立并运行没有风险的工作负载。这可以加速解决问题并降低部署前测试所需的时间量。
SDN通过集中式仪表板带来了提高可视性和控制的好处。控制器可以确定每个应用程序流量的最佳路由。可以实时跟踪拥塞级别,链接健康和优先级。并且通过不同或多条路径路由特定应用程序流量的能力增加了冗余。
例如,如果您有一个在两个单独的云提供商托管的应用程序,则可以将特定客户的流量路由到平均延迟值的云提供商。这可以使组织能够提供更好的客户体验。
SDN的另一个好处是您没有锁定到使用一个供应商。SDN的目标是使用开放标准。企业可以轻松使用多景点选项,这有助于降低成本。
通过在低成本商品服务器上汇集多个计算,存储和处理功能,还可以减少成本。这可以显着减少资本支出。此虚拟化使许多手动网络配置能够自动化并提高其可追溯性。
安全也是企业与SDN通知的另一个好处。这意味着您可以从简单地阻止特定攻击来扩展您的防御功能,以便进行主动更改以调整新威胁。SDN控制器可以将全局安全策略更新推出在网络上集中,虚拟化交换机可以在网络边缘过滤数据包,并将可疑流量重定向到其他安全设备以进行进一步分析。
SDN安全问题
关于SDN安全性的一个重要问题是虚拟化网络基础架构的每个方面都会增加攻击足迹。SDN控制器通常是攻击者的主要目标,因为它是网络中的决策的中心点和中央故障。
攻击者可以尝试通过闯入控制器来控制网络或假装成为一个网络。一旦中央控制器泄露,攻击者就可以完全控制网络。这将被视为一个极端的情景,但可以随着SDN的使用持续增长,这可能是可能的。
有新的类型的拒绝服务攻击,该攻击试图通过定位使用大量CPU周期的特定自动进程来利用SDN基础架构的潜在缩放限制。
由于控制和数据平面的分离,SDN可能非常容易受到攻击。两个平面之间的通信路径中断可能导致攻击者可能妥协的主要孔。
由于SDN控制器的可编程性功能,工程师可以在控制器的北行界面上安装安全应用程序,以开辟新的方式应用安全政策在网络上。可编程的北行界面也可以是潜在的漏洞。
此外,安装在控制器上的应用程序可能会潜在地重新配置网络。攻击者可以欺骗网络工程师进入安装已受到损害的应用程序,并且可以使网络完全出乎意料。
如何保护您的SDN控制器
控制访问SDN控制器是至关重要的,以防止未经授权的活动。应使用基于角色的访问策略并审核一致的基础。任何未经授权的尝试都应启动警报安全人员。此外,必须经常审核并审核对其的配置更改。
应该到位的硬化和修补系统的最佳实践。如果不遵循最佳实践或安全标准,那么它的风险和潜在影响必须记录,以领导地位记录和批准。
重要的是使用高可用性控制器架构来防止分布式拒绝服务(DDOS)攻击。您不想冒险让您的控制员退出佣金。此外,在设计中具有高可用性将允许您在生产环境中测试更新或更改,并在更改无法正常工作时为即时故障转移提供选项。
北行通信应通过TLS或SSH加密。此外,应安全地编码任何北行应用程序。对这些应用程序的任何攻击或妥协都可以影响控制器的安全性和操作。此外,避免使用这些应用程序使用默认密码并确保在可以与控制器通信之前确保应用程序的某种形式的身份验证是至关重要的。
对于南行通信,重要的是要使用TLS认证端点,并且应从主要数据流中分离控制协议流量。最好通过带外网络来执行此操作。
在设计SDN解决方案时,您必须考虑安全性。控制器是SDN的核心,并保护它,它与它们之间通信的应用程序以及它们之间的任何流量都是至关重要的。包括您的设计计划中的安全性,从一开始就避免潜在的问题,值得花时间和努力。