軟件定義網(wǎng)絡(luò)（SDN）是極少數(shù)由安全引領(lǐng)的技術(shù)，但這個(gè)事實(shí)并沒(méi)有得到應(yīng)得的關(guān)注。

　　就在911事件不久后，Martin Casado腦海里產(chǎn)生了促使SDN的原始想法，他當(dāng)時(shí)在情報(bào)機(jī)構(gòu)處理具有高度安全設(shè)置的系統(tǒng)�，F(xiàn)在Casado是VMware公司網(wǎng)絡(luò)和安全首席技術(shù)官。

　　Casado意識(shí)到他們完全可以編程一臺(tái)計(jì)算機(jī)來(lái)處理計(jì)算機(jī)層面的安全問(wèn)題，但對(duì)于網(wǎng)絡(luò)安全問(wèn)題，卻無(wú)法采用相同的方式。他們受限于網(wǎng)絡(luò)供應(yīng)商銷售的產(chǎn)品，并且，他們沒(méi)辦法改變這種局面。從可操作化安全網(wǎng)絡(luò)來(lái)看，這是最薄弱的環(huán)節(jié)。

　　Casado把他的提高企業(yè)網(wǎng)絡(luò)安全的想法帶到了斯坦福大學(xué)，在那里他獲得了他的博士學(xué)位，并為現(xiàn)在我們所謂的SDN奠定了基礎(chǔ)。

　　為了將虛擬化的靈活性和安全屬性引入到網(wǎng)絡(luò)中，Casado及其在斯坦福大學(xué)的博士學(xué)位導(dǎo)師Nick McKeown，以及加州大學(xué)伯克利分校的Scott Shenker在2007年共同創(chuàng)立了Nicira。該公司的初始資金來(lái)自情報(bào)機(jī)構(gòu)，而在2012年，VMware收購(gòu)了Nicira。

　　“不僅SDN本身在設(shè)計(jì)時(shí)將安全作為其基礎(chǔ)，而且SDN旨在創(chuàng)造更安全的網(wǎng)絡(luò)設(shè)計(jì)，”Casado表示，“SDN將能夠解決傳統(tǒng)網(wǎng)絡(luò)面對(duì)的日益嚴(yán)重的安全問(wèn)題。”

　　什么是SDN？

　　SDN是一個(gè)“堆棧”架構(gòu)，它將網(wǎng)絡(luò)控制平面從轉(zhuǎn)發(fā)平面分離出來(lái)，并將其集中在控制器中，控制器通過(guò)高水平的政策定義轉(zhuǎn)發(fā)行為。北向應(yīng)用編程接口（API）位于該控制器的頂部，并提供到應(yīng)用和管理的網(wǎng)絡(luò)抽象接口。南向API（例如OpenFlow）允許控制器在SDN堆棧的底部定義交換機(jī)的行為。

　　SDN到底是什么，這里存在有很多混淆。IDC公司數(shù)據(jù)中心網(wǎng)絡(luò)研究主管Brad Casemore表示：“記住，有些編程網(wǎng)絡(luò)的方式并不涉及SDN，如果它不涉及分離數(shù)據(jù)平面和控制平面，它就不是SDN。”SDN并不是構(gòu)建到網(wǎng)絡(luò)的基礎(chǔ)設(shè)施上的修復(fù)解決方案。

　　SDN在安全方面需要知道的最重要的事情之一就是，它涉及根本性轉(zhuǎn)移到零信任模式。在這種模式中，你需要假設(shè)你的訪客是不受信任的，限制代碼基礎(chǔ)，只允許最低訪問(wèn)權(quán)限來(lái)完成工作，在SDN出現(xiàn)之前，這是非常困難的工作。

　　Casado指出：“安全領(lǐng)域的人都知道，信息收集往往容易受到攻擊。因此，我們要確保兩個(gè)原則：最少的信息和最低的特權(quán)。”

　　SDN實(shí)現(xiàn)信任整合

　　SDN的另一個(gè)關(guān)鍵特性是信任整合。在物理世界中，如果你將所有可信任的東西放在保管庫(kù)中，并鎖上它，你的安全問(wèn)題就縮小為保管庫(kù)的解鎖問(wèn)題。

　　傳統(tǒng)網(wǎng)絡(luò)沒(méi)有可以整合信任的中央機(jī)構(gòu)或者信托機(jī)構(gòu)，因此，整個(gè)網(wǎng)絡(luò)散布著潛在的不安全因素。

　　傳統(tǒng)網(wǎng)絡(luò)中的信任泛濫的原因之一是互聯(lián)網(wǎng)技術(shù)被設(shè)計(jì)為有機(jī)地增長(zhǎng)，而沒(méi)有任何中央授權(quán)。

　　Casado表示，現(xiàn)在這種隱形信任的問(wèn)題是，攻擊者經(jīng)常可以利用它。而SDN可以保證這種信任整合，確認(rèn)幾個(gè)可信實(shí)體，并認(rèn)為其他一切都是不可信的。

　　SDN提供對(duì)架構(gòu)的更多控制，以及控制平面的分布模型，這使其可以將信任整合到較少的元素。

　　肯塔基大學(xué)的首席網(wǎng)絡(luò)工程師Brent Salisbury指出，現(xiàn)在你不需要擔(dān)心數(shù)千個(gè)元素，你只需要擔(dān)心幾十個(gè)元素。

　　“SDN縮小了你的攻擊向量，”Salisbury表示，“當(dāng)然，那些幾十個(gè)設(shè)備就變得更加重要，你可以圍繞它們構(gòu)建安全基礎(chǔ)設(shè)施，而不是圍繞所有的設(shè)備來(lái)構(gòu)建安全基礎(chǔ)設(shè)施。傳統(tǒng)網(wǎng)絡(luò)的問(wèn)題在于，你需要到處部署安全基礎(chǔ)設(shè)施，這需要非常高的成本。通過(guò)SDN，我們不僅可以節(jié)省成本，還可以提高安全性。”

　　SDN是一個(gè)機(jī)制，不是一個(gè)部署

　　盡管供應(yīng)商使用各種術(shù)語(yǔ)，但我們需要意識(shí)到，SDN是一種機(jī)制，并不是關(guān)于如何部署架構(gòu)的代名詞。大型公司和初創(chuàng)公司（包括VMware、思科、瞻博網(wǎng)絡(luò)、Big Switch以及Plexxi）都在采用不同的部署方法。

　　Casado在Nicira（現(xiàn)在屬于VMware公司）打造了第一批SDN部署之一，這個(gè)網(wǎng)絡(luò)虛擬化平臺(tái)NSX在8月下旬的2013年 VMworld大會(huì)上首次亮相。它能夠在虛擬主機(jī)和現(xiàn)有的物理網(wǎng)絡(luò)之間創(chuàng)建一個(gè)智能抽象層。

　　網(wǎng)絡(luò)虛擬化與服務(wù)器虛擬化類似，因?yàn)樗�是一個(gè)平臺(tái)，一組可以由軟件控制的原生功能，獨(dú)立于物理設(shè)備。它使用虛擬機(jī)提供的相同屬性：隔離和有限的可信計(jì)算基礎(chǔ)。

　　“作為SDN的證明點(diǎn)或者SDN之上構(gòu)建的應(yīng)用，網(wǎng)絡(luò)虛擬化具有可靠的安全屬性，”Casado說(shuō)道，“這是我在情報(bào)機(jī)構(gòu)工作時(shí)使用的用例：你如何構(gòu)建計(jì)算隔離組？它們都有自己的安全政策，無(wú)論虛擬機(jī)去哪里，這些政策都將保持不變。對(duì)于我來(lái)說(shuō)，這是關(guān)鍵所在，這也是為什么我認(rèn)為網(wǎng)絡(luò)虛擬化將是未來(lái)所有安全部署的根本所在。”

　　SDN控制器是攻擊目標(biāo)嗎？

　　對(duì)于SDN，人們最大的擔(dān)憂就是，SDN控制器現(xiàn)在將成為攻擊者的巨大目標(biāo)。但事實(shí)上，這個(gè)控制器根本沒(méi)有那么簡(jiǎn)單可以攻破。

　　在計(jì)算機(jī)虛擬化中，信任整合是在管理程序中進(jìn)行，因此，安全問(wèn)題被縮小到保護(hù)管理程序。網(wǎng)絡(luò)虛擬化依賴于與計(jì)算虛擬化相同的信任假設(shè)；它也在管理程序中使用信任整合。

　　面對(duì)質(zhì)疑管理程序上信任整合的安全性的人，Casado提到了亞馬遜的彈性計(jì)算云。該管理程序因其隔離性質(zhì)以及運(yùn)行數(shù)以百萬(wàn)計(jì)的工作負(fù)載而備受信賴。

　　“如果你可以信任現(xiàn)在的管理程序，那么你應(yīng)該同樣地信任網(wǎng)絡(luò)虛擬化�？刂破鞅旧硎遣荒鼙蛔鈶糁苯釉L問(wèn)的；它們不是控制空間的一部分。攻擊者沒(méi)有辦法攻擊它們，”Casado解釋說(shuō)，“你需要攻擊管理程序，這是你現(xiàn)在必須做的，并且，我們正在使用租戶之間的隔離。”

　　底線是，現(xiàn)在在物理網(wǎng)絡(luò)中，與控制器相對(duì)應(yīng)的是物理網(wǎng)絡(luò)設(shè)備以及可以攻擊它們的任何終端主機(jī)。Casado表示：“在網(wǎng)絡(luò)虛擬化中，控制器完全是隱藏的，它們甚至不在訪客的地址空間，因此，它們不可能受到攻擊。”

　　安全公司的新機(jī)會(huì)

　　SDN涉及更改網(wǎng)絡(luò)架構(gòu)，這個(gè)過(guò)程存在安全隱患。它允許你以不同的方式建立系統(tǒng)，這改變了很多安全假設(shè)。這給安全行業(yè)帶來(lái)了巨大的機(jī)會(huì)，讓他們可以利用這個(gè)新架構(gòu)的優(yōu)勢(shì)，同時(shí)，還能幫助定義核心規(guī)則集以及新模式來(lái)重新思考安全。

　　VMware已經(jīng)開(kāi)發(fā)了一個(gè)生態(tài)系統(tǒng)來(lái)聯(lián)合安全行業(yè)的大型供應(yīng)商，包括所有的傳統(tǒng)安全設(shè)備和終端主機(jī)防病毒公司。作為該生態(tài)系統(tǒng)的一部分，客戶可以決定他們想要的安全服務(wù)，想要的供應(yīng)商，來(lái)建立自己的虛擬世界。

　　作為SDN的首批用例之一，網(wǎng)絡(luò)虛擬化從根本上改變了我們對(duì)安全的認(rèn)識(shí)，Casado說(shuō)道：“這為我們提供了一個(gè)機(jī)會(huì)來(lái)重新定義安全，它為我們提供了全球性覆蓋，讓我們可以動(dòng)態(tài)地對(duì)事物做出反應(yīng)�，F(xiàn)在我們正在進(jìn)入全新的安全世界。”

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：解讀SDN：安全引領(lǐng)的技術(shù)

本文網(wǎng)址：http://www.ezxoed.cn/html/support/11121511188.html