目前，各行各業(yè)的企業(yè)正在積極修復(fù)Heartbleed漏洞，而管理員正在尋找新的方法來(lái)防范威脅。針對(duì)網(wǎng)絡(luò)安全問(wèn)題，軟件定義網(wǎng)絡(luò)(SDN)或許能夠提供解決方案，不過(guò)SDN雖然有很多優(yōu)勢(shì)，但它并不是萬(wàn)能的。企業(yè)首先應(yīng)該了解SDN的優(yōu)勢(shì)，再?zèng)Q定它是否能夠幫助你保護(hù)網(wǎng)絡(luò)安全。

 

SDN安全優(yōu)勢(shì)

 

縱觀網(wǎng)絡(luò)安全威脅領(lǐng)域，某些網(wǎng)絡(luò)安全威脅確實(shí)可以利用SDN來(lái)解決。開(kāi)放網(wǎng)絡(luò)基金會(huì)(ONF)執(zhí)行主管Dan Pitt表示，SDN能夠很好地發(fā)現(xiàn)網(wǎng)絡(luò)的異常行為，如“流量模式中的異常活動(dòng)”。當(dāng)發(fā)現(xiàn)這些可疑活動(dòng)時(shí)，管理員通過(guò)SDN可以迅速作出反應(yīng)，比如立即修改網(wǎng)絡(luò)流量的處理方式。管理員可以改變流量的方向，將它隔離，或者迫使它通過(guò)分析程序。

 

另一個(gè)關(guān)鍵優(yōu)勢(shì)是其軟件定義環(huán)境的本質(zhì)。“如果出現(xiàn)一些新的威脅，有人可以編寫(xiě)軟件來(lái)弄清楚如何處理這種威脅，并迅速部署。”Pitt表示，“你不需要花時(shí)間等待供應(yīng)商更新其專(zhuān)有操作系統(tǒng)和軟件。”因此，SDN能夠幫助企業(yè)解決Heartbleed這樣的安全漏洞問(wèn)題，無(wú)論是服務(wù)器，還是防火墻等組件都可能會(huì)隱藏這個(gè)漏洞，而過(guò)去管理員可能會(huì)依賴(lài)于多個(gè)供應(yīng)商來(lái)提供修復(fù)程序。

 

符合SDN模式的具體例子是分布式拒絕服務(wù)[注](DDoS[注])攻擊。ONF的轉(zhuǎn)發(fā)抽象[注]工作組(Forward Abstraction Working Group ，F(xiàn)AWG)聯(lián)合主席兼Brocade公司的首席架構(gòu)師Curt Beckmann表示：“DDoS攻擊其實(shí)很容易在網(wǎng)絡(luò)中檢測(cè)到，而SDN則是很有效的工具。”當(dāng)可疑行為(例如DDoS攻擊)被發(fā)現(xiàn)時(shí)，管理員可以更改網(wǎng)絡(luò)中的行為來(lái)應(yīng)對(duì)你遇到的攻擊，而不會(huì)妨礙網(wǎng)絡(luò)上的其他活動(dòng)。

 

SDN無(wú)法解決的威脅

 

當(dāng)然，有些安全威脅并不能通過(guò)SDN來(lái)發(fā)現(xiàn)并解決。數(shù)據(jù)滲出就是一個(gè)例子。Pitt表示：“當(dāng)有東西真正進(jìn)入到計(jì)算環(huán)境，并開(kāi)始從內(nèi)部獲取數(shù)據(jù)，這就超出了SDN的能力范圍。”

 

ADARA Networks公司首席執(zhí)行官Eric Johnson表示，當(dāng)攻擊者瞄準(zhǔn)完全自足的系統(tǒng)(例如桌面)，SDN并不能發(fā)揮什么作用。它可能會(huì)提供一些有限的功能來(lái)限制該漏洞到特定系統(tǒng)，但SDN對(duì)此并沒(méi)有什么太大的幫助。當(dāng)流量在網(wǎng)絡(luò)中移動(dòng)時(shí)，SDN可能會(huì)有所察覺(jué)。但當(dāng)這種活動(dòng)在單個(gè)系統(tǒng)或組件內(nèi)進(jìn)行時(shí)，SDN并不能監(jiān)控和管理發(fā)生的事情。

 

最大化地將SDN[注]用于安全

 

企業(yè)可以采取一些措施來(lái)最大限度地利用SDN來(lái)解決一些安全問(wèn)題。ADARA Networks公司首席架構(gòu)師Karthikeyan Subramaniam表示，管理員應(yīng)該學(xué)會(huì)利用SDN來(lái)迅速將服務(wù)從一個(gè)組件轉(zhuǎn)移到另一個(gè)上。硬件、操作系統(tǒng)、虛擬機(jī)、應(yīng)用程序服務(wù)器、數(shù)據(jù)庫(kù)等，它們都在基礎(chǔ)設(shè)施內(nèi)各盡其責(zé)。“從管理員的角度來(lái)說(shuō)，管理員們必須了解其組件，”Subramaniam解釋說(shuō)，“他們需要列出替代選項(xiàng)，因?yàn)槿魏芜@些組件都很可能易收到攻擊。”

 

事實(shí)上，網(wǎng)絡(luò)中有些地方很可能會(huì)同時(shí)收到攻擊，這就需要快速反應(yīng)能力了。Subramaniam表示：“如果存在零日漏洞，使用SDN可以將服務(wù)從受攻擊組件轉(zhuǎn)移到另一個(gè)組件中。”這種快速的行動(dòng)能夠讓企業(yè)繼續(xù)提供服務(wù)，而受到攻擊的組件可以同時(shí)進(jìn)行修復(fù)。

 

SDN還有其他應(yīng)用，即使是在更加基于硬件的基礎(chǔ)設(shè)施中(其中具有很多層)，例如可用產(chǎn)品的數(shù)據(jù)庫(kù)和客戶用來(lái)選擇產(chǎn)品的web界面之間的連接點(diǎn)。Beckmann解釋說(shuō)：“我們有很多層服務(wù)器功能或工作負(fù)載，它們通過(guò)路由器被隔離。”從歷史上來(lái)看，物理的基于硬件的路由器是鏈接這些層的首選方法，但現(xiàn)在，軟件路由器正在越來(lái)越受歡迎。他表示：“軟件路由器基本上是這樣，你可以插入你的保護(hù)，或者添加檢測(cè)功能到其中。”

 

對(duì)于不同層(網(wǎng)絡(luò)、業(yè)務(wù)邏輯和數(shù)據(jù)庫(kù)等)由不同團(tuán)隊(duì)開(kāi)發(fā)的企業(yè)中，這種方法特別有用。Beckmann表示：“無(wú)論惡意與否，在某個(gè)代碼版本中很容易發(fā)現(xiàn)漏洞，而你不會(huì)希望網(wǎng)絡(luò)層的人去破壞你的數(shù)據(jù)庫(kù)。”通過(guò)這些虛擬路由器隔離這些層，企業(yè)可以生活照一個(gè)動(dòng)態(tài)的DevOps世界，他們可以不斷地添加新功能，并擴(kuò)展事物到新的領(lǐng)域，同時(shí)提供可接受水平的保護(hù)。

 

為了實(shí)現(xiàn)協(xié)作和連接以確保業(yè)務(wù)活動(dòng)的更好執(zhí)行，現(xiàn)在的網(wǎng)絡(luò)環(huán)境非常的開(kāi)放。而SDN能夠給管理員提供正確的工具來(lái)維持安全性，即使在互聯(lián)網(wǎng)絡(luò)中。Johnson表示：“他們需要思考的是安裝一些東西來(lái)提供一個(gè)覆蓋來(lái)分布式環(huán)境。”

 

網(wǎng)絡(luò)的很多部分都是在孤島中開(kāi)發(fā)，這制造了問(wèn)題。Johnson表示，這往往會(huì)造成安全方面的問(wèn)題，因?yàn)楫?dāng)數(shù)據(jù)包交給系統(tǒng)的另一部分時(shí)，開(kāi)發(fā)人員并不總是會(huì)考慮發(fā)生了什么。“如果他們利用SDN，他們可以解決很多系統(tǒng)中存在的漏洞問(wèn)題。”

 

隨著企業(yè)不斷加強(qiáng)其網(wǎng)絡(luò)內(nèi)虛擬化程度，Pitt表示，保持良好安全狀態(tài)的關(guān)鍵是避免復(fù)雜的基礎(chǔ)設(shè)施。“我希望他們盡可能地簡(jiǎn)化基礎(chǔ)設(shè)施，然后將控制變得更加獨(dú)立，更容易執(zhí)行動(dòng)態(tài)修改。”這讓管理員可以迅速改變網(wǎng)絡(luò)的行為，從而讓企業(yè)更好地防范和應(yīng)對(duì)威脅。