軟件定義網絡(SDN)是極少數由安全引領的技術,但這個事實并沒有得到應得的關注。
就在911事件不久后,Martin Casado腦海里產生了促使SDN的原始想法,他當時在情報機構處理具有高度安全設置的系統。現在Casado是VMware公司網絡和安全首席技術官。
Casado意識到他們完全可以編程一臺計算機來處理計算機層面的安全問題,但對于網絡安全問題,卻無法采用相同的方式。他們受限于網絡供應商銷售的產品,并且,他們沒辦法改變這種局面。從可操作化安全網絡來看,這是最薄弱的環節。
Casado把他的提高企業網絡安全的想法帶到了斯坦福大學,在那里他獲得了他的博士學位,并為現在我們所謂的SDN奠定了基礎。
為了將虛擬化的靈活性和安全屬性引入到網絡中,Casado及其在斯坦福大學的博士學位導師Nick McKeown,以及加州大學伯克利分校的Scott Shenker在2007年共同創立了Nicira。該公司的初始資金來自情報機構,而在2012年,VMware收購了Nicira。
“不僅SDN本身在設計時將安全作為其基礎,而且SDN旨在創造更安全的網絡設計,”Casado表示,“SDN將能夠解決傳統網絡面對的日益嚴重的安全問題。”
什么是SDN?
SDN是一個“堆棧”架構,它將網絡控制平面從轉發平面分離出來,并將其集中在控制器中,控制器通過高水平的政策定義轉發行為。北向應用編程接口(API)位于該控制器的頂部,并提供到應用和管理的網絡抽象接口。南向API(例如OpenFlow)允許控制器在SDN堆棧的底部定義交換機的行為。
SDN到底是什么,這里存在有很多混淆。IDC公司數據中心網絡研究主管Brad Casemore表示:“記住,有些編程網絡的方式并不涉及SDN,如果它不涉及分離數據平面和控制平面,它就不是SDN。”SDN并不是構建到網絡的基礎設施上的修復解決方案。
SDN在安全方面需要知道的最重要的事情之一就是,它涉及根本性轉移到零信任模式。在這種模式中,你需要假設你的訪客是不受信任的,限制代碼基礎,只允許最低訪問權限來完成工作,在SDN出現之前,這是非常困難的工作。
Casado指出:“安全領域的人都知道,信息收集往往容易受到攻擊。因此,我們要確保兩個原則:最少的信息和最低的特權。”
SDN實現信任整合
SDN的另一個關鍵特性是信任整合。在物理世界中,如果你將所有可信任的東西放在保管庫中,并鎖上它,你的安全問題就縮小為保管庫的解鎖問題。
傳統網絡沒有可以整合信任的中央機構或者信托機構,因此,整個網絡散布著潛在的不安全因素。
傳統網絡中的信任泛濫的原因之一是互聯網技術被設計為有機地增長,而沒有任何中央授權。
Casado表示,現在這種隱形信任的問題是,攻擊者經常可以利用它。而SDN可以保證這種信任整合,確認幾個可信實體,并認為其他一切都是不可信的。
SDN提供對架構的更多控制,以及控制平面的分布模型,這使其可以將信任整合到較少的元素。
肯塔基大學的首席網絡工程師Brent Salisbury指出,現在你不需要擔心數千個元素,你只需要擔心幾十個元素。
“SDN縮小了你的攻擊向量,”Salisbury表示,“當然,那些幾十個設備就變得更加重要,你可以圍繞它們構建安全基礎設施,而不是圍繞所有的設備來構建安全基礎設施。傳統網絡的問題在于,你需要到處部署安全基礎設施,這需要非常高的成本。通過SDN,我們不僅可以節省成本,還可以提高安全性。”
SDN是一個機制,不是一個部署
盡管供應商使用各種術語,但我們需要意識到,SDN是一種機制,并不是關于如何部署架構的代名詞。大型公司和初創公司(包括VMware、思科、瞻博網絡、Big Switch以及Plexxi)都在采用不同的部署方法。
Casado在Nicira(現在屬于VMware公司)打造了第一批SDN部署之一,這個網絡虛擬化平臺NSX在8月下旬的2013年 VMworld大會上首次亮相。它能夠在虛擬主機和現有的物理網絡之間創建一個智能抽象層。
網絡虛擬化與服務器虛擬化類似,因為它是一個平臺,一組可以由軟件控制的原生功能,獨立于物理設備。它使用虛擬機提供的相同屬性:隔離和有限的可信計算基礎。
“作為SDN的證明點或者SDN之上構建的應用,網絡虛擬化具有可靠的安全屬性,”Casado說道,“這是我在情報機構工作時使用的用例:你如何構建計算隔離組?它們都有自己的安全政策,無論虛擬機去哪里,這些政策都將保持不變。對于我來說,這是關鍵所在,這也是為什么我認為網絡虛擬化將是未來所有安全部署的根本所在。”
SDN控制器是攻擊目標嗎?
對于SDN,人們最大的擔憂就是,SDN控制器現在將成為攻擊者的巨大目標。但事實上,這個控制器根本沒有那么簡單可以攻破。
在計算機虛擬化中,信任整合是在管理程序中進行,因此,安全問題被縮小到保護管理程序。網絡虛擬化依賴于與計算虛擬化相同的信任假設;它也在管理程序中使用信任整合。
面對質疑管理程序上信任整合的安全性的人,Casado提到了亞馬遜的彈性計算云。該管理程序因其隔離性質以及運行數以百萬計的工作負載而備受信賴。
“如果你可以信任現在的管理程序,那么你應該同樣地信任網絡虛擬化。控制器本身是不能被租戶直接訪問的;它們不是控制空間的一部分。攻擊者沒有辦法攻擊它們,”Casado解釋說,“你需要攻擊管理程序,這是你現在必須做的,并且,我們正在使用租戶之間的隔離。”
底線是,現在在物理網絡中,與控制器相對應的是物理網絡設備以及可以攻擊它們的任何終端主機。Casado表示:“在網絡虛擬化中,控制器完全是隱藏的,它們甚至不在訪客的地址空間,因此,它們不可能受到攻擊。”
安全公司的新機會
SDN涉及更改網絡架構,這個過程存在安全隱患。它允許你以不同的方式建立系統,這改變了很多安全假設。這給安全行業帶來了巨大的機會,讓他們可以利用這個新架構的優勢,同時,還能幫助定義核心規則集以及新模式來重新思考安全。
VMware已經開發了一個生態系統來聯合安全行業的大型供應商,包括所有的傳統安全設備和終端主機防病毒公司。作為該生態系統的一部分,客戶可以決定他們想要的安全服務,想要的供應商,來建立自己的虛擬世界。
作為SDN的首批用例之一,網絡虛擬化從根本上改變了我們對安全的認識,Casado說道:“這為我們提供了一個機會來重新定義安全,它為我們提供了全球性覆蓋,讓我們可以動態地對事物做出反應。現在我們正在進入全新的安全世界。”
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.vmgcyvh.cn/
本文標題:解讀SDN:安全引領的技術
相關文章
