目前,，各行各業(yè)的企業(yè)正在積極修復(fù)Heartbleed漏洞，而管理員正在尋找新的方法來(lái)防范威脅,。針對(duì)網(wǎng)絡(luò)安全問(wèn)題，軟件定義網(wǎng)絡(luò)(SDN)或許能夠提供解決方案,，不過(guò)SDN雖然有很多優(yōu)勢(shì),，但它并不是萬(wàn)能的。企業(yè)首先應(yīng)該了解SDN的優(yōu)勢(shì),，再?zèng)Q定它是否能夠幫助你保護(hù)網(wǎng)絡(luò)安全,。

 

SDN安全優(yōu)勢(shì)

 

縱觀網(wǎng)絡(luò)安全威脅領(lǐng)域，某些網(wǎng)絡(luò)安全威脅確實(shí)可以利用SDN來(lái)解決,。開(kāi)放網(wǎng)絡(luò)基金會(huì)(ONF)執(zhí)行主管Dan Pitt表示,，SDN能夠很好地發(fā)現(xiàn)網(wǎng)絡(luò)的異常行為，如“流量模式中的異?；顒?dòng)”,。當(dāng)發(fā)現(xiàn)這些可疑活動(dòng)時(shí)，管理員通過(guò)SDN可以迅速作出反應(yīng),，比如立即修改網(wǎng)絡(luò)流量的處理方式,。管理員可以改變流量的方向，將它隔離,，或者迫使它通過(guò)分析程序,。

 

另一個(gè)關(guān)鍵優(yōu)勢(shì)是其軟件定義環(huán)境的本質(zhì),。“如果出現(xiàn)一些新的威脅，有人可以編寫(xiě)軟件來(lái)弄清楚如何處理這種威脅,，并迅速部署,。”Pitt表示，“你不需要花時(shí)間等待供應(yīng)商更新其專有操作系統(tǒng)和軟件,。”因此,，SDN能夠幫助企業(yè)解決Heartbleed這樣的安全漏洞問(wèn)題，無(wú)論是服務(wù)器,，還是防火墻等組件都可能會(huì)隱藏這個(gè)漏洞,，而過(guò)去管理員可能會(huì)依賴于多個(gè)供應(yīng)商來(lái)提供修復(fù)程序。

 

符合SDN模式的具體例子是分布式拒絕服務(wù)[注](DDoS[注])攻擊,。ONF的轉(zhuǎn)發(fā)抽象[注]工作組(Forward Abstraction Working Group ,，F(xiàn)AWG)聯(lián)合主席兼Brocade公司的首席架構(gòu)師Curt Beckmann表示：“DDoS攻擊其實(shí)很容易在網(wǎng)絡(luò)中檢測(cè)到，而SDN則是很有效的工具,。”當(dāng)可疑行為(例如DDoS攻擊)被發(fā)現(xiàn)時(shí),，管理員可以更改網(wǎng)絡(luò)中的行為來(lái)應(yīng)對(duì)你遇到的攻擊，而不會(huì)妨礙網(wǎng)絡(luò)上的其他活動(dòng),。

 

SDN無(wú)法解決的威脅

 

當(dāng)然,，有些安全威脅并不能通過(guò)SDN來(lái)發(fā)現(xiàn)并解決。數(shù)據(jù)滲出就是一個(gè)例子,。Pitt表示：“當(dāng)有東西真正進(jìn)入到計(jì)算環(huán)境,，并開(kāi)始從內(nèi)部獲取數(shù)據(jù)，這就超出了SDN的能力范圍,。”

 

ADARA Networks公司首席執(zhí)行官Eric Johnson表示,，當(dāng)攻擊者瞄準(zhǔn)完全自足的系統(tǒng)(例如桌面)，SDN并不能發(fā)揮什么作用,。它可能會(huì)提供一些有限的功能來(lái)限制該漏洞到特定系統(tǒng),，但SDN對(duì)此并沒(méi)有什么太大的幫助。當(dāng)流量在網(wǎng)絡(luò)中移動(dòng)時(shí),，SDN可能會(huì)有所察覺(jué),。但當(dāng)這種活動(dòng)在單個(gè)系統(tǒng)或組件內(nèi)進(jìn)行時(shí)，SDN并不能監(jiān)控和管理發(fā)生的事情,。

 

最大化地將SDN[注]用于安全

 

企業(yè)可以采取一些措施來(lái)最大限度地利用SDN來(lái)解決一些安全問(wèn)題,。ADARA Networks公司首席架構(gòu)師Karthikeyan Subramaniam表示，管理員應(yīng)該學(xué)會(huì)利用SDN來(lái)迅速將服務(wù)從一個(gè)組件轉(zhuǎn)移到另一個(gè)上,。硬件,、操作系統(tǒng)、虛擬機(jī),、應(yīng)用程序服務(wù)器,、數(shù)據(jù)庫(kù)等,，它們都在基礎(chǔ)設(shè)施內(nèi)各盡其責(zé)。“從管理員的角度來(lái)說(shuō),，管理員們必須了解其組件,，”Subramaniam解釋說(shuō)，“他們需要列出替代選項(xiàng),，因?yàn)槿魏芜@些組件都很可能易收到攻擊,。”

 

事實(shí)上，網(wǎng)絡(luò)中有些地方很可能會(huì)同時(shí)收到攻擊,，這就需要快速反應(yīng)能力了,。Subramaniam表示：“如果存在零日漏洞，使用SDN可以將服務(wù)從受攻擊組件轉(zhuǎn)移到另一個(gè)組件中,。”這種快速的行動(dòng)能夠讓企業(yè)繼續(xù)提供服務(wù),，而受到攻擊的組件可以同時(shí)進(jìn)行修復(fù)。

 

SDN還有其他應(yīng)用,，即使是在更加基于硬件的基礎(chǔ)設(shè)施中(其中具有很多層),，例如可用產(chǎn)品的數(shù)據(jù)庫(kù)和客戶用來(lái)選擇產(chǎn)品的web界面之間的連接點(diǎn)。Beckmann解釋說(shuō)：“我們有很多層服務(wù)器功能或工作負(fù)載,，它們通過(guò)路由器被隔離,。”從歷史上來(lái)看，物理的基于硬件的路由器是鏈接這些層的首選方法,，但現(xiàn)在,，軟件路由器正在越來(lái)越受歡迎。他表示：“軟件路由器基本上是這樣,，你可以插入你的保護(hù),，或者添加檢測(cè)功能到其中。”

 

對(duì)于不同層(網(wǎng)絡(luò),、業(yè)務(wù)邏輯和數(shù)據(jù)庫(kù)等)由不同團(tuán)隊(duì)開(kāi)發(fā)的企業(yè)中，這種方法特別有用,。Beckmann表示：“無(wú)論惡意與否,，在某個(gè)代碼版本中很容易發(fā)現(xiàn)漏洞，而你不會(huì)希望網(wǎng)絡(luò)層的人去破壞你的數(shù)據(jù)庫(kù),。”通過(guò)這些虛擬路由器隔離這些層,，企業(yè)可以生活照一個(gè)動(dòng)態(tài)的DevOps世界，他們可以不斷地添加新功能,，并擴(kuò)展事物到新的領(lǐng)域,，同時(shí)提供可接受水平的保護(hù)。

 

為了實(shí)現(xiàn)協(xié)作和連接以確保業(yè)務(wù)活動(dòng)的更好執(zhí)行,，現(xiàn)在的網(wǎng)絡(luò)環(huán)境非常的開(kāi)放,。而SDN能夠給管理員提供正確的工具來(lái)維持安全性,，即使在互聯(lián)網(wǎng)絡(luò)中。Johnson表示：“他們需要思考的是安裝一些東西來(lái)提供一個(gè)覆蓋來(lái)分布式環(huán)境,。”

 

網(wǎng)絡(luò)的很多部分都是在孤島中開(kāi)發(fā),，這制造了問(wèn)題。Johnson表示,，這往往會(huì)造成安全方面的問(wèn)題,，因?yàn)楫?dāng)數(shù)據(jù)包交給系統(tǒng)的另一部分時(shí)，開(kāi)發(fā)人員并不總是會(huì)考慮發(fā)生了什么,。“如果他們利用SDN,，他們可以解決很多系統(tǒng)中存在的漏洞問(wèn)題。”

 

隨著企業(yè)不斷加強(qiáng)其網(wǎng)絡(luò)內(nèi)虛擬化程度,，Pitt表示,，保持良好安全狀態(tài)的關(guān)鍵是避免復(fù)雜的基礎(chǔ)設(shè)施。“我希望他們盡可能地簡(jiǎn)化基礎(chǔ)設(shè)施,，然后將控制變得更加獨(dú)立,，更容易執(zhí)行動(dòng)態(tài)修改。”這讓管理員可以迅速改變網(wǎng)絡(luò)的行為,，從而讓企業(yè)更好地防范和應(yīng)對(duì)威脅,。