如何保护你的SDN控制器

管理网络已经变得越来越复杂,随着物联网设备的数量持续激增,管理网络面临着更加严重的挑战,这种复杂性使得难以及时重新配置传统网络来响应恶意事件或修复配置错误。

软件定义网络(SDN)可以帮助网络工程师灵活、动态地改变网络在节点上的行为,这种传统网络中通常是不可用的。SDN使用虚拟化来简化网络资源的管理,并提供增加容量的解决方案,且不会显著增加成本。

随着网络控制从硬件转向软件,结果是多个设备合并成一个控制器,使网络工程师能够控制整个网络,但是这一模式存在明显的安全隐患,必须得以解决。

如何保护你的SDN控制器

SDN的优势

SDN使得将诸如实时高清视频会议和云应用等服务整合到企业的环境中更加容易,应用程序开发人员或测试人员可以隔离和运行工作负载,而无需担心生产网络中的虚拟租户。这可以加快解决问题的速度,并减少部署之前测试所需的时间。

SDN通过集中的仪表板带来了更高的可见性和控制的优势。控制器可以确定每个应用程序的业务流的最佳路由、拥塞状况、链路健康状况和优先级以实时跟踪,而通过不同路径或多路径路由特定应用流量的能力提供了冗余的功能。

例如,如果企业的应用程序由两个独立的云服务提供商托管,则可以将特定用户的流量路由到平均延迟较低的云服务提供商,这可以使企业能够提供更更好的用户体验。

SDN的另一个优势是不用担心厂商锁定,SDN的目标是使用开放标准。企业可以轻松使用多厂商的产品,这有助于降低成本。通过在低成本商用服务器上集合多个计算、存储和处理功能,可以显著降低资本支出,这种虚拟化可以使大量手动网络配置变得自动化并提高其可追溯性。

安全性也是企业使用SDN的一大优势,这意味着企业可以将防御功能从简单地阻止特定攻击扩展到主动修改以适应新的威胁。SDN控制器可以通过网络集中推送全局安全策略更新,虚拟交换机可以在网络边缘过滤数据包,并将可疑流量重定向到其他安全设备以供进一步分析。

SDN的安全问题

关于SDN安全性的一个重要问题是虚拟化网络基础设施的每个方面都会放大攻击的影响,SDN控制器通常是攻击者的主要目标,因为它是网络决策的中心点,也理所当然成为攻击的中心。

攻击者可以尝试通过闯入控制器或伪装成一个控制网络,一旦中央控制器遭到破坏,攻击者就可以完全控制你的网络。这是一种极端的状况,但随着SDN使用量的持续增长,这种攻击现象极有可能成为现实。

一些新的拒绝服务攻击类型,通过查找使用大量CPU的特定自动进程来尝试利用SDN基础设施的潜在扩展限制。由于控制和数据平面的分离,SDN可能非常容易受到攻击,两个平面之间的通信链路中断可能会导致攻击者找到漏洞。

由于SDN控制器的可编程性,工程师们可以在控制器的北向接口上安全安全应用,为网络上的安全策略开辟新的途径,当然可编程北向接口也是一个潜在的漏洞。

另外,安装在控制器上的应用程序可能会重新配置网络,攻击者可以诱骗网络工程师安装已经被入侵的应用程序,并可能使网络完全出乎意料。

如何保护你的SDN控制器

对SDN控制器的访问控制非常重要,能够防止未经授权的活动。应该使用基于角色的访问策略,并且一致地审查。任何未经授权的尝试都应该向安全人员发出警报,此外,必须对其配置更改进行定期审核。

使用高可用性控制器体系架构来防止分布式拒绝服务(DDoS)攻击非常重要,在设计中具有高可用性将使得企业能够测试生产环境中的更新或更改,以及如果更新无法正常工作,则提供故障转移的选择。

北向通信应通过TLS或SSH进行加密,此外任何北向的应用程序都应该安全编码。对这些应用程序的任何攻击或妥协都可能影响控制器的安全性和操作。此外,避免为这些应用程序使用默认密码,并确保应用程序在于控制器进行通信执勤啊有某种形式的身份验证。

相关推荐