利用SDN應(yīng)對網(wǎng)絡(luò)安全威脅
來源:網(wǎng)界網(wǎng)
摘要: 目前,各行各業(yè)的企業(yè)正在積極修復(fù)Heartbleed漏洞,而管理員正在尋找新的方法來防范威脅。針對網(wǎng)絡(luò)安全問題,軟件定義網(wǎng)絡(luò)(SDN)或許能夠提供解決方案,不過SDN雖然有很多優(yōu)勢,但它并不是萬能的。
Abstract:
Key words :
Heartbleed是最近占據(jù)各大媒體新聞的最新安全漏洞。軟件定義網(wǎng)絡(luò)[注](SDN[注])能否為未來網(wǎng)絡(luò)接種?
目前,各行各業(yè)的企業(yè)正在積極修復(fù)Heartbleed漏洞,而管理員正在尋找新的方法來防范威脅。針對網(wǎng)絡(luò)安全問題,軟件定義網(wǎng)絡(luò)(SDN)或許能夠提供解決方案,不過SDN雖然有很多優(yōu)勢,但它并不是萬能的。企業(yè)首先應(yīng)該了解SDN的優(yōu)勢,再決定它是否能夠幫助你保護(hù)網(wǎng)絡(luò)安全。
SDN安全優(yōu)勢
縱觀網(wǎng)絡(luò)安全威脅領(lǐng)域,某些網(wǎng)絡(luò)安全威脅確實可以利用SDN來解決。開放網(wǎng)絡(luò)基金會(ONF)執(zhí)行主管Dan Pitt表示,SDN能夠很好地發(fā)現(xiàn)網(wǎng)絡(luò)的異常行為,如“流量模式中的異?;顒?rdquo;。當(dāng)發(fā)現(xiàn)這些可疑活動時,管理員通過SDN可以迅速作出反應(yīng),比如立即修改網(wǎng)絡(luò)流量的處理方式。管理員可以改變流量的方向,將它隔離,或者迫使它通過分析程序。
另一個關(guān)鍵優(yōu)勢是其軟件定義環(huán)境的本質(zhì)。“如果出現(xiàn)一些新的威脅,有人可以編寫軟件來弄清楚如何處理這種威脅,并迅速部署。”Pitt表示,“你不需要花時間等待供應(yīng)商更新其專有操作系統(tǒng)和軟件。”因此,SDN能夠幫助企業(yè)解決Heartbleed這樣的安全漏洞問題,無論是服務(wù)器,還是防火墻等組件都可能會隱藏這個漏洞,而過去管理員可能會依賴于多個供應(yīng)商來提供修復(fù)程序。
符合SDN模式的具體例子是分布式拒絕服務(wù)[注](DDoS[注])攻擊。ONF的轉(zhuǎn)發(fā)抽象[注]工作組(Forward Abstraction Working Group ,F(xiàn)AWG)聯(lián)合主席兼Brocade公司的首席架構(gòu)師Curt Beckmann表示:“DDoS攻擊其實很容易在網(wǎng)絡(luò)中檢測到,而SDN則是很有效的工具。”當(dāng)可疑行為(例如DDoS攻擊)被發(fā)現(xiàn)時,管理員可以更改網(wǎng)絡(luò)中的行為來應(yīng)對你遇到的攻擊,而不會妨礙網(wǎng)絡(luò)上的其他活動。
SDN無法解決的威脅
當(dāng)然,有些安全威脅并不能通過SDN來發(fā)現(xiàn)并解決。數(shù)據(jù)滲出就是一個例子。Pitt表示:“當(dāng)有東西真正進(jìn)入到計算環(huán)境,并開始從內(nèi)部獲取數(shù)據(jù),這就超出了SDN的能力范圍。”
ADARA Networks公司首席執(zhí)行官Eric Johnson表示,當(dāng)攻擊者瞄準(zhǔn)完全自足的系統(tǒng)(例如桌面),SDN并不能發(fā)揮什么作用。它可能會提供一些有限的功能來限制該漏洞到特定系統(tǒng),但SDN對此并沒有什么太大的幫助。當(dāng)流量在網(wǎng)絡(luò)中移動時,SDN可能會有所察覺。但當(dāng)這種活動在單個系統(tǒng)或組件內(nèi)進(jìn)行時,SDN并不能監(jiān)控和管理發(fā)生的事情。
最大化地將SDN[注]用于安全
企業(yè)可以采取一些措施來最大限度地利用SDN來解決一些安全問題。ADARA Networks公司首席架構(gòu)師Karthikeyan Subramaniam表示,管理員應(yīng)該學(xué)會利用SDN來迅速將服務(wù)從一個組件轉(zhuǎn)移到另一個上。硬件、操作系統(tǒng)、虛擬機(jī)、應(yīng)用程序服務(wù)器、數(shù)據(jù)庫等,它們都在基礎(chǔ)設(shè)施內(nèi)各盡其責(zé)。“從管理員的角度來說,管理員們必須了解其組件,”Subramaniam解釋說,“他們需要列出替代選項,因為任何這些組件都很可能易收到攻擊。”
事實上,網(wǎng)絡(luò)中有些地方很可能會同時收到攻擊,這就需要快速反應(yīng)能力了。Subramaniam表示:“如果存在零日漏洞,使用SDN可以將服務(wù)從受攻擊組件轉(zhuǎn)移到另一個組件中。”這種快速的行動能夠讓企業(yè)繼續(xù)提供服務(wù),而受到攻擊的組件可以同時進(jìn)行修復(fù)。
SDN還有其他應(yīng)用,即使是在更加基于硬件的基礎(chǔ)設(shè)施中(其中具有很多層),例如可用產(chǎn)品的數(shù)據(jù)庫和客戶用來選擇產(chǎn)品的web界面之間的連接點。Beckmann解釋說:“我們有很多層服務(wù)器功能或工作負(fù)載,它們通過路由器被隔離。”從歷史上來看,物理的基于硬件的路由器是鏈接這些層的首選方法,但現(xiàn)在,軟件路由器正在越來越受歡迎。他表示:“軟件路由器基本上是這樣,你可以插入你的保護(hù),或者添加檢測功能到其中。”
對于不同層(網(wǎng)絡(luò)、業(yè)務(wù)邏輯和數(shù)據(jù)庫等)由不同團(tuán)隊開發(fā)的企業(yè)中,這種方法特別有用。Beckmann表示:“無論惡意與否,在某個代碼版本中很容易發(fā)現(xiàn)漏洞,而你不會希望網(wǎng)絡(luò)層的人去破壞你的數(shù)據(jù)庫。”通過這些虛擬路由器隔離這些層,企業(yè)可以生活照一個動態(tài)的DevOps世界,他們可以不斷地添加新功能,并擴(kuò)展事物到新的領(lǐng)域,同時提供可接受水平的保護(hù)。
為了實現(xiàn)協(xié)作和連接以確保業(yè)務(wù)活動的更好執(zhí)行,現(xiàn)在的網(wǎng)絡(luò)環(huán)境非常的開放。而SDN能夠給管理員提供正確的工具來維持安全性,即使在互聯(lián)網(wǎng)絡(luò)中。Johnson表示:“他們需要思考的是安裝一些東西來提供一個覆蓋來分布式環(huán)境。”
網(wǎng)絡(luò)的很多部分都是在孤島中開發(fā),這制造了問題。Johnson表示,這往往會造成安全方面的問題,因為當(dāng)數(shù)據(jù)包交給系統(tǒng)的另一部分時,開發(fā)人員并不總是會考慮發(fā)生了什么。“如果他們利用SDN,他們可以解決很多系統(tǒng)中存在的漏洞問題。”
隨著企業(yè)不斷加強(qiáng)其網(wǎng)絡(luò)內(nèi)虛擬化程度,Pitt表示,保持良好安全狀態(tài)的關(guān)鍵是避免復(fù)雜的基礎(chǔ)設(shè)施。“我希望他們盡可能地簡化基礎(chǔ)設(shè)施,然后將控制變得更加獨立,更容易執(zhí)行動態(tài)修改。”這讓管理員可以迅速改變網(wǎng)絡(luò)的行為,從而讓企業(yè)更好地防范和應(yīng)對威脅。
此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。