SDN在創(chuàng)立之初就受到了全球矚目并發(fā)展迅速,SDN的發(fā)展壯大帶來(lái)網(wǎng)絡(luò)產(chǎn)業(yè)格局重大調(diào)整的同時(shí)���,也勢(shì)必會(huì)波及到網(wǎng)絡(luò)安全設(shè)備行業(yè)�。網(wǎng)絡(luò)側(cè)安全產(chǎn)品在本質(zhì)上是一種特殊用途的網(wǎng)絡(luò)設(shè)備�,SDN技術(shù)將對(duì)跨L2-L7的整個(gè)協(xié)議棧產(chǎn)生影響,因此在網(wǎng)絡(luò)基礎(chǔ)架構(gòu)發(fā)生變化時(shí),甚至是發(fā)生變化之前�,網(wǎng)絡(luò)安全設(shè)備的工作機(jī)制和解決方案也會(huì)發(fā)生相應(yīng)的變化��。
回到虛擬化�,它給數(shù)據(jù)中心和企業(yè)網(wǎng)絡(luò)帶來(lái)了新的問(wèn)題和挑戰(zhàn)。一方面����,傳統(tǒng)的安全產(chǎn)品和安全解決方案無(wú)法解決在虛擬化后出現(xiàn)新的網(wǎng)絡(luò)安全問(wèn)題;另一方面,網(wǎng)絡(luò)虛擬化自身也面臨一些安全問(wèn)題�。網(wǎng)絡(luò)在虛擬化后主要面臨的問(wèn)題有:
·物理安全設(shè)備存在觀測(cè)死角
虛擬機(jī)與外界存在數(shù)據(jù)交換,在虛擬化環(huán)境中的數(shù)據(jù)流有兩類���,即跨物理主機(jī)的VM 數(shù)據(jù)流和同一物理主機(jī)內(nèi)部的VM 數(shù)據(jù)流���。前者一般通過(guò)隧道或VLAN 等模式進(jìn)行傳輸,現(xiàn)有的IDS/IPS 等安全設(shè)備需要在所有的傳輸路徑上進(jìn)行監(jiān)控�,后者只經(jīng)過(guò)物理主機(jī)中的虛擬交換機(jī),無(wú)法被實(shí)體的安全設(shè)備監(jiān)控到����,成為整個(gè)安全系統(tǒng)的死角。攻擊者可以在內(nèi)部虛擬網(wǎng)絡(luò)中發(fā)動(dòng)任何攻擊��,而不會(huì)被安全設(shè)備所察覺(jué)。
·虛擬網(wǎng)絡(luò)的數(shù)據(jù)流難以理解
雖然安全設(shè)備無(wú)法獲得物理主機(jī)內(nèi)部的VM 間的數(shù)據(jù)包�����,但可以獲取跨物理主機(jī)間VM 的數(shù)據(jù)流�。盡管如此,傳統(tǒng)的安全設(shè)備還是不能理解這些數(shù)據(jù)流���,也就無(wú)法應(yīng)用正確的安全策略���。例如,兩個(gè)租戶分別在兩臺(tái)物理主機(jī)上租用了一臺(tái)虛擬機(jī)�,當(dāng)租戶A從VM1向VM3發(fā)數(shù)據(jù)包時(shí),防火墻能接收到物理主機(jī)1到物理主機(jī)2的數(shù)據(jù)包�,但不知道到底是租戶A還是租戶B的程序在發(fā)送數(shù)據(jù)包,也不知道是哪兩臺(tái)VM在通信����。此外,很多虛擬機(jī)之間的數(shù)據(jù)包是經(jīng)過(guò)GRE隧道傳輸?shù)��,所以傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)施可能不能解析這些封裝后的數(shù)據(jù)流���。
·安全策略難以遷移
虛擬化解決方案的重要優(yōu)點(diǎn)是彈性和快速����,例如當(dāng)VM從一臺(tái)物理主機(jī)無(wú)縫快速地遷移到另一臺(tái)物理主機(jī)時(shí),或當(dāng)增加或刪除VM時(shí)�,網(wǎng)絡(luò)虛擬化管理工具可快速調(diào)整網(wǎng)絡(luò)拓?fù)洌谂f物理網(wǎng)絡(luò)中刪除VM 的網(wǎng)絡(luò)資源(地址���、路由策略等),并在新的物理網(wǎng)絡(luò)中分配VM的網(wǎng)絡(luò)資源����。相應(yīng)地,安全解決方案也應(yīng)將原網(wǎng)絡(luò)設(shè)備和安全設(shè)備的安全控制(ACL和QoS)跟隨遷移����,然而現(xiàn)有安全產(chǎn)品缺乏對(duì)安全策略遷移的支持,導(dǎo)致安全邊界不能適應(yīng)虛擬網(wǎng)絡(luò)的變化�����。
·網(wǎng)絡(luò)流量不可見(jiàn)
在傳統(tǒng)網(wǎng)絡(luò)中����,所有數(shù)據(jù)包經(jīng)由交換或路由設(shè)備,這些設(shè)備可以感知并學(xué)習(xí)當(dāng)前環(huán)境的數(shù)據(jù)流量�,可以針對(duì)目前的網(wǎng)絡(luò)狀況動(dòng)態(tài)調(diào)整路由策略�。但基于OpenFlow的SDN架構(gòu)中的網(wǎng)絡(luò)控制器只
會(huì)收到底層設(shè)備發(fā)來(lái)的部分?jǐn)?shù)據(jù)包�,并不了解控制域中大部分直接被轉(zhuǎn)發(fā)的數(shù)據(jù)流具體內(nèi)容。
·控制器的單點(diǎn)失效
除了傳統(tǒng)網(wǎng)絡(luò)升級(jí)到SDN后網(wǎng)絡(luò)層的新問(wèn)題外���,SDN本身也會(huì)存在漏洞��,特別是復(fù)雜的SDN的控制器����。數(shù)據(jù)平面和控制平面的分離主要是由控制器實(shí)現(xiàn)的���,所以控制器就成為網(wǎng)絡(luò)虛擬化的最重要的設(shè)施��。
然而控制器需要應(yīng)對(duì)各種動(dòng)態(tài)的網(wǎng)絡(luò)拓?fù)���,解析各種類型的數(shù)據(jù)包,接收上層應(yīng)用的信息����,并控制底層網(wǎng)絡(luò)設(shè)備的行為,所以功能實(shí)現(xiàn)將會(huì)非常復(fù)雜�����,也就可能存在不少漏洞。當(dāng)攻擊者攻破控制器�,就可以向所有的網(wǎng)絡(luò)設(shè)施發(fā)送指令,很容易癱瘓整個(gè)網(wǎng)絡(luò);或?qū)⒛承⿺?shù)據(jù)流重定向到惡意VM���,造成敏感信息的泄露����。
所以�����,針對(duì)傳統(tǒng)安全產(chǎn)品對(duì)內(nèi)部網(wǎng)絡(luò)不可見(jiàn)的缺點(diǎn)����,安全廠商需推出支持虛擬化的安全產(chǎn)品��,這些安全產(chǎn)品以軟件的形式存在���,并兼容主流的虛擬化解決方案����,可監(jiān)控內(nèi)部虛擬網(wǎng)絡(luò)中的數(shù)據(jù)流�����。要想達(dá)到真正的軟件定義安全,就需要在保護(hù)現(xiàn)有和新增設(shè)備以及內(nèi)部虛擬網(wǎng)絡(luò)的基礎(chǔ)上��,深刻理解SDN的工作模式����,提出松耦合但與之匹配的安全架構(gòu),設(shè)計(jì)網(wǎng)絡(luò)控制器和安全控制器聯(lián)動(dòng)的安全機(jī)制����,建立基于環(huán)境的數(shù)據(jù)傳輸決策模型。
