目前，各行各業(yè)的企業(yè)正在積極修復(fù)Heartbleed漏洞，而管理員正在尋找新的方法來防范威脅。針對網(wǎng)絡(luò)安全問題，軟件定義網(wǎng)絡(luò)(SDN)或許能夠提供解決方案，不過SDN雖然有很多優(yōu)勢，但它并不是萬能的。企業(yè)首先應(yīng)該了解SDN的優(yōu)勢，再決定它是否能夠幫助你保護網(wǎng)絡(luò)安全。

 

SDN安全優(yōu)勢

 

縱觀網(wǎng)絡(luò)安全威脅領(lǐng)域，某些網(wǎng)絡(luò)安全威脅確實可以利用SDN來解決。開放網(wǎng)絡(luò)基金會(ONF)執(zhí)行主管Dan Pitt表示，SDN能夠很好地發(fā)現(xiàn)網(wǎng)絡(luò)的異常行為，如“流量模式中的異常活動”。當發(fā)現(xiàn)這些可疑活動時，管理員通過SDN可以迅速作出反應(yīng)，比如立即修改網(wǎng)絡(luò)流量的處理方式。管理員可以改變流量的方向，將它隔離，或者迫使它通過分析程序。

 

另一個關(guān)鍵優(yōu)勢是其軟件定義環(huán)境的本質(zhì)。“如果出現(xiàn)一些新的威脅，有人可以編寫軟件來弄清楚如何處理這種威脅，并迅速部署。”Pitt表示，“你不需要花時間等待供應(yīng)商更新其專有操作系統(tǒng)和軟件。”因此，SDN能夠幫助企業(yè)解決Heartbleed這樣的安全漏洞問題，無論是服務(wù)器，還是防火墻等組件都可能會隱藏這個漏洞，而過去管理員可能會依賴于多個供應(yīng)商來提供修復(fù)程序。

 

符合SDN模式的具體例子是分布式拒絕服務(wù)[注](DDoS[注])攻擊。ONF的轉(zhuǎn)發(fā)抽象[注]工作組(Forward Abstraction Working Group ，F(xiàn)AWG)聯(lián)合主席兼Brocade公司的首席架構(gòu)師Curt Beckmann表示：“DDoS攻擊其實很容易在網(wǎng)絡(luò)中檢測到，而SDN則是很有效的工具。”當可疑行為(例如DDoS攻擊)被發(fā)現(xiàn)時，管理員可以更改網(wǎng)絡(luò)中的行為來應(yīng)對你遇到的攻擊，而不會妨礙網(wǎng)絡(luò)上的其他活動。

 

SDN無法解決的威脅

 

當然，有些安全威脅并不能通過SDN來發(fā)現(xiàn)并解決。數(shù)據(jù)滲出就是一個例子。Pitt表示：“當有東西真正進入到計算環(huán)境，并開始從內(nèi)部獲取數(shù)據(jù)，這就超出了SDN的能力范圍。”

 

ADARA Networks公司首席執(zhí)行官Eric Johnson表示，當攻擊者瞄準完全自足的系統(tǒng)(例如桌面)，SDN并不能發(fā)揮什么作用。它可能會提供一些有限的功能來限制該漏洞到特定系統(tǒng)，但SDN對此并沒有什么太大的幫助。當流量在網(wǎng)絡(luò)中移動時，SDN可能會有所察覺。但當這種活動在單個系統(tǒng)或組件內(nèi)進行時，SDN并不能監(jiān)控和管理發(fā)生的事情。

 

最大化地將SDN[注]用于安全

 

企業(yè)可以采取一些措施來最大限度地利用SDN來解決一些安全問題。ADARA Networks公司首席架構(gòu)師Karthikeyan Subramaniam表示，管理員應(yīng)該學(xué)會利用SDN來迅速將服務(wù)從一個組件轉(zhuǎn)移到另一個上。硬件、操作系統(tǒng)、虛擬機、應(yīng)用程序服務(wù)器、數(shù)據(jù)庫等，它們都在基礎(chǔ)設(shè)施內(nèi)各盡其責(zé)。“從管理員的角度來說，管理員們必須了解其組件，”Subramaniam解釋說，“他們需要列出替代選項，因為任何這些組件都很可能易收到攻擊。”

 

事實上，網(wǎng)絡(luò)中有些地方很可能會同時收到攻擊，這就需要快速反應(yīng)能力了。Subramaniam表示：“如果存在零日漏洞，使用SDN可以將服務(wù)從受攻擊組件轉(zhuǎn)移到另一個組件中。”這種快速的行動能夠讓企業(yè)繼續(xù)提供服務(wù)，而受到攻擊的組件可以同時進行修復(fù)。

 

SDN還有其他應(yīng)用，即使是在更加基于硬件的基礎(chǔ)設(shè)施中(其中具有很多層)，例如可用產(chǎn)品的數(shù)據(jù)庫和客戶用來選擇產(chǎn)品的web界面之間的連接點。Beckmann解釋說：“我們有很多層服務(wù)器功能或工作負載，它們通過路由器被隔離。”從歷史上來看，物理的基于硬件的路由器是鏈接這些層的首選方法，但現(xiàn)在，軟件路由器正在越來越受歡迎。他表示：“軟件路由器基本上是這樣，你可以插入你的保護，或者添加檢測功能到其中。”

 

對于不同層(網(wǎng)絡(luò)、業(yè)務(wù)邏輯和數(shù)據(jù)庫等)由不同團隊開發(fā)的企業(yè)中，這種方法特別有用。Beckmann表示：“無論惡意與否，在某個代碼版本中很容易發(fā)現(xiàn)漏洞，而你不會希望網(wǎng)絡(luò)層的人去破壞你的數(shù)據(jù)庫。”通過這些虛擬路由器隔離這些層，企業(yè)可以生活照一個動態(tài)的DevOps世界，他們可以不斷地添加新功能，并擴展事物到新的領(lǐng)域，同時提供可接受水平的保護。

 

為了實現(xiàn)協(xié)作和連接以確保業(yè)務(wù)活動的更好執(zhí)行，現(xiàn)在的網(wǎng)絡(luò)環(huán)境非常的開放。而SDN能夠給管理員提供正確的工具來維持安全性，即使在互聯(lián)網(wǎng)絡(luò)中。Johnson表示：“他們需要思考的是安裝一些東西來提供一個覆蓋來分布式環(huán)境。”

 

網(wǎng)絡(luò)的很多部分都是在孤島中開發(fā)，這制造了問題。Johnson表示，這往往會造成安全方面的問題，因為當數(shù)據(jù)包交給系統(tǒng)的另一部分時，開發(fā)人員并不總是會考慮發(fā)生了什么。“如果他們利用SDN，他們可以解決很多系統(tǒng)中存在的漏洞問題。”

 

隨著企業(yè)不斷加強其網(wǎng)絡(luò)內(nèi)虛擬化程度，Pitt表示，保持良好安全狀態(tài)的關(guān)鍵是避免復(fù)雜的基礎(chǔ)設(shè)施。“我希望他們盡可能地簡化基礎(chǔ)設(shè)施，然后將控制變得更加獨立，更容易執(zhí)行動態(tài)修改。”這讓管理員可以迅速改變網(wǎng)絡(luò)的行為，從而讓企業(yè)更好地防范和應(yīng)對威脅。