利用SDN应对网络安全威胁
来源:网界网
摘要:目前,各行各业的企业正在积极修复Heartbleed漏洞,而管理员正在寻找新的方法来防范威胁。针对网络安全问题,软件定义网络(SDN)或许能够提供解决方案,不过SDN虽然有很多优势,但它并不是万能的。
Abstract:
Key words :
Heartbleed是最近占据各大媒体新闻的最新安全漏洞。软件定义网络[注](SDN[注])能否为未来网络接种?
目前,各行各业的企业正在积极修复Heartbleed漏洞,而管理员正在寻找新的方法来防范威胁。针对
网络安全问题,软件定义网络(SDN)或许能够提供解决方案,不过SDN虽然有很多优势,但它并不是万能的。企业首先应该了解SDN的优势,再决定它是否能够帮助你保护网络安全。
SDN安全优势
纵观网络安全威胁领域,某些网络安全威胁确实可以利用SDN来解决。开放网络基金会(
ONF)执行主管Dan Pitt表示,SDN能够很好地发现网络的异常行为,如“流量模式中的异常活动”。当发现这些可疑活动时,管理员通过SDN可以迅速作出反应,比如立即修改网络流量的处理方式。管理员可以改变流量的方向,将它隔离,或者迫使它通过分析程序。
另一个关键优势是其软件定义环境的本质。“如果出现一些新的威胁,有人可以编写软件来弄清楚如何处理这种威胁,并迅速部署。”Pitt表示,“你不需要花时间等待供应商更新其专有操作系统和软件。”因此,SDN能够帮助企业解决Heartbleed这样的安全漏洞问题,无论是服务器,还是防火墙等组件都可能会隐藏这个漏洞,而过去管理员可能会依赖于多个供应商来提供修复程序。
符合SDN模式的具体例子是分布式拒绝服务[注](DDoS[注])攻击。ONF的转发抽象[注]工作组(Forward Abstraction Working Group ,FAWG)联合主席兼Brocade公司的首席架构师Curt Beckmann表示:“DDoS攻击其实很容易在网络中检测到,而SDN则是很有效的工具。”当可疑行为(例如DDoS攻击)被发现时,管理员可以更改网络中的行为来应对你遇到的攻击,而不会妨碍网络上的其他活动。
SDN无法解决的威胁
当然,有些安全威胁并不能通过SDN来发现并解决。数据渗出就是一个例子。Pitt表示:“当有东西真正进入到计算环境,并开始从内部获取数据,这就超出了SDN的能力范围。”
ADARA Networks公司首席执行官Eric Johnson表示,当攻击者瞄准完全自足的系统(例如桌面),SDN并不能发挥什么作用。它可能会提供一些有限的功能来限制该漏洞到特定系统,但SDN对此并没有什么太大的帮助。当流量在网络中移动时,SDN可能会有所察觉。但当这种活动在单个系统或组件内进行时,SDN并不能监控和管理发生的事情。
最大化地将SDN[注]用于安全
企业可以采取一些措施来最大限度地利用SDN来解决一些安全问题。ADARA Networks公司首席架构师Karthikeyan Subramaniam表示,管理员应该学会利用SDN来迅速将服务从一个组件转移到另一个上。硬件、操作系统、虚拟机、应用程序服务器、数据库等,它们都在基础设施内各尽其责。“从管理员的角度来说,管理员们必须了解其组件,”Subramaniam解释说,“他们需要列出替代选项,因为任何这些组件都很可能易收到攻击。”
事实上,网络中有些地方很可能会同时收到攻击,这就需要快速反应能力了。Subramaniam表示:“如果存在零日漏洞,使用SDN可以将服务从受攻击组件转移到另一个组件中。”这种快速的行动能够让企业继续提供服务,而受到攻击的组件可以同时进行修复。
SDN还有其他应用,即使是在更加基于硬件的基础设施中(其中具有很多层),例如可用产品的数据库和客户用来选择产品的web界面之间的连接点。Beckmann解释说:“我们有很多层服务器功能或工作负载,它们通过路由器被隔离。”从历史上来看,物理的基于硬件的路由器是链接这些层的首选方法,但现在,软件路由器正在越来越受欢迎。他表示:“软件路由器基本上是这样,你可以插入你的保护,或者添加检测功能到其中。”
对于不同层(网络、业务逻辑和数据库等)由不同团队开发的企业中,这种方法特别有用。Beckmann表示:“无论恶意与否,在某个代码版本中很容易发现漏洞,而你不会希望网络层的人去破坏你的数据库。”通过这些虚拟路由器隔离这些层,企业可以生活照一个动态的DevOps世界,他们可以不断地添加新功能,并扩展事物到新的领域,同时提供可接受水平的保护。
为了实现协作和连接以确保业务活动的更好执行,现在的网络环境非常的开放。而SDN能够给管理员提供正确的工具来维持安全性,即使在互联网络中。Johnson表示:“他们需要思考的是安装一些东西来提供一个覆盖来分布式环境。”
网络的很多部分都是在孤岛中开发,这制造了问题。Johnson表示,这往往会造成安全方面的问题,因为当数据包交给系统的另一部分时,开发人员并不总是会考虑发生了什么。“如果他们利用SDN,他们可以解决很多系统中存在的漏洞问题。”
随着企业不断加强其网络内虚拟化程度,Pitt表示,保持良好安全状态的关键是避免复杂的基础设施。“我希望他们尽可能地简化基础设施,然后将控制变得更加独立,更容易执行动态修改。”这让管理员可以迅速改变网络的行为,从而让企业更好地防范和应对威胁。
此内容为AET网站原创,未经授权禁止转载。