現如今的企業可能正在掀起一股部署實施軟件定義網絡(SDN)的趨勢,但是,企業必須確保其從一開始就是安全的。
雖然 SDN 為網絡引進了包括分離了控制層面和數據層面、簡化 了底層硬件的實現、簡化了網絡配置過程、向上層應用提供網絡的全局視圖等優點。但是,作為一個尚在起步階段的體系結構,SDN 是 一把雙刃劍,在簡化網絡管理、縮短創新週期的同時,也引入了不可 低估的安全威脅。
控制層安全威脅,管理集中性使得網絡配置、網絡服務訪問控制、網絡安全服務部 署等都集中於 SDN 控制器上。SDN 的集中式控制方式使得控制器存 在單點失效的風險。
應用層安全威脅,SDN 架構通過 SDN 控制器給應用層提供大量的可編程接口,這 個層面上的開放性可能會帶來接口的濫用,由於現有的對應用的授權 機制不完善,容易安裝惡意應用或安裝受攻擊的應用。
數據平面安全威脅,SDN 的標準組織定義了控制層面和數據層面的標準接口協議 OpenFlow,有可能受到攻擊者發起的協議攻擊。
南向接口安全威脅,這主要是指由OpenFlow協議的脆弱性而引發的安全性威脅。
北向接口安全威脅,目前北向接口對應用程序的認證方法和 認證力度尚沒有統一的規定,北向接口在控制器和應用程序之間所建立的信賴關係更 加脆弱,攻擊者可利用北向接口的開放性和可編程性,對控制器中的 某些重要資源進行訪問。因此,對攻擊者而言,攻擊北向接口的門檻更低。
1.淹沒攻擊,如SYN洪水攻擊:這些攻擊包含大量只設置了SYN標記的TCP數據包。它們會佔用帶寬,也會填滿目標系統的連接隊列。基於SDN開發的交換機可以作為第一道防禦線,分辨特定模式和設定一段特定時間內來自一個或多個來源的數據包容量臨界值。然後,這些交換機可以選擇丟棄數據包,或者使用其他技術和協議將它重定向到其他目標。大多數路由器和其他網絡平台都沒有這樣細緻的控制機制。
2.針對特定應用與服務的攻擊:這些攻擊只針對帶有非常特殊HTTP請求序列的web服務(使用帶有特殊Cookie變量等信息的用戶代理字符串)。SDN設備可以分辨、記錄和拋棄這些請求。
3.針對協議行為的DDoS攻擊:這些攻擊會填滿設備的狀態表,但是SDN設備可以根據流順序和連接限制分辨這些行為。
4. SDN可以模拟许多基础的防火墙功能。控制器可以执行脚本和命令,快速更新MAC、IP地址及端口过滤方式,因此可以快速响应和更新流量的策略与规则。另外,它可以解放其他网络设备,使它们不需要处理大量的流量。
以上SDN安全功能由於能夠處理更多的流量,也能夠處理特定的數據包屬性,所以網絡安全分析能夠實現的安全功能不只有基本數據包過濾和DDoS檢測。而且,它也很可能能夠處理更加高級的入侵檢測和意外響應。