軟件定義網(wǎng)絡(luò)（SDN）是極少數(shù)由安全引領(lǐng)的技術(shù)，但這個事實并沒有得到應(yīng)得的關(guān)注。

　　就在911事件不久后，Martin Casado腦海里產(chǎn)生了促使SDN的原始想法，他當(dāng)時在情報機構(gòu)處理具有高度安全設(shè)置的系統(tǒng)。現(xiàn)在Casado是VMware公司網(wǎng)絡(luò)和安全首席技術(shù)官。

　　Casado意識到他們完全可以編程一臺計算機來處理計算機層面的安全問題，但對于網(wǎng)絡(luò)安全問題，卻無法采用相同的方式。他們受限于網(wǎng)絡(luò)供應(yīng)商銷售的產(chǎn)品，并且，他們沒辦法改變這種局面。從可操作化安全網(wǎng)絡(luò)來看，這是最薄弱的環(huán)節(jié)。

　　Casado把他的提高企業(yè)網(wǎng)絡(luò)安全的想法帶到了斯坦福大學(xué)，在那里他獲得了他的博士學(xué)位，并為現(xiàn)在我們所謂的SDN奠定了基礎(chǔ)。

　　為了將虛擬化的靈活性和安全屬性引入到網(wǎng)絡(luò)中，Casado及其在斯坦福大學(xué)的博士學(xué)位導(dǎo)師Nick McKeown，以及加州大學(xué)伯克利分校的Scott Shenker在2007年共同創(chuàng)立了Nicira。該公司的初始資金來自情報機構(gòu)，而在2012年，VMware收購了Nicira。

　　“不僅SDN本身在設(shè)計時將安全作為其基礎(chǔ)，而且SDN旨在創(chuàng)造更安全的網(wǎng)絡(luò)設(shè)計，”Casado表示，“SDN將能夠解決傳統(tǒng)網(wǎng)絡(luò)面對的日益嚴(yán)重的安全問題。”

　　什么是SDN？

　　SDN是一個“堆棧”架構(gòu)，它將網(wǎng)絡(luò)控制平面從轉(zhuǎn)發(fā)平面分離出來，并將其集中在控制器中，控制器通過高水平的政策定義轉(zhuǎn)發(fā)行為。北向應(yīng)用編程接口（API）位于該控制器的頂部，并提供到應(yīng)用和管理的網(wǎng)絡(luò)抽象接口。南向API（例如OpenFlow）允許控制器在SDN堆棧的底部定義交換機的行為。

　　SDN到底是什么，這里存在有很多混淆。IDC公司數(shù)據(jù)中心網(wǎng)絡(luò)研究主管Brad Casemore表示：“記住，有些編程網(wǎng)絡(luò)的方式并不涉及SDN，如果它不涉及分離數(shù)據(jù)平面和控制平面，它就不是SDN。”SDN并不是構(gòu)建到網(wǎng)絡(luò)的基礎(chǔ)設(shè)施上的修復(fù)解決方案。

　　SDN在安全方面需要知道的最重要的事情之一就是，它涉及根本性轉(zhuǎn)移到零信任模式。在這種模式中，你需要假設(shè)你的訪客是不受信任的，限制代碼基礎(chǔ)，只允許最低訪問權(quán)限來完成工作，在SDN出現(xiàn)之前，這是非常困難的工作。

　　Casado指出：“安全領(lǐng)域的人都知道，信息收集往往容易受到攻擊。因此，我們要確保兩個原則：最少的信息和最低的特權(quán)。”

　　SDN實現(xiàn)信任整合

　　SDN的另一個關(guān)鍵特性是信任整合。在物理世界中，如果你將所有可信任的東西放在保管庫中，并鎖上它，你的安全問題就縮小為保管庫的解鎖問題。

　　傳統(tǒng)網(wǎng)絡(luò)沒有可以整合信任的中央機構(gòu)或者信托機構(gòu)，因此，整個網(wǎng)絡(luò)散布著潛在的不安全因素。

　　傳統(tǒng)網(wǎng)絡(luò)中的信任泛濫的原因之一是互聯(lián)網(wǎng)技術(shù)被設(shè)計為有機地增長，而沒有任何中央授權(quán)。

　　Casado表示，現(xiàn)在這種隱形信任的問題是，攻擊者經(jīng)常可以利用它。而SDN可以保證這種信任整合，確認(rèn)幾個可信實體，并認(rèn)為其他一切都是不可信的。

　　SDN提供對架構(gòu)的更多控制，以及控制平面的分布模型，這使其可以將信任整合到較少的元素。

　　肯塔基大學(xué)的首席網(wǎng)絡(luò)工程師Brent Salisbury指出，現(xiàn)在你不需要擔(dān)心數(shù)千個元素，你只需要擔(dān)心幾十個元素。

　　“SDN縮小了你的攻擊向量，”Salisbury表示，“當(dāng)然，那些幾十個設(shè)備就變得更加重要，你可以圍繞它們構(gòu)建安全基礎(chǔ)設(shè)施，而不是圍繞所有的設(shè)備來構(gòu)建安全基礎(chǔ)設(shè)施。傳統(tǒng)網(wǎng)絡(luò)的問題在于，你需要到處部署安全基礎(chǔ)設(shè)施，這需要非常高的成本。通過SDN，我們不僅可以節(jié)省成本，還可以提高安全性。”

　　SDN是一個機制，不是一個部署

　　盡管供應(yīng)商使用各種術(shù)語，但我們需要意識到，SDN是一種機制，并不是關(guān)于如何部署架構(gòu)的代名詞。大型公司和初創(chuàng)公司（包括VMware、思科、瞻博網(wǎng)絡(luò)、Big Switch以及Plexxi）都在采用不同的部署方法。

　　Casado在Nicira（現(xiàn)在屬于VMware公司）打造了第一批SDN部署之一，這個網(wǎng)絡(luò)虛擬化平臺NSX在8月下旬的2013年 VMworld大會上首次亮相。它能夠在虛擬主機和現(xiàn)有的物理網(wǎng)絡(luò)之間創(chuàng)建一個智能抽象層。

　　網(wǎng)絡(luò)虛擬化與服務(wù)器虛擬化類似，因為它是一個平臺，一組可以由軟件控制的原生功能，獨立于物理設(shè)備。它使用虛擬機提供的相同屬性：隔離和有限的可信計算基礎(chǔ)。

　　“作為SDN的證明點或者SDN之上構(gòu)建的應(yīng)用，網(wǎng)絡(luò)虛擬化具有可靠的安全屬性，”Casado說道，“這是我在情報機構(gòu)工作時使用的用例：你如何構(gòu)建計算隔離組？它們都有自己的安全政策，無論虛擬機去哪里，這些政策都將保持不變。對于我來說，這是關(guān)鍵所在，這也是為什么我認(rèn)為網(wǎng)絡(luò)虛擬化將是未來所有安全部署的根本所在。”

　　SDN控制器是攻擊目標(biāo)嗎？

　　對于SDN，人們最大的擔(dān)憂就是，SDN控制器現(xiàn)在將成為攻擊者的巨大目標(biāo)。但事實上，這個控制器根本沒有那么簡單可以攻破。

　　在計算機虛擬化中，信任整合是在管理程序中進行，因此，安全問題被縮小到保護管理程序。網(wǎng)絡(luò)虛擬化依賴于與計算虛擬化相同的信任假設(shè)；它也在管理程序中使用信任整合。

　　面對質(zhì)疑管理程序上信任整合的安全性的人，Casado提到了亞馬遜的彈性計算云。該管理程序因其隔離性質(zhì)以及運行數(shù)以百萬計的工作負(fù)載而備受信賴。

　　“如果你可以信任現(xiàn)在的管理程序，那么你應(yīng)該同樣地信任網(wǎng)絡(luò)虛擬化。控制器本身是不能被租戶直接訪問的；它們不是控制空間的一部分。攻擊者沒有辦法攻擊它們，”Casado解釋說，“你需要攻擊管理程序，這是你現(xiàn)在必須做的，并且，我們正在使用租戶之間的隔離。”

　　底線是，現(xiàn)在在物理網(wǎng)絡(luò)中，與控制器相對應(yīng)的是物理網(wǎng)絡(luò)設(shè)備以及可以攻擊它們的任何終端主機。Casado表示：“在網(wǎng)絡(luò)虛擬化中，控制器完全是隱藏的，它們甚至不在訪客的地址空間，因此，它們不可能受到攻擊。”

　　安全公司的新機會

　　SDN涉及更改網(wǎng)絡(luò)架構(gòu)，這個過程存在安全隱患。它允許你以不同的方式建立系統(tǒng)，這改變了很多安全假設(shè)。這給安全行業(yè)帶來了巨大的機會，讓他們可以利用這個新架構(gòu)的優(yōu)勢，同時，還能幫助定義核心規(guī)則集以及新模式來重新思考安全。

　　VMware已經(jīng)開發(fā)了一個生態(tài)系統(tǒng)來聯(lián)合安全行業(yè)的大型供應(yīng)商，包括所有的傳統(tǒng)安全設(shè)備和終端主機防病毒公司。作為該生態(tài)系統(tǒng)的一部分，客戶可以決定他們想要的安全服務(wù)，想要的供應(yīng)商，來建立自己的虛擬世界。

　　作為SDN的首批用例之一，網(wǎng)絡(luò)虛擬化從根本上改變了我們對安全的認(rèn)識，Casado說道：“這為我們提供了一個機會來重新定義安全，它為我們提供了全球性覆蓋，讓我們可以動態(tài)地對事物做出反應(yīng)。現(xiàn)在我們正在進入全新的安全世界。”

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：解讀SDN：安全引領(lǐng)的技術(shù)

本文網(wǎng)址：http://www.guhuozai8.cn/html/support/11121511188.html