SDN架构下的企业广域网链路的安全特点
2018-03-30李婧璐
李婧璐
摘要
SDN作为一种新型的网络架构,拥有优秀的灵活性与可扩展性,对于网络虚拟化、低成本化的要求显示出独特的优势。对于大型企业的网络,因为接入用户数量庞大,对于企业内部敏感数据保护,以及用户上网行为的规范化显得倍加重要。本文通过分析SDN架构中的安全特点以及安全威胁,提出了一种SDN架构下的安全技术框架,其较传统的网络系统,具有更而的可扩展能力,同时拥有更灵活的策略配置与硬件资源分配能力。不但便于对系统运维,而且硬件资源可以更为有效的得到利用。
【关键词】SDN架构 信息安全
1 SDN技术及现状
SDN(Software Defined Network)是一种新型网络架构,OpenFlow技术是这一架构的核心技术,由美国斯坦福大学Clean Slate研究组首先提出。它的核心是将控制平面与转发平面分离来实现网络流量的灵活控制,能够为核心网络、应用创新提供良好的平台。在SDN架构下,开放和标准化是核心关键点。
从近两年SDN的发展情况来看,SDN的应用尝试和商用部署主要集中于数据中心领域。对互联网企业而言,网络结构相对简单,流量流向相对单一,使用SDN技术有效的降低了组网成本。电信运营商期望能够通过SDN技术,实现多厂商设备网络环境集中高效控制,促进网络和业务创新。
2 SDN架构的安全特点
SDN架构提供了一个平台,它具有高可扩展性、高灵活性的网络部署,精细高效的数据流控制等特点。较目前的网络架构,SDN能提供更安全、可靠的对网络设备的集中式、自动化管理、统一的策略执行等。诸如访问控制、防火墙、人侵检测、人侵防御等可以利用开放API轻松方便地实现集成到SDN中,革命性的创新为网络架构带来了很多灵活性同时也使得SDN中的安全问题呈现出其特有的特点。
SDN架构管理的集中性体现在将网络配置、网络服务访问控制、网络安全服务部署等的集中。这种集中的布局虽然易于管理,但是如果有攻击者成功实施了对控制器的攻击结果将会导致网络服务的大面积瘫痪更有甚者会影响控制器覆盖的整个网络范围。SDN的另外一个重要特点就是开放性,开放性使得SDN可以实现统一管理、配置异构网络设备、提供可编程特性等等,但也正是开放性的特点,架构同样面临很多的安全隐患。比如安全漏洞和策略的不完备性等都充分地暴露,攻击者从而轻易掌握足够的信息制定攻击策略;另外应用层大量的可编程接口会带来接口的滥用等问题,容易引发DDoS攻击等;因此,为了阻击攻击,就需要消除各种安全隐患,需要做好开放的接口的安全评估。
综上,我们会发现,SDN架构自身的优点,比如网络的集中管理、运营维护成本等都比现有网络架构更有优势,不过从当前的发展阶段来看,SDN架构存在的安全隐患也让我们不得不正视制约SDN架构技术的发展,只有解决了存在的安全问题,这项技术才能得到更多的应用和推广。
通过对SDN三层体系的研究,我们会发现控制平面和应用平面是SDN中的安全问题集中所在。
2.1 控制平面的安全
SDN安全首先要解決的问题就是集中化的控制。集中化控制是关键,直接关系着网络服务的可用性、可靠性和数据安全性,承载着网络环境中的所有控制流。在控制面中,面临的威胁主要包括以下方面:
网络监听:网络中,当信息进行传播的时候,攻击者通过对控制器上的控制信令进行伪造和修改,便可捕捉到网络中正在传播的信息。
IP地址欺骗:攻击者通过把伪造的源IP地址替换其行动产生的IP数据包,从而冒充其他身份,骗取交换机的信任,对网络进行破坏。
DDoS攻击:分布式拒绝服务攻击,攻击者通过利用客户或者服务器技术,发动大量的正常或非正常请求、耗尽目标主机资源或网络资源,直到控制器因过载而拒绝为合法用户提供服务。
病毒攻击:控制器中存在的漏洞导致攻击者能够获取控制器的控制权,能够执行恶意代码进行攻击等。
2.2 应用平面的安全
SDN架构的推广和发展丰富了应用层的网络服务的同时,接踵而来的就是各类安全隐患的出现,主要的安全隐患有以下两种:
恶意应用:在应用层的应用中植入病毒、木马等程序,通过破坏进程来实施对控制面的正常工作进程的控制;
安全规则冲突:由于考虑到安全的原因,应用层会随着应用的复杂而制定各种安全规则,这样会导致多个应用之间安全规则的互相冲突,增加了网络服务的管理难度。
3 SDN架构下的安全技术框架
安全的SDN架构,首先需要对重点设备或者重点控制器进行监控,能够及时发现问题和排除异常情况,其次需要对架构中的设备、应用、安全策略、服务管理等进行有效管理,所以威胁分析、防御规则是解决SDN中的安全问题中至关重要的。
另外,跨越多层次的安全评价体系和安全管理制度的提出也完善了架构安全。通过对架构各个方面进行安全评价和分级以及制定评价标准达到可视化的安全管理模式,由控制器对评价中安全级别低的应用或服务进行分别处理,如此安全策略配置和管理的差异化更加适应不用的管理人员。
4 结论
近年来,越来越多的技术团队提出关于SDN安全的需求分析及解决方案。本文就SDN架构下的安全问题的特点给出架构下的系统方案,希望在早期设计阶段完成系统安全规划,如果等到SDN系统运行时再去强化南北向接口的通信安全,那么有可会造成网络所提供的服务质量不稳定。和大多数新生事物一样,尽早的规划,企业可以在研发道路上少走许多弯路。
参考文献
[1]McKeown N,Anderson T,Balakrishnan, et al.OpenFlow: enabling innovation in campus networks [J] . ACM SIGCOMM Computer Communicat ion Review,2008, 38 (02): 69-74.
[2]林闯,贾子骁,孟坤.自适应的未来网络体系架构[J].计算机学报,2013.