软件定义网络安全优势和相关问题

2020-02-05张倩

电子技术与软件工程 2020年7期

张倩

（云南电网有限责任公司昆明供电局云南省昆明市 650011）

软件定义网络的应用不仅突出了网络的动态性特点，还提升了网络的安全性。开发人员在最初设计软件定义网络和网络功能虚拟化两种架构的时候，就已经对安全问题进行了充分的考虑所以软件定义网络和网络功能虚拟化具备全新的安全功能，即便是遭受到网络攻击，也可以毫无压力的提升响应速度，为用户提供的服务也不会被迫中断。其中，软件定义网络还可以有效拓展网络，从而遭受网络攻击的同时，可以对额外流量进行妥善的处理。这种网络可以通过虚拟化按需防御来达到保护目的，而防御则可以进行安全软件及其相关服务的提供，直接构建于分布式云环境，集成于云供应流程。

1 边界网络模型

软件定义网络和网络功能虚拟化技术的应用意味着传统的安全架构有了阶段性的发展与进步。传统的安全方法的应用以防火墙为基础，主要是对企业内部的可信实体进行保护，避免外部实体通过公共互联网对其进行随意访问。而边界视图的应用目的是为了对处于防火墙内部的企业资料进行绝对的保护，避免其遭受外部实体的不可信访问。所以，在过去的30年中，安全架构师进行保护设计的时候，一直将边界网络模型视为支柱级别的存在。但是连接决策以及演进威胁的存在，直接降低了企业对边界网络模型的信任感与认可度。再加上部分企业也开始对互联网中的各种新奇资源进行访问，电子邮件也在时代发展过程中成为商业通信的首选。企业要想融入整个互联网环境中，就只能允许可信边界环境的连接方式。但是，这些都是以防火墙规则的创建为基础的，而规则为了向所需服务提供支持，就必须要允许双向连接。而这很有可能造成外来网站和电子邮件发件人直接获得企业内部网络的访问权限。近几年来，互联网中出现了很多新兴的外部链接，边界架构的应用在安全方面已经暴露出了很多弊端，单纯依靠边界架构，企业内部关键基础设施服务受到网络攻击的可能性越来越大。

2 软件定义网络的安全优势

针对应用了软件定义网络和网络功能虚拟化技术的生态系统行业，只有实现转型，才能够将更多的安全优势提供给相应的服务和云提供商。而在可拓展运营商及进行方案安全优势得以实现的同时，行业和标准化组织、安全供应商的发展也发挥着十分积极的促进作用。目前，软件定义网络和网络功能虚拟化部署产生的安全优势主要体现在以下三方面。

2.1 设计增强

图1：深度防御架构

软件定义网络和网络功能虚拟化具备灵活性和安全功能，甚至可以直接将安全功能与相关解决方案融合在一起，而不是将安全功能变成网络或者其他基础设施构建、定义之后的附加组件。而要想将安全功能融入到实际的设计过程中，必须要对安全解决方案优化予以充分的考虑，从而在成本得到控制的同时，将安全功能涉及到具体的某一个位置，使用某一种方式提供最佳的安全覆盖范围。其中网络功能虚拟化技术可以将安全组件涉及到最合适的位置，而软件定义网络技术则使得安全组件的功能更加灵活。软件定义网络与网络功能虚拟化技术的结合，是以特定流量来进行安全控制的设计的，所以可以根据需要解决的实际安全风险，为特定流量流经的单台安全设备或者多台安全设备提供支持。而这，又被人们称为“深度防御架构”，如图1 所示。其中，供应商1 安全工具可以设置成防火墙，供应商2 安全工具可以设置成入侵检测系统，供应商3 安全工具则可以设置成数据泄露保护。如果在实际情况中，不会出现数据泄露的风险，那么就可以引导流量只经过防火墙和入侵检测系统。操作这样的服务链能力，既可以对基础设施中所需数据泄露保护控制数量进行优化，保证运行效率，又可以让非敏感信息迅速而安全的通过网络[1]。

另外，软件定义网络和网络功能虚拟化技术所具备的灵活性还可以对所用工具进行合理的优化。因为与传统的实现方案做对比，软件定义网络还可以对所用工具进行混合或者匹配。在传统的环境中，很多安全功能都集中在边界位置。边界控制点可以为少数大型安全设备提供支持和鼓励。这些设备又通常具备防火墙、入侵检测等多种功能。虽然这些工具可以将其自身的作用发挥出来，但是与所有类型流量的契合度则得不到保证，也不一定是所有领域的最佳工具。而服务链的应用，就可以按照实际需求将最佳安全功能提供给每一种流量。在这一过程中，既可能使用单个供应商的多个工具，也可能使用多个供应商的工具。或者，也可以直接根据需求，及时作出决定，并进行流量的构建。另外，每一种安全工具的大小取决于本地需求，其相应的服务有一组边界安全控制。也就是说，这是一种本地化的方案，可以对安全要求和需要进行最大限度的满足。由此而制作出来的解决方案质量也就比以边界为基础的解决方案更好。而且，这些安全优势，还适用于启动和环境生命期间内。使得安全工具的部署以及混合供应商之间的发展更加轻松、便捷、高效。另外，软件定义网络和网络功能虚拟化技术还可以使多个供应商的特定类型工具的部署能力得到明显的强化，让特定流量指向同类别的安全工具中最佳的一个。而这些功能的完成都依靠于软件定义网络技术及其相关集中控制器，集中化还可以为安全功能的跨基础设施分布提供保证，按照保证工作方式的协调一致性。只有这样，才能够保证安全性的适当性与需要[2]。

2.2 性能改善

软件定义网络和网络功能虚拟化技术的应用还可以对环境的安全性进行增强，对虚拟机进行更加轻松、快捷的修复。一般情况下，软件定义网络和网络功能虚拟化技术可以直接利用软件的修正版来进行新功能实例进行简单的创建，之后再将流量重定向到新实例中，以此来达到启用修补系统的目的。所以，软件定义网络和网络功能虚拟化技术的应用既对新实例的部署进行了简化，又实现了新实例的过渡。而且，整个修复过程自动化水平非常高，且不会对相关应用的操作和运行性能产生任何影响，清单也会自动更新。另外，事件响应过程的改善方式也比较多。如果虚拟功能的其中一部分实例参与事件，那么直接关闭就可以，不会出现整个功能脱机的问题。而且，无论受到影响的是虚拟化网络功能的一个实例，还是多个实例，都可以通过软件定义网络对虚拟化网络功能的实例进行简化，同时向新实例过渡。而虚拟化网络功能新实例的实例化，还需要对受影响的虚拟化网络功能快照的冻结与获取进行充分的考虑，从而确保取证操作得到有力的信息支持服务[3]。

2.3 实时功能

软件定义网络可以快速响应安全事件。而在安全领域中，主要包含以下两方面：第一可能添加的额外容量实例，第二通过其他不同安全控制来路由流量。而软件定义网络的实时功能主要体现在于分布式拒绝服务的对抗方面。目前，软件定义网络具备对抗分布式拒绝服务的功能和服务。但是，同时也受到存在与丢弃有效或者预期流量的一系列风险，所以激活控制时延的问题时有发生。另外，软件定义网络和网络功能虚拟化技术的应用，还可以对受影响的约束资源进行有效的拓展，从而对自己能够提供的性能进行优化，确保其可以有效的评估流量及其他控制的影响。例如，如果僵尸网络产生攻击应用的行为，应用实例就会承受不住压力。但是，一旦出现过载情况，编排器就可以对虚拟化网络功能的其他实例进行虚拟化，增强覆盖流量。与此同时，分析并启动其他空间的命令被执行，在需求减少的时候就会对虚拟化网络功能的其他实例进行自动删除[4]。

3 现阶段软件定义网络面临的问题

在互联网时代下，我们发现软件定义网络具备明确的安全优势的同时，还有很多问题没有得到解决。最主要的问题主要体现在以下三方面。

3.1 应用平台

目前，应用平台中还没有形成系统的安全保护机制。在这种情况下，数据平台中的网络设备要想对数据包进行转发、接收等处理操作，就必须要依赖于控制平台的运行。但是实际情况却是，如果应用程序在运行过程中遭到破坏，那么将会出现一些潜在风险，甚至对数据的接收与转发产生影响。而面临的潜在风险主要包含以下几种：第一假冒身份、第二篡改程序、第三程序自身配置的缺陷、第四授权获取失败[5]。

3.2 控制平台

目前，控制平台是种过渡装置，它在软件定义系统中的作用主要是将数据平台与应用平台连接起来。但是，控制平面又是软件定义网络安全链条中相对薄弱的环节，经常面临单点失效的问题。究其原因，主要与自身不同的管理模式存在着不同潜在挑战有关。首先，控制器硬件受到破坏，网络请求就会被拒绝。其次，如果攻击者发起了大量的非法访问，超出了系统自身的承载能力，就会导致用户的正常访问需求得不到满足。另外，控制平台经常面临的安全问题还有以下几种：第一假冒身份、第二非法进入访问、第三配置自身存在较大的缺陷、第四篡改流量规则[6]。

3.3 数据平台

一般情况下，数据平台主要有以下几部分硬件构成：第一路由器、第二交换器。这些硬件的主要作用就是转发数据信息、采集数据信息以及转换处理数据信息。通过分析流程，我们可以明确数据平台中存在着一个非常明显的安全隐患。即这些硬件设备接收数据，主要限定于控制平台设定的规则。也就是说，只要在控制平台规则内的数据信息，硬件设备都会毫无保留的接收。在这种情况下，如果攻击者全力冲击OpenFlow 协议，然后篡改策略信息或者伪造控制流，那么就会向交换器发送虚假命令。这样一来，就会出现难以发现的安全风险，例如假冒流注入、数据泄露、非法访问等。