SDN在創(chuàng)立之初就受到了全球矚目并發(fā)展迅速����,SDN的發(fā)展壯大帶來網(wǎng)絡產(chǎn)業(yè)格局重大調整的同時,也勢必會波及到網(wǎng)絡安全設備行業(yè)����。網(wǎng)絡側安全產(chǎn)品在本質上是一種特殊用途的網(wǎng)絡設備,SDN技術將對跨L2-L7的整個協(xié)議棧產(chǎn)生影響����,因此在網(wǎng)絡基礎架構發(fā)生變化時,甚至是發(fā)生變化之前�����,網(wǎng)絡安全設備的工作機制和解決方案也會發(fā)生相應的變化��。
回到虛擬化����,它給數(shù)據(jù)中心和企業(yè)網(wǎng)絡帶來了新的問題和挑戰(zhàn)。一方面�,傳統(tǒng)的安全產(chǎn)品和安全解決方案無法解決在虛擬化后出現(xiàn)新的網(wǎng)絡安全問題;另一方面,網(wǎng)絡虛擬化自身也面臨一些安全問題��。網(wǎng)絡在虛擬化后主要面臨的問題有:
·物理安全設備存在觀測死角
虛擬機與外界存在數(shù)據(jù)交換���,在虛擬化環(huán)境中的數(shù)據(jù)流有兩類�,即跨物理主機的VM 數(shù)據(jù)流和同一物理主機內部的VM 數(shù)據(jù)流���。前者一般通過隧道或VLAN 等模式進行傳輸�����,現(xiàn)有的IDS/IPS 等安全設備需要在所有的傳輸路徑上進行監(jiān)控�����,后者只經(jīng)過物理主機中的虛擬交換機����,無法被實體的安全設備監(jiān)控到�,成為整個安全系統(tǒng)的死角�����。攻擊者可以在內部虛擬網(wǎng)絡中發(fā)動任何攻擊�,而不會被安全設備所察覺����。
·虛擬網(wǎng)絡的數(shù)據(jù)流難以理解
雖然安全設備無法獲得物理主機內部的VM 間的數(shù)據(jù)包,但可以獲取跨物理主機間VM 的數(shù)據(jù)流��。盡管如此�,傳統(tǒng)的安全設備還是不能理解這些數(shù)據(jù)流,也就無法應用正確的安全策略���。例如��,兩個租戶分別在兩臺物理主機上租用了一臺虛擬機�����,當租戶A從VM1向VM3發(fā)數(shù)據(jù)包時�,防火墻能接收到物理主機1到物理主機2的數(shù)據(jù)包��,但不知道到底是租戶A還是租戶B的程序在發(fā)送數(shù)據(jù)包����,也不知道是哪兩臺VM在通信。此外���,很多虛擬機之間的數(shù)據(jù)包是經(jīng)過GRE隧道傳輸?shù)���,所以傳統(tǒng)的網(wǎng)絡安全設施可能不能解析這些封裝后的數(shù)據(jù)流。
·安全策略難以遷移
虛擬化解決方案的重要優(yōu)點是彈性和快速���,例如當VM從一臺物理主機無縫快速地遷移到另一臺物理主機時��,或當增加或刪除VM時�����,網(wǎng)絡虛擬化管理工具可快速調整網(wǎng)絡拓撲���,在舊物理網(wǎng)絡中刪除VM 的網(wǎng)絡資源(地址、路由策略等)����,并在新的物理網(wǎng)絡中分配VM的網(wǎng)絡資源。相應地,安全解決方案也應將原網(wǎng)絡設備和安全設備的安全控制(ACL和QoS)跟隨遷移���,然而現(xiàn)有安全產(chǎn)品缺乏對安全策略遷移的支持��,導致安全邊界不能適應虛擬網(wǎng)絡的變化�����。
·網(wǎng)絡流量不可見
在傳統(tǒng)網(wǎng)絡中����,所有數(shù)據(jù)包經(jīng)由交換或路由設備�����,這些設備可以感知并學習當前環(huán)境的數(shù)據(jù)流量���,可以針對目前的網(wǎng)絡狀況動態(tài)調整路由策略���。但基于OpenFlow的SDN架構中的網(wǎng)絡控制器只
會收到底層設備發(fā)來的部分數(shù)據(jù)包,并不了解控制域中大部分直接被轉發(fā)的數(shù)據(jù)流具體內容���。
·控制器的單點失效
除了傳統(tǒng)網(wǎng)絡升級到SDN后網(wǎng)絡層的新問題外��,SDN本身也會存在漏洞��,特別是復雜的SDN的控制器���。數(shù)據(jù)平面和控制平面的分離主要是由控制器實現(xiàn)的,所以控制器就成為網(wǎng)絡虛擬化的最重要的設施�。
然而控制器需要應對各種動態(tài)的網(wǎng)絡拓撲,解析各種類型的數(shù)據(jù)包����,接收上層應用的信息,并控制底層網(wǎng)絡設備的行為�,所以功能實現(xiàn)將會非常復雜,也就可能存在不少漏洞����。當攻擊者攻破控制器,就可以向所有的網(wǎng)絡設施發(fā)送指令���,很容易癱瘓整個網(wǎng)絡;或將某些數(shù)據(jù)流重定向到惡意VM�,造成敏感信息的泄露����。
所以,針對傳統(tǒng)安全產(chǎn)品對內部網(wǎng)絡不可見的缺點,安全廠商需推出支持虛擬化的安全產(chǎn)品���,這些安全產(chǎn)品以軟件的形式存在�����,并兼容主流的虛擬化解決方案�����,可監(jiān)控內部虛擬網(wǎng)絡中的數(shù)據(jù)流���。要想達到真正的軟件定義安全,就需要在保護現(xiàn)有和新增設備以及內部虛擬網(wǎng)絡的基礎上����,深刻理解SDN的工作模式,提出松耦合但與之匹配的安全架構�����,設計網(wǎng)絡控制器和安全控制器聯(lián)動的安全機制�,建立基于環(huán)境的數(shù)據(jù)傳輸決策模型。
