SDN發(fā)展對(duì)網(wǎng)絡(luò)安全的影響及安全防范路徑思考

0 引言

SDN（Software Defined Network）軟件定義網(wǎng)絡(luò)，是一種新型網(wǎng)絡(luò)架構(gòu)，也是實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化的方式，核心技術(shù)是將數(shù)據(jù)面和網(wǎng)絡(luò)設(shè)備控制面分開(kāi)，從而隨意控制網(wǎng)絡(luò)流量，使網(wǎng)絡(luò)變得更加智能。近幾年，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)飛速發(fā)展，新技術(shù)層出不窮，云數(shù)據(jù)、虛擬化等正是網(wǎng)絡(luò)發(fā)展的主要趨勢(shì)，技術(shù)的進(jìn)步給人們的生活帶來(lái)便利的同時(shí)也讓計(jì)算機(jī)技術(shù)的實(shí)現(xiàn)遇到的瓶頸。傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)封閉性強(qiáng)，而設(shè)備硬件又是由制造商控制，網(wǎng)絡(luò)部署只能通過(guò)手動(dòng)方式來(lái)完成，根本無(wú)法滿足技術(shù)發(fā)展的要求，也無(wú)法滿足人們想要靈活部署，快速應(yīng)用的想法。SDN的出現(xiàn)從很大程度上解決了網(wǎng)絡(luò)部署的問(wèn)題，簡(jiǎn)化了網(wǎng)絡(luò)，提高了互聯(lián)網(wǎng)的效率，也推動(dòng)了互聯(lián)網(wǎng)技術(shù)向更高端的技術(shù)的發(fā)展。

1 傳統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)與SDN網(wǎng)絡(luò)結(jié)構(gòu)的對(duì)比

SDN的提出是在2006年，美國(guó)的斯坦福大學(xué)Nick McKeown教授組織學(xué)生運(yùn)用Openf1ow的概念簡(jiǎn)化校園網(wǎng)絡(luò)時(shí)提出的。目前正處于發(fā)展的中初期階段。其作用就是開(kāi)放網(wǎng)絡(luò)資源，通過(guò)調(diào)用軟件來(lái)控制網(wǎng)絡(luò)運(yùn)用。

傳統(tǒng)的網(wǎng)絡(luò)就是各種企業(yè)商家、平臺(tái)等合作協(xié)議的大組合，對(duì)于每一個(gè)最初的部署方案都是為了暫時(shí)的解決目前的問(wèn)題，沒(méi)有靈活性和可變性，前瞻性也讓人堪憂，若要想實(shí)現(xiàn)一個(gè)可編排的網(wǎng)絡(luò)生態(tài)系統(tǒng)是非常困難，且在網(wǎng)絡(luò)系統(tǒng)部署中網(wǎng)絡(luò)鏈路負(fù)載不均衡。

和傳統(tǒng)網(wǎng)絡(luò)相比，SDN網(wǎng)絡(luò)按需分配、自動(dòng)負(fù)載均衡，其中最讓人驚訝的特性就是可以隨著應(yīng)用和數(shù)據(jù)的增加而同步擴(kuò)展網(wǎng)絡(luò)資源，根據(jù)使用者的實(shí)際情況配置網(wǎng)絡(luò)資源。這必然是網(wǎng)絡(luò)發(fā)展的最終趨勢(shì)。

2 SDN對(duì)硬件協(xié)議可編程的實(shí)現(xiàn)

對(duì)于SDN的體系結(jié)構(gòu)很多人歸納出三個(gè)特性，分別是控制與轉(zhuǎn)發(fā)分離、開(kāi)放的編程接口、.集中化的網(wǎng)絡(luò)控制。但從軟件的定義上分析，又有另外三個(gè)特點(diǎn)，分別是網(wǎng)絡(luò)服務(wù)的虛擬化和業(yè)務(wù)的可編程、軟件的開(kāi)放性和硬件的通用性、三是一定規(guī)模下的控制集中化能保證集中管理整個(gè)網(wǎng)絡(luò)資源。

SDN以控制器為中心，分別向南向和北向API實(shí)現(xiàn)對(duì)硬件和協(xié)議的可編程，這種編程方式承載了網(wǎng)絡(luò)編程的思想，也展現(xiàn)出了SDN網(wǎng)絡(luò)架構(gòu)的開(kāi)放性優(yōu)勢(shì)，用戶可以根據(jù)自身需求對(duì)網(wǎng)絡(luò)進(jìn)行定制，可見(jiàn)SDN的靈活程度。

3 SDN虛擬化技術(shù)的強(qiáng)大作用

SDN形象的將網(wǎng)絡(luò)中的所有的網(wǎng)絡(luò)設(shè)備當(dāng)成需要管理的資源，將底層網(wǎng)絡(luò)的細(xì)節(jié)進(jìn)行抽象，并且為上層應(yīng)用提供了統(tǒng)一的編程接口和管理視圖，用戶可以不用在意底層網(wǎng)絡(luò)的物理結(jié)構(gòu)，只管根據(jù)軟件來(lái)定義邏輯上的不同需求即可。

SDN的這種變化和虛擬化技術(shù)有很大程度的相似之處，將計(jì)算機(jī)中的網(wǎng)絡(luò)資源分配給多個(gè)虛擬機(jī)，客戶在使用時(shí)，常常會(huì)以為個(gè)人在使用所有資源，但實(shí)際上是對(duì)整個(gè)網(wǎng)絡(luò)資源的管理和分配。傳統(tǒng)的網(wǎng)絡(luò)對(duì)人們使用網(wǎng)絡(luò)的模式有諸多限制，所以人們不得不尋求新的發(fā)展道路。SDN的出現(xiàn)解決了這個(gè)問(wèn)題，讓虛擬技術(shù)向網(wǎng)絡(luò)虛擬化發(fā)展，其原理就是在交換機(jī)和應(yīng)用之間創(chuàng)建了一個(gè)虛擬網(wǎng)絡(luò)，數(shù)據(jù)包轉(zhuǎn)發(fā)的工作由交換機(jī)來(lái)做，其他的工作都由軟件來(lái)控制虛擬網(wǎng)絡(luò)層實(shí)現(xiàn)。SDN開(kāi)辟了網(wǎng)絡(luò)虛擬化的新空間，通過(guò)虛擬化技術(shù)讓計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)上升到一個(gè)新的臺(tái)階。

4 SDN對(duì)網(wǎng)絡(luò)安全的影響

SDN雖然處于發(fā)展的中初期，但是其決定性的優(yōu)勢(shì)給傳統(tǒng)網(wǎng)絡(luò)帶來(lái)了顛覆性的變革，給網(wǎng)絡(luò)技術(shù)帶來(lái)新靈感的同時(shí)也給網(wǎng)絡(luò)安全帶來(lái)了新的挑戰(zhàn)。SDN技術(shù)的出現(xiàn)，給網(wǎng)絡(luò)安全提出了更高的要求，傳統(tǒng)的網(wǎng)絡(luò)安全策略已經(jīng)不能勝任SDN技術(shù)帶來(lái)的新挑戰(zhàn)，所以網(wǎng)絡(luò)安全必須要從新的思路出發(fā)，尋找新的突破口。但無(wú)論網(wǎng)絡(luò)結(jié)構(gòu)如何變化，網(wǎng)絡(luò)安全都保持一個(gè)最終目的，就是保障存儲(chǔ)信息的保密性、完整性和有用性。

4.1 SDN顛覆傳統(tǒng)安全架構(gòu)，實(shí)現(xiàn)全網(wǎng)一致的安全策略與安全配置

SDN最大的特性就是將傳統(tǒng)的網(wǎng)絡(luò)變成開(kāi)放性的網(wǎng)絡(luò)，能夠根據(jù)不同行業(yè)的不同要求，對(duì)網(wǎng)絡(luò)進(jìn)行定制并快速完成部署。當(dāng)然，SDN也可以將網(wǎng)絡(luò)安全建立在集中的控制器上，方便進(jìn)行統(tǒng)一的管理，使全局安全統(tǒng)一一致。這里提到的安全包括數(shù)據(jù)安全和設(shè)備安全以及應(yīng)用安全，通過(guò)這樣的管理方式，讓廠商、服務(wù)提供商以及用戶能夠形成共同的安全意識(shí)。這種一體化的安全策略，可以讓上下游充分溝通，最終達(dá)成統(tǒng)一的意見(jiàn)，共同維護(hù)整個(gè)體系的安全。所以，SDN的技術(shù)的出現(xiàn)，給網(wǎng)絡(luò)安全提供了更加快捷、方便、豐富的管理手段。

傳統(tǒng)的安全架構(gòu)是垂直體系的煙筒式架構(gòu)方式，資源浪費(fèi)嚴(yán)重。在SDN技術(shù)下，應(yīng)該形成一種大范圍的安全意識(shí)，這種大范圍的安全意識(shí)應(yīng)該由安全廠商、服務(wù)提供商以及用戶根據(jù)自身環(huán)境和需求來(lái)共同構(gòu)建。以前的安全架構(gòu)主要是安全廠商和服務(wù)提供商通過(guò)技術(shù)和設(shè)備來(lái)完成，對(duì)資金和技術(shù)的要求較高，局限性也比較多。最終的網(wǎng)絡(luò)架構(gòu)是用戶在體驗(yàn)，所以對(duì)于網(wǎng)絡(luò)安全問(wèn)題，應(yīng)多從用戶方來(lái)進(jìn)行考慮。

4.2 SDN使防御機(jī)制靈活變更

傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)是圍繞硬件而展開(kāi)的，SDN的出現(xiàn)，讓產(chǎn)品的易擴(kuò)展性、靈活性、安全性以及可管理性都能夠通過(guò)軟件來(lái)控制，從而簡(jiǎn)化了硬件的監(jiān)控和維護(hù)程序。使用方可以根據(jù)威脅的變化，隨時(shí)隨地快捷的調(diào)整防御計(jì)劃和策略，使防御可以再次編程、再次升級(jí)，靈活的把握安全防御機(jī)制，這種方式將為成為安全機(jī)制未來(lái)發(fā)展的方向。當(dāng)然，SDN技術(shù)再?gòu)?qiáng)大，也需要硬件的支撐，只是硬件以后會(huì)趨向于標(biāo)準(zhǔn)化，而解決安全問(wèn)題的責(zé)任會(huì)落到軟件身上。

4.3 正確認(rèn)識(shí)SDN帶來(lái)的不安定因素

SDN的出現(xiàn)雖然實(shí)現(xiàn)了安全網(wǎng)絡(luò)架構(gòu)統(tǒng)一范圍的實(shí)現(xiàn)，形成了邏輯層的中央控制，但是SDN控制器是和大量的網(wǎng)絡(luò)設(shè)備連接在一起的，也就意味著任何控制層的風(fēng)險(xiǎn)都會(huì)給網(wǎng)絡(luò)安全造成威脅。任何一個(gè)網(wǎng)絡(luò)設(shè)備出現(xiàn)問(wèn)題，都也可能造成嚴(yán)重的后果。防御能力的強(qiáng)弱取決于中央控制能力的強(qiáng)弱。若中央控制器上存在弱點(diǎn)且被攻破，那么就意味著網(wǎng)絡(luò)安全的全線失守，這樣造成的損失比起傳統(tǒng)的方案要大得多。況且器件、協(xié)議以及算法的不自主，很可能留有漏洞或者后門，攻擊者通過(guò)這些薄弱點(diǎn)可以直接對(duì)安全策略和設(shè)備進(jìn)行控制。安全裝置一般需要對(duì)設(shè)備進(jìn)行經(jīng)常性的大規(guī)模升級(jí)才能適應(yīng)軟件定義的運(yùn)行環(huán)境要求，設(shè)備的更新?lián)Q代快，很多設(shè)備可能很快就會(huì)失去利用價(jià)值，用戶的設(shè)備投資難以保證。所以SDN技術(shù)在發(fā)展的同時(shí)，人們也要清楚的認(rèn)識(shí)到這些現(xiàn)實(shí)問(wèn)題。

5 解決網(wǎng)絡(luò)安全的創(chuàng)新途徑

網(wǎng)絡(luò)安全一直是人們老生常談的一個(gè)問(wèn)題，云安全聯(lián)盟（CSA）提出了一個(gè)創(chuàng)新的加密安全架構(gòu)，這種安全架構(gòu)提出了易于調(diào)整的方式去調(diào)整邊界，其突出優(yōu)勢(shì)在于能夠?qū)崿F(xiàn)“黑箱”網(wǎng)絡(luò)，所謂“黑箱”就是指在互聯(lián)網(wǎng)上看不到的網(wǎng)絡(luò)，既然是看不到的網(wǎng)絡(luò)，那么要攻擊的話就十分困難了。目前，美國(guó)國(guó)防部就是用的黑箱網(wǎng)絡(luò)。CSA的安全即服務(wù)工作組公布的實(shí)施指導(dǎo)文件對(duì)已數(shù)據(jù)丟失保護(hù)、身份識(shí)別和訪問(wèn)管理、入侵管理、Web安全、業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)以及網(wǎng)絡(luò)安全和安全評(píng)估等服務(wù)進(jìn)行了規(guī)范。要求網(wǎng)絡(luò)安全產(chǎn)品供應(yīng)商必須能夠提供可以運(yùn)行在 SDN網(wǎng)絡(luò)上的安全服務(wù)。技術(shù)在不斷的發(fā)展，網(wǎng)絡(luò)技術(shù)創(chuàng)新發(fā)展的同時(shí)要求網(wǎng)絡(luò)安全也能隨之推出有效的解決途徑，才能在網(wǎng)絡(luò)安全的情況下，健康科學(xué)的發(fā)展網(wǎng)絡(luò)技術(shù)。

6 總結(jié)

綜上所述，SDN技術(shù)給傳統(tǒng)的網(wǎng)絡(luò)技術(shù)帶來(lái)了新的碰撞，也讓網(wǎng)絡(luò)技術(shù)面臨了大規(guī)模的變革。SDN以其獨(dú)特的優(yōu)勢(shì)給人們的生活帶來(lái)了更多的便捷，同時(shí)也引發(fā)了一些新的網(wǎng)絡(luò)安全問(wèn)題，正確認(rèn)識(shí)SDN技術(shù)，增強(qiáng)互聯(lián)網(wǎng)風(fēng)險(xiǎn)意識(shí)，不斷追求創(chuàng)新的解決途徑才能讓網(wǎng)絡(luò)技術(shù)發(fā)展的同時(shí)，網(wǎng)絡(luò)安全也同時(shí)得到更好的提升。