利用SDN應對網絡安全威脅
來源:網界網
摘要: 目前,各行各業(yè)的企業(yè)正在積極修復Heartbleed漏洞,而管理員正在尋找新的方法來防范威脅。針對網絡安全問題,軟件定義網絡(SDN)或許能夠提供解決方案,不過SDN雖然有很多優(yōu)勢,但它并不是萬能的。
Abstract:
Key words :
Heartbleed是最近占據各大媒體新聞的最新安全漏洞。軟件定義網絡[注](SDN[注])能否為未來網絡接種?
目前,各行各業(yè)的企業(yè)正在積極修復Heartbleed漏洞,而管理員正在尋找新的方法來防范威脅。針對網絡安全問題,軟件定義網絡(SDN)或許能夠提供解決方案,不過SDN雖然有很多優(yōu)勢,但它并不是萬能的。企業(yè)首先應該了解SDN的優(yōu)勢,再決定它是否能夠幫助你保護網絡安全。
SDN安全優(yōu)勢
縱觀網絡安全威脅領域,某些網絡安全威脅確實可以利用SDN來解決。開放網絡基金會(ONF)執(zhí)行主管Dan Pitt表示,SDN能夠很好地發(fā)現網絡的異常行為,如“流量模式中的異常活動”。當發(fā)現這些可疑活動時,管理員通過SDN可以迅速作出反應,比如立即修改網絡流量的處理方式。管理員可以改變流量的方向,將它隔離,或者迫使它通過分析程序。
另一個關鍵優(yōu)勢是其軟件定義環(huán)境的本質。“如果出現一些新的威脅,有人可以編寫軟件來弄清楚如何處理這種威脅,并迅速部署。”Pitt表示,“你不需要花時間等待供應商更新其專有操作系統和軟件。”因此,SDN能夠幫助企業(yè)解決Heartbleed這樣的安全漏洞問題,無論是服務器,還是防火墻等組件都可能會隱藏這個漏洞,而過去管理員可能會依賴于多個供應商來提供修復程序。
符合SDN模式的具體例子是分布式拒絕服務[注](DDoS[注])攻擊。ONF的轉發(fā)抽象[注]工作組(Forward Abstraction Working Group ,FAWG)聯合主席兼Brocade公司的首席架構師Curt Beckmann表示:“DDoS攻擊其實很容易在網絡中檢測到,而SDN則是很有效的工具。”當可疑行為(例如DDoS攻擊)被發(fā)現時,管理員可以更改網絡中的行為來應對你遇到的攻擊,而不會妨礙網絡上的其他活動。
SDN無法解決的威脅
當然,有些安全威脅并不能通過SDN來發(fā)現并解決。數據滲出就是一個例子。Pitt表示:“當有東西真正進入到計算環(huán)境,并開始從內部獲取數據,這就超出了SDN的能力范圍。”
ADARA Networks公司首席執(zhí)行官Eric Johnson表示,當攻擊者瞄準完全自足的系統(例如桌面),SDN并不能發(fā)揮什么作用。它可能會提供一些有限的功能來限制該漏洞到特定系統,但SDN對此并沒有什么太大的幫助。當流量在網絡中移動時,SDN可能會有所察覺。但當這種活動在單個系統或組件內進行時,SDN并不能監(jiān)控和管理發(fā)生的事情。
最大化地將SDN[注]用于安全
企業(yè)可以采取一些措施來最大限度地利用SDN來解決一些安全問題。ADARA Networks公司首席架構師Karthikeyan Subramaniam表示,管理員應該學會利用SDN來迅速將服務從一個組件轉移到另一個上。硬件、操作系統、虛擬機、應用程序服務器、數據庫等,它們都在基礎設施內各盡其責。“從管理員的角度來說,管理員們必須了解其組件,”Subramaniam解釋說,“他們需要列出替代選項,因為任何這些組件都很可能易收到攻擊。”
事實上,網絡中有些地方很可能會同時收到攻擊,這就需要快速反應能力了。Subramaniam表示:“如果存在零日漏洞,使用SDN可以將服務從受攻擊組件轉移到另一個組件中。”這種快速的行動能夠讓企業(yè)繼續(xù)提供服務,而受到攻擊的組件可以同時進行修復。
SDN還有其他應用,即使是在更加基于硬件的基礎設施中(其中具有很多層),例如可用產品的數據庫和客戶用來選擇產品的web界面之間的連接點。Beckmann解釋說:“我們有很多層服務器功能或工作負載,它們通過路由器被隔離。”從歷史上來看,物理的基于硬件的路由器是鏈接這些層的首選方法,但現在,軟件路由器正在越來越受歡迎。他表示:“軟件路由器基本上是這樣,你可以插入你的保護,或者添加檢測功能到其中。”
對于不同層(網絡、業(yè)務邏輯和數據庫等)由不同團隊開發(fā)的企業(yè)中,這種方法特別有用。Beckmann表示:“無論惡意與否,在某個代碼版本中很容易發(fā)現漏洞,而你不會希望網絡層的人去破壞你的數據庫。”通過這些虛擬路由器隔離這些層,企業(yè)可以生活照一個動態(tài)的DevOps世界,他們可以不斷地添加新功能,并擴展事物到新的領域,同時提供可接受水平的保護。
為了實現協作和連接以確保業(yè)務活動的更好執(zhí)行,現在的網絡環(huán)境非常的開放。而SDN能夠給管理員提供正確的工具來維持安全性,即使在互聯網絡中。Johnson表示:“他們需要思考的是安裝一些東西來提供一個覆蓋來分布式環(huán)境。”
網絡的很多部分都是在孤島中開發(fā),這制造了問題。Johnson表示,這往往會造成安全方面的問題,因為當數據包交給系統的另一部分時,開發(fā)人員并不總是會考慮發(fā)生了什么。“如果他們利用SDN,他們可以解決很多系統中存在的漏洞問題。”
隨著企業(yè)不斷加強其網絡內虛擬化程度,Pitt表示,保持良好安全狀態(tài)的關鍵是避免復雜的基礎設施。“我希望他們盡可能地簡化基礎設施,然后將控制變得更加獨立,更容易執(zhí)行動態(tài)修改。”這讓管理員可以迅速改變網絡的行為,從而讓企業(yè)更好地防范和應對威脅。
此內容為AET網站原創(chuàng),未經授權禁止轉載。