SDN快速发展 网络虚拟化准备就绪

SDN在创立之初就受到了全球瞩目并发展迅速,SDN的发展壮大带来网络产业格局重大调整的同时,也势必会波及到网络安全设备行业。网络侧安全产品在本质上是一种特殊用途的网络设备,SDN技术将对跨L2-L7的整个协议栈产生影响,因此在网络基础架构发生变化时,甚至是发生变化之前,网络安全设备的工作机制和解决方案也会发生相应的变化。

回到虚拟化,它给数据中心和企业网络带来了新的问题和挑战。一方面,传统的安全产品和安全解决方案无法解决在虚拟化后出现新的网络安全问题;另一方面,网络虚拟化自身也面临一些安全问题。网络在虚拟化后主要面临的问题有:

·物理安全设备存在观测死角

虚拟机与外界存在数据交换,在虚拟化环境中的数据流有两类,即跨物理主机的VM 数据流和同一物理主机内部的VM 数据流。前者一般通过隧道或VLAN 等模式进行传输,现有的IDS/IPS 等安全设备需要在所有的传输路径上进行监控,后者只经过物理主机中的虚拟交换机,无法被实体的安全设备监控到,成为整个安全系统的死角。攻击者可以在内部虚拟网络中发动任何攻击,而不会被安全设备所察觉。

·虚拟网络的数据流难以理解

虽然安全设备无法获得物理主机内部的VM 间的数据包,但可以获取跨物理主机间VM 的数据流。尽管如此,传统的安全设备还是不能理解这些数据流,也就无法应用正确的安全策略。例如,两个租户分别在两台物理主机上租用了一台虚拟机,当租户A从VM1向VM3发数据包时,防火墙能接收到物理主机1到物理主机2的数据包,但不知道到底是租户A还是租户B的程序在发送数据包,也不知道是哪两台VM在通信。此外,很多虚拟机之间的数据包是经过GRE隧道传输的,所以传统的网络安全设施可能不能解析这些封装后的数据流。

·安全策略难以迁移

虚拟化解决方案的重要优点是弹性和快速,例如当VM从一台物理主机无缝快速地迁移到另一台物理主机时,或当增加或删除VM时,网络虚拟化管理工具可快速调整网络拓扑,在旧物理网络中删除VM 的网络资源(地址、路由策略等),并在新的物理网络中分配VM的网络资源。相应地,安全解决方案也应将原网络设备和安全设备的安全控制(ACL和QoS)跟随迁移,然而现有安全产品缺乏对安全策略迁移的支持,导致安全边界不能适应虚拟网络的变化。

·网络流量不可见

在传统网络中,所有数据包经由交换或路由设备,这些设备可以感知并学习当前环境的数据流量,可以针对目前的网络状况动态调整路由策略。但基于OpenFlow的SDN架构中的网络控制器只

会收到底层设备发来的部分数据包,并不了解控制域中大部分直接被转发的数据流具体内容。

·控制器的单点失效

除了传统网络升级到SDN后网络层的新问题外,SDN本身也会存在漏洞,特别是复杂的SDN的控制器。数据平面和控制平面的分离主要是由控制器实现的,所以控制器就成为网络虚拟化的最重要的设施。

然而控制器需要应对各种动态的网络拓扑,解析各种类型的数据包,接收上层应用的信息,并控制底层网络设备的行为,所以功能实现将会非常复杂,也就可能存在不少漏洞。当攻击者攻破控制器,就可以向所有的网络设施发送指令,很容易瘫痪整个网络;或将某些数据流重定向到恶意VM,造成敏感信息的泄露。

所以,针对传统安全产品对内部网络不可见的缺点,安全厂商需推出支持虚拟化的安全产品,这些安全产品以软件的形式存在,并兼容主流的虚拟化解决方案,可监控内部虚拟网络中的数据流。要想达到真正的软件定义安全,就需要在保护现有和新增设备以及内部虚拟网络的基础上,深刻理解SDN的工作模式,提出松耦合但与之匹配的安全架构,设计网络控制器和安全控制器联动的安全机制,建立基于环境的数据传输决策模型。

原文发布于微信公众号 - 云计算D1net(D1Net02)

原文发表时间:2014-01-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

一个人的「安全部」

*本文原创作者:LionZ,本文属FreeBuf原创奖励计划,未经许可禁止转载 前言 我在某教育公司负责公司整体安全,保护6000多万“熊孩子”的安全。一年半...

34290
来自专栏腾讯大讲堂的专栏

英雄联盟自动化扩缩容利器

2013年是英雄联盟在线爆发式的增长的一年,年初的运营数据已经让全体英雄联盟运营团队感受到了巨大的压力。去年,扩容相关工作占到占据了英雄联盟运维较多的工作时长,...

277100
来自专栏微信音视频小程序

打通小程序音视频和webRTC

2017年腾讯视频云团队跟微信团队联合,将视频云 SDK 跟微信小程序整合在一起,并开放内部功能。

12.8K240
来自专栏听雨堂

微信小程序开发及相关设置小结

今年过年,主要看了《奇葩说》和《电锯惊魂》,很不错,好东西的确需要留出足够的时间来看,匆匆忙忙走马观花是对作者的不尊重。除此之外,就是研究了一下微信小程序开发,...

29090
来自专栏IT大咖说

WebRTC会成主流吗?众包CDN时代到了!

摘要 WebRTC把实时流媒体和P2P等能力带入了Web前端,开发者只需编写简单的JavaScript程序即可开发出丰富的实时多媒体应用。本次大会想跟大家分享我...

79390
来自专栏java一日一条

对码农而言什么样的代码才能叫做好代码?

好的代码,就像是好的笑话——无需解释就能让别人明白。如果你的代码能够做到不解自明,在大多数时候,你根本无需为其配备说明文档。

5210
来自专栏云服务器

哪种云服务器适合小型企业使用?

云服务器的操作简单、低成本的特点成为了小型企业选择服务器的首选。它支持随时随地过任何移动设备获得访问权限。云计算为小型企业提供了以前不敢相信的技术,并让他们可以...

44760
来自专栏喔家ArchiSelf

面向IoT的协议选择思考

对于使用传感器和保持连接性的IoT系统而言,如何使用这些元素和多种互联网技术相结合呢?

49960
来自专栏Java后端技术

分布式架构之美~

​  我们都知道,当今无论在BAT这样的大公司,还是各种各样的小公司,甚至是传统行业刚转互联网的企业都开始使用分布式架构,那么什么叫分布式架构呢?分布式架构有什...

29510
来自专栏SDNLAB

德国电信的5G网络架构采用第三方VNF

德国电信(DT)与Hewlett Packard Enterprise(HPE)合作展示专为5G网络架构设计的网络数据层概念验证(POC)。 POC使用HPE的...

10410

扫码关注云+社区

领取腾讯云代金券