SDN是把双刃剑吗?

网络当中接入的设备和云计算的兴起,对传统网络的性能提出了更高的要求,这也是为什么在经过深思熟虑之后,传统网络正在积极向虚拟化网络功能和控制器过渡,电信公司正在部署SDN和NFV技术,以实现更快的速度和网络弹性提高网络性能。事实上,SDN有可能通过提供灵活性来适应当今应用程序和工作负载的动态性来彻底改变数据中心。

然而,在涉及到SDN的安全性方面,虽然服务和策略是分布式的,但仍然通过集中的SDN控制器从单点进行管理。诚然这能够给SDN提高效率,但如果SDN控制器受到攻击,攻击者可以快速影响整个网络后果不堪设想。在SDN环境中DDoS攻击成为影响SDN控制器有效性的重要方面。本文将探讨DDoS攻击在SDN环境中的安全隐患,并希望为SDN的用户提供建议。

什么是虚拟网络?组织为什么需要虚拟网络?

SDN是一种全新的技术,它使得网络管理员通过开放接口和较低级功能的抽象来创建动态网络。SDN从实际移动数据(转发平面)的硬件分离决定发送信息的智能化,即所谓的控制平面与转发平面的分离。这两个平面的分离使得决策过程在集中的、基于软件的控制器中执行,而不是让网络中的每个节点做出自己的决策。所有应用程序通过控制器进行配置请求,该控制器具有对整个网络的可见性,并为每个节点做出转发决策。但是,这也意味着IT安全团队需要考虑如何保护控制平面,因为这将成为唯一的故障节点,稍有漏洞就可能导致整个网络瘫痪。

尽管SDN带来了很多好处,如改进网络接入控制的细粒度安全策略等,与传统的网络架构相比,它也引入了传统网络配置过程中不曾有过的挑战。

SDN的安全问题

在安全性方面,SDN终于实现了为每个虚拟化工作负载提供最大限度的保护所需的细粒度策略,并且这些策略在虚拟化基础设施周围迁移时自动遵循这些工作负载。

所面临的挑战在于,这可能导致SDN控制器成为整个网络的单一妥协点,一旦被DDoS攻击很容易被窃取数据导致网络重大中断。

将SDN与管道系统进行比较,这相当于一次泄露,降低系统压力并影响整个网络。事实上,与SDN部署相关的spine带宽显著增加了攻击面,即使是相对较小的多千兆DDoS攻击也可能使整个数据中心宕机。最终即时是一个单一的,低容量的DDoS攻击也可能导致严重的损害,甚至给组织造成长期的损失。

最佳的安全方式

当使用SDN和NFV创建弹性和安全的环境时,必须在数据中心边缘部署始终运行的自动DDoS检测和缓解工具,这是获得实时响应事件所需的可见性的唯一方式。通过在SDN控制器和DDoS防御之间联合API,可以控制对SDN控制器造成的破坏,并可以缓解DDoS攻击。在发生超饱和事件时,DDoS防御可以迅速向上游发送信息,以报告此类攻击事件。

结论

总体而言,SDN和NFV为组织需要的关键网络功能带来巨大的优势,消除了对专有物理设备的需求,这使得组织能够降低成本和复杂性,并同时享受改进的可扩展性、弹性和更便捷的部署。但是,尽管具备了这样的优势,也使得网络更容易受到攻击。希望从SDN或NFV获益的组织必须确保他们能够全面了解其虚拟化环境以减轻这些风险。通过在系统之间联合API来集成DDoS保护来展开网络防御,只有密切关注虚拟化环境的管道,才能保持其操作和数据的安全性。

原文发布于微信公众号 - SDNLAB(SDNLAB)

原文发表时间:2017-08-10

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏SDNLAB

SDNLAB技术分享(十二):ONOS:面向运营商网络的SDN操作系统

大家好,ONOS从14年12月份开源以来,取得了很多成绩,但是在国内,了解ONOS的人并不多,因为工作关系这两年我一直在从事开源ONOS的工作,今天我们一起从不...

4696
来自专栏腾讯玄武实验室的专栏

架构设计与安全:代码未写,漏洞已出。

来自 MIG 玄武实验室总监、专家工程师于旸,就基架构和设计的安全,给大家进行了关于安全问题的成因分享。

4401
来自专栏SDNLAB

深入浅出数据中心网络的SDN技术

编者按:SDN的大名如雷冠耳,是当前网络领域的热点,被业界普遍认为是未来网络发展的方向,孕育着巨大的市场机会。SDN之所以能迅速崛起,主要的驱动力来自于数据中心...

3017
来自专栏SDNLAB

浅谈移动边缘计算

前言 在正式开始介绍移动边缘计算(Mobile Edge Computing,MEC)之前,先从我作为一个初学者的角度来谈谈MEC出现的必要性,便于读者理解。这...

6278
来自专栏云计算D1net

安全专家谈SDN能否带来更好的IT安全性

软件定义网络(SDN)即将成为现实,而且SDN在IT安全领域也同样获得了牵引力。有些供应商认为它将会在安全领域带来一定程度的互操作性,而这正是目前安全领域所欠缺...

3586
来自专栏SDNLAB

码农学ODL之SDN入门篇

本文作为码农学ODL系列的SDN基础入门篇,分为两部分。第一部分,主要讲述SDN是什么,改变了什么,架构是什么样的,第二部分,简要介绍如何去学习SDN。 1....

45212
来自专栏工科狗和生物喵

【计算机本科补全计划】NFV/SDN初识(为了避免保研复试被电话面试)

正文之前 所有的通信应用无非就是两部分组成:计算和网络。 这两者关系密不可分,但两者关系严重缺乏对称性,网络一直拖累着计算。就好像是发快递,你打个包(计算)只需...

3696
来自专栏大宽宽的碎碎念

如何避免问渣问题?

45920
来自专栏SDNLAB

MEC – 我们越来越近了吗?!

多接入边缘计算(MEC)或之前的移动边缘计算在过去几年中一直是很流行的术语,尤其是去年5G技术进入了商业阶段。MEC通常用于描述将服务推向网络边缘的概念,与雾计...

2642
来自专栏SDNLAB

难离难舍的internet2与SDN

Internet2已经将其产品网络中的OpenFlow相关的部分移除,让用户回到MPLS,此举看上去违背了业界发展大潮,但这只是暂时的现象。 换句话说,In...

2665

扫码关注云+社区

领取腾讯云代金券