SDN下的一些安全误区

起因:软件定义网络(Software Defined-Networking,SDN)通过控制和数据平面的分离,重构了网络工作的机制,提高了网络运维的效率。Garnter认为,SDN整体技术会在5-10年落地,而一度曾是SDN唯一标准的OpenFlow协议将会在2-5年左右落地。近年来,业界大家谈网络就会提到SDN ,不管是褒或是贬,不可否认的结果是SDN技术已经从概念走向一个个实践案例。

当云计算刚开始的时候一样,人们对有很多疑问,如客户对云计算系统的数据隐私顾虑,虚拟化性能的约束,诸如此类。SDN概念被提出后,业界也同样出现了很多讨论,不可避免的出现了一些观点。本文就安全维度做一些解释,希望读者不会走入误区。

误区1: SDN对网络做了一次天翻地覆的革命,我们的传统安全设备和安全解决方案无法部署了。

当客户问售前或销售同事:“我们部署了SDN环境,你们有没有相应的安全防护方案”

同事心想:我对SDN不了解,只知道SDN跟传统组网技术完全不同,所有的路由协议都变了。那我们的安全方案,特别是安全设备的部署和工作模式,是与网络紧密相关的,所以估计就不能正常工作吧。

其实了解SDN的工作原理后,那我们就不会有此疑问了。SDN虽然改变了网络架构,将控制平面上移,接管了以往分布在各处网络设备上的路由协议,取而代之的是集中的拓扑、路由和转发控制,但网络设备的数据包处理对外表现并没有特别的变化。例如原来一个TCP数据包,从交换机某个端口进入,再从另一个端口输出,这个数据包的头部和载荷都没有变化。安全设备作为中间设备(middlebox)或端点设备连接到网络设备,接收和发送的还是一样的TCP数据包,所以内部的处理引擎不必有什么特殊的改动,这跟普通服务器连接到SDN网络中不需要做什么改动一个道理。也就是说,一般情况下,普通安全设备理论上可以直接部署到SDN网络中,与传统网络没有区别。

图1 数据包经过安全设备本身没有发生变化

当然需要看到的是有一些SDN控制器只支持路由,而不支持二层交换,这种模式下对工作在二层的IDS、IPS等设备带来了挑战。不过一种可行的办法是在这些设备前面部署一个支持隧道的交换机(如Openvswitch),通过GRE隧道可以通过IP实现与对端连接,这样SDN控制器可以将数据传输到交换机的隧道端口,交换机将数据包的隧道头解掉后,转发给安全设备,这样就实现了二层设备“支持”隧道的功能。

图2 在只提供路由的SDN控制器下,可加一个带隧道的网络设备做代理

从本质上看,SDN从功能上并没有做出革命性的改变,只是实现了自动化和高效率,理解了这一点,就应明白安全设备部署到SDN网络是完全可信的。

误区2:既然SDN只是针对网络的革命,跟安全没什么太大的关系,安全厂商不需要关心。

我们在解释了误区1时提到,SDN是网络世界的革命,不会对安全设备和安全解决方案的部署造成太大的困扰,那有同学就会下一个结论,就是双方互不相扰,我也不用关心SDN技术的细节。

这个误区有两点需要阐明:

1

SDN本身有安全问题,SDN应用和SDN控制器的可用性、实现方式,南北向协议的安全性等,都可能有安全隐患,所以保护SDN体系各组件就是安全机制所需要考虑的问题。这是一个很大的话题了,后续可以继续展开讲。

2

SDN对网络流量灵活的操作,SDN控制器具有全局网络的视图,这些对安全管理和控制系统,都是非常大的利好。如果能借助SDN对整体网络的实时、全局洞察力和控制力,安全应用就能很灵活的部署和调度安全资源,结合软件定义安全架构,就能建立非常强大的安全运营能力和应急响应机制。

比如在流量可视化方面,可以借助xFlow实现基于流量的异常检测,可适用于DDoS攻击的检测和企业内网APT攻击的发现。 在流量调度方面,可借助快速调整路由和转发规则的能力,实现多个安全设备按需防护的服务链,异常流量的清洗;借助细粒度流控制能力,实现多个安全设备灵活堆叠的负载均衡方案;借助网络设备天然的数据转发平面,实现2-4层的访问控制,诸如此类。

3

SDN本身是一种敏捷的网络运营理念,对目前的安全机制和安全体系都有很好的借鉴意义。软件定义安全的概念在业界也越来越引起重视,当然这又是一个非常大的话题,可参考《2015软件定义安全SDS白皮书》。

可以说,安全是SDN的重要应用,目前可以看到大部分SDN控制器厂商,都乐见与安全厂商的合作,推出可展示利用SDN技术加速安全防护的案例。

误区3:SDN与安全结合,目前还没有什么安全方案的实际案例。

既然我们解释了误区2,误区3应该不是什么大问题。目前大家看到SDN和安全结合的案例少,不是因为两者缺乏化学反应,只是因为SDN技术的发展尚待时日,君不见SDN本身的成功案例还比较少么。不过既然VMWare都宣布,NSX的发展已经超过了当年的Vsphere,Garnter去年预测SDN技术将在5-10年左右落地(OpenFlow将在2-5年落地),我们相信SDN在安全领域的应用会更早。 一个例子是SDN在抗拒绝服务的应用,因为流量型拒绝服务在流量特征上有明显的模式,并且可以通过流量牵引的方式进行清洗,所以SDN技术有了用武之地。业界有不少友商正在做这方面的尝试。

Radware在开源的SDN控制器平台Opendaylight(ODL)上集成了一套抗DDoS的模块和应用,称为Defense4ALL。其架构如图所示,主要有两部分:控制器中的安全扩展,包括如接收到流信息后的统计服务,做清洗的流量重定向服务;独立的北向安全应用,包括如异常检测引擎和流量清洗的管理器。

图3 Defense4ALL 架构

Brocade公司提出的实时DDoS缓解的SDN分析方案(Real-Time SDN Analytics for DDoS Mitigation)获得了ONS(Open Networking Summits)2014 IDOL,这是一个了不起的奖项。因为ONS是业界在SDN和NFV领域最有影响力的会议,而ONS IDOL奖最体现能推动该行业发展的方向。

云计算系统通过虚拟化技术,可以在相当短的时间内准备好计算、存储和网络资源,而SDN技术可以灵活地将流量调整,一起实现业务的上线。所以SDN在云计算和虚拟化场景中,有天然的优势,所以如Openstack+Opendaylight,以及VMWare Vsphere+NSX,都是上述场景的应用。但如果只看到这些,就得出SDN只适用于云计算场景,那就有所偏颇了。 先不说误解3中的抗D需求绝大多数都是在传统环境物理网络中,就说我们做的软件定义的BYOD安全防护体系就是一个很好的例子。通过硬件和软件SDN交换机结合,可以在传统IT环境中,灵活部署无线接入,实现统一身份认证和基于身份的访问控制,比传统的NAC方式更加灵活。在ShadowIT和混合IT环境的企业有非常好的管理效果。

图4 BYOD环境下的访问控制,中间SDN交换机为硬件设备,而右侧OVS bridge则为软件设备

结论

总而言之,目前SDN的发展速度很快,一方面,当前安全机制可在SDN环境中正常部署;另一方面,SDN技术也给安全防护机制带来了很大的想象空间。希望本文能给大家带来帮助,在新型网络环境中讨论安全方案的时候,不会心存顾虑,大胆尝试。

本文分享自微信公众号 - SDNLAB(SDNLAB)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2016-05-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Data Analysis & Viz

我的简书一月记:数据可视化

截止前天,来简书正好一个月。20170730 注册了账号,当晚发布处女作《爬取张佳玮138w+知乎关注者:数据可视化》,从而开启了《python爬虫和数据可视化...

10720
来自专栏腾讯移动品质中心TMQ的专栏

悄悄问女儿,圣僧美不美——记鹅厂测试人的一天

久别重逢非昨日,万语千言不多谈。趁着年味还未散去,今天小编向您推送生活小文——记鹅厂测试人的一天,敬请欣赏 ^_^

625100
来自专栏SDNLAB

SDN/NFV与LSO的博弈 谁取代谁?

从SDN诞生伊始围绕它的各种撕B就从来没有停止过,从最初的定义之争到标准之争(南向、北向、东西向)到与NFV争论再到应用场景之争(从接入网、传输网、城域网、核心...

35290
来自专栏VRPinea

HTC推出全新SteamVR Home环境Driftwood,看看朕为你打下的那片海滩

29080
来自专栏ThoughtWorks

基于GitHub的敏捷学习方法之道与术|洞见

持续行动,持续反思,持续进步。—— via. 敏捷学习宣言 前言 对时间的敬畏 需要好多年才能懂得,最好不是去震惊世界,而是要像易卜生所说的,生活在世界上...

38830
来自专栏SDNLAB

ONF发布Atrium推动SDN落地

日前ONF为了加快SDN落地速度推出了分布式开源软件Atrium。ONF标榜Atrium为首个纯开源SDN产品,并且保证用户利用开源软件就能够运行一个真实的网络...

383100
来自专栏知晓程序

微信小程序新版二维码出炉!居然一眼就记住了

仍是熟悉的夜间模式,仍是熟悉的出人意料。但这次发布的,并不是熟悉的新能力,而是把大家再熟悉不过的二维码换了个并不熟悉的新造型。

18910
来自专栏ionic3+

Hybird伤身情歌

为一个新产品做技术选型,从性能考量上当然是上原生比较好,但是在经历过维护多套代码随着业务的复杂度和版本迭代而带来的痛苦后,本人是不太乐意上的,加之考虑到公司可抽...

11830
来自专栏FreeBuf

极客DIY:如何利用树莓派提高睡眠质量?

众所周知睡眠是人类生活不可或缺的一部分,如果睡眠不足会引发很多问题(身体、情绪等),那么怎么和树莓派有关系呢?请看看下面文章相信对你会很有帮助。 写在前面 过去...

31650
来自专栏腾讯音视频实验室

腾讯云H5语音通信QoE优化|云+沙龙

35820

扫码关注云+社区

领取腾讯云代金券