裸机安全谁负责？

很多人希望硬件商品可以成为软件定义网络的支撑框架，但是裸机交换机中软件的安全该由谁负责呢？这是上周黑帽会议上探讨的安全问题之一。软件供应商需要硬件解决方案，而交换机制造商只提供裸机。

该问题的导火线是开放网络安装环境（ONIE），ONIE是一款运行在裸机交换机中的开源软件，充当网络操作系统的加载程序。问题是，一些网络操作系统存在漏洞，允许低权限网络操作系统用户利用恶意软件代替ONIE，一旦恶意软件入侵，重装操作系统也无法清除该恶意软件了。

去年发现OpenDaylight Netdump漏洞的SDN安全专家Pickett指出， Big Switch Networks、Cumulus和 Mellanox的网络操作系统产品就是ONIE利用的潜在目标。虽然这个漏洞并不容易利用，必须在数据中心中通过物理或账户泄漏的方式才能利用这个漏洞 ，但是这个漏洞影响的持久性太吓人了。

Pickett之前就这个问题提醒过这几家设备商，所以Big Switch Networks和Cumulus在Pickett公开这个问题前就已经给广大用户打了预防针。Big Switch 方面一再强调这并不只是SDN方面的问题，ONIE在服务器方面也造成了同样的问题。

Pickett认为这并不是一个安全问题，而是一个市场问题。没有一个设备商担负起这方面的责任。随着裸机交换机产品的普及，薄弱的安全责任问题更为严重了。