Gartner:新兴SDN安全控制带来很大风险

安全
根据Gartner分析师表示,软件定义网络是一场变革,也是不可避免的趋势,但SDN缺乏安全控制,并且现在糟糕的管理功能让SDN给企业网络安全带来相当大的风险。

根据Gartner分析师表示,软件定义网络是一场变革,也是不可避免的趋势,但SDN缺乏安全控制,并且现在糟糕的管理功能让SDN给企业网络安全带来相当大的风险。

[[116256]]

在最近举行的2014年Gartner公司安全和风险管理峰会上,该公司研究副总裁兼首席网络安全分析师Greg Young详细谈论了软件定义网络(SDN)的安全隐患。

Young 将SDN描述为从转发层分离网络控制层的软件技术,它通过将路由决策集中在SDN控制服务器中来虚拟化网络。

Young表示,就安全性来讲,SDN存在尚未解决的安全问题,这些问题包括各种产品中不成熟的安全功能以及SDN控制器单点故障带来的风险。并且还有一个问题,在一些SDN协议中,安全只是可选项。

“从功能的角度来看,SDN很有用,”Young谈到SDN时称,“但它让安全工作人员感到很恐慌。”

SDN安全缺陷

Young表示,很少有SDN供应商会投入大量精力在安全中,更糟糕的是,他们正试图将该功能控制在其产品中,这让他们没有动力与第三方安全供应商协作来推出互操作性SDN安全产品。

Young补充说,如果没有安全供应商的参与,我们不太可能会很快看到SDN的安全标准。

Young表示:“我们现在正处于SDN安全合作与协作的低谷期。”

Young还解释了现在的SDN产品让攻击者的梦想成真。在SDN产品中,所有路由决策都在控制器中进行,因此,如果攻击者可以攻击控制器,就可以控制整个网络。

根据Texas A&M大学最近进行的SDN攻击研究表明,SDN技术不仅容易被攻击者检测,而且很容易受到资源密集型攻击,例如拒绝服务攻击。

“在高可用的网络环境中,这些是最难抵御的攻击,”Young表示,“企业将需要监控这种类型的攻击,无论是有意还是无意的,因为这是还没有被经常谈论的事物。”

此外,Young详细介绍了SDN配置和变更控制中与安全相关的问题。他表示,SDN产品具有自己的管理控制台,通常无法与其他网络和安全管理控制台进行互操作,这给网络安全管理流程增加了另一层复杂性。

同样地,他补充说,我们可能很难管理和审计网络配置变更,因为大量的用户可能需要SDN配置的访问权限。

“想想看有多少人可以访问SDN配置,以及谁可以对网络作出更改,”Young表示,“这会是一个更广泛的社区,更多人需要使用控制台,这也给攻击和控制扩大了范围。”

SDN安全:没那么糟糕

Young承认说,SDN的某些方面还是有利于安全性,特别是其简化的代码库。他表示,虽然大多数传统网络交换机具有多达3500万行代码,但他看过的SDN产品大多数都是基于Linux的简装版本,并且只有100-200万,减少了攻击者发现漏洞的机会。

SDN也可能是网络安全政策管理的福音。因为SDN控制器可以作为部署政策的中央点,而不是像大多数网络产品那样,要求逐个设备的政策管理。

幸运的是,部署SDN并不意味着企业必须放弃其所有当前的网络安全技术。Young表示,企业可以使用传统防火墙来分隔SDN网络,因为物理分隔降低了安全风险,并可能有助于加速SDN部署。

Young推荐了一些其他SDN安全最佳做法。首先是保护SDN控制器。现在企业面临着巨大的挑战,因为目前并没有用于这一目的的可行的产品,他表示,安全团队应该考虑加密控制器和网络交换机之间的通信。

这种做法仍然会让SDN控制器容易受到拒绝服务和其他资源消耗型攻击,因此,Young建议使用冗余网络路径强化控制器以帮助确保服务质量,同时,使用入侵防御系统、交换机之间的身份验证,以及构建到控制器中基于主机的控制。

他还建议重新考虑网络安全配置管理策略,因为SDN这样的技术往往会强调现有的工作流程。

“你不能使用老派的工作流程和新派的架构,”Young表示,“你需要更改流程或者改变实施变更的方式。如果这违反了审计的政策,则必须进行修改。”

最后,尽管SDN给企业带来了网络安全挑战,Young建议安全专家拥抱这项技术,因为SDN能够让他们有机会从一开始就将安全作为优先事项,同时也能够在设计和部署阶段考虑安全因素。

“你可以成为数据中心团队和网络运营团队之间技术通信的桥梁,”Young表示,“这是很好的事情。”

责任编辑:蓝雨泪 来源: TechTarget中国
相关推荐

2018-08-20 20:08:09

2019-10-31 15:08:15

数据安全工具

2018-08-27 15:10:34

云计算云服务安全威胁

2023-07-25 10:07:01

2009-05-11 19:17:40

2023-11-13 10:47:05

2022-04-26 10:01:44

网络安全勒索软件网络攻击

2011-03-10 15:17:59

2014-02-09 14:14:17

SDN网络产业网络厂商

2010-09-02 09:30:12

2014-06-12 17:15:29

2012-11-22 13:42:19

2014-08-20 10:07:02

2015-04-14 11:36:14

2014-09-02 13:08:16

安全SDN

2023-08-11 17:02:57

2022-05-16 09:18:47

物联网物联网安全

2015-01-09 09:35:11

2009-06-13 18:25:40

2022-08-01 16:43:07

机器身份网络安全自动化
点赞
收藏

51CTO技术栈公众号