严肃地说,软件定义网络安全问题一直存在。SDN用户应该像其他人一样关注他们的网络漏洞,或许比以往任何时候都要更关注,原因有:(1)他们正在改变他们网络的工作方式,(2)他们正在使用相对较新的技术。例如,在发现安全问题得到修复时,他们都需要马上更新系统和安装补丁。许多网络管理员一直在安装基础架构的安全补丁时行动迟缓;在混合使用如此多新硬件和软件的环境中,这是不应该的。
如果他们在使用经典SDN——网络控制和网络数据包分开处理,那么他们必须同时监控控制器和数据管理设备的更新,并且还要监控他们在控制器之上使用的每一个SDN应用程序。
如果他们在使用基于虚拟化的SDN,那么他们一样需要注意控制器,同时还要注意底层虚拟化平台(例如:VMware NSX)和其中的任何物理设备及其操作系统。
无论是哪一种应用场景,由于它们的网络控制与结构在不断地变化,因此安全团队需要保证他们的监控工具能够看到新设备。例如,如果虚拟堆叠网络创建了新的域,那么安全运营中心也必须能够根据需要去监控和报告这些域中执行的活动。
每个人都必须准备好应对越来越多的基于SDN技术的网络攻击。例如,有几种能耗尽资源的拒绝服务攻击可能会针对于使用SDN控制器的网络。所有人都应该准备好这些新型的防御措施——当然,答案就是软件定义的网络安全。
