目前,，各行各業(yè)的企業(yè)正在積極修復(fù)Heartbleed漏洞,，而管理員正在尋找新的方法來防范威脅。針對網(wǎng)絡(luò)安全問題,，軟件定義網(wǎng)絡(luò)(SDN)或許能夠提供解決方案,，不過SDN雖然有很多優(yōu)勢，但它并不是萬能的,。企業(yè)首先應(yīng)該了解SDN的優(yōu)勢,，再決定它是否能夠幫助你保護網(wǎng)絡(luò)安全。

 

SDN安全優(yōu)勢

 

縱觀網(wǎng)絡(luò)安全威脅領(lǐng)域,，某些網(wǎng)絡(luò)安全威脅確實可以利用SDN來解決,。開放網(wǎng)絡(luò)基金會(ONF)執(zhí)行主管Dan Pitt表示，SDN能夠很好地發(fā)現(xiàn)網(wǎng)絡(luò)的異常行為,，如“流量模式中的異?；顒?rdquo;。當(dāng)發(fā)現(xiàn)這些可疑活動時，管理員通過SDN可以迅速作出反應(yīng),，比如立即修改網(wǎng)絡(luò)流量的處理方式,。管理員可以改變流量的方向，將它隔離,，或者迫使它通過分析程序,。

 

另一個關(guān)鍵優(yōu)勢是其軟件定義環(huán)境的本質(zhì)。“如果出現(xiàn)一些新的威脅,，有人可以編寫軟件來弄清楚如何處理這種威脅,，并迅速部署。”Pitt表示,，“你不需要花時間等待供應(yīng)商更新其專有操作系統(tǒng)和軟件,。”因此，SDN能夠幫助企業(yè)解決Heartbleed這樣的安全漏洞問題,，無論是服務(wù)器,，還是防火墻等組件都可能會隱藏這個漏洞，而過去管理員可能會依賴于多個供應(yīng)商來提供修復(fù)程序,。

 

符合SDN模式的具體例子是分布式拒絕服務(wù)[注](DDoS[注])攻擊,。ONF的轉(zhuǎn)發(fā)抽象[注]工作組(Forward Abstraction Working Group ，F(xiàn)AWG)聯(lián)合主席兼Brocade公司的首席架構(gòu)師Curt Beckmann表示：“DDoS攻擊其實很容易在網(wǎng)絡(luò)中檢測到,，而SDN則是很有效的工具,。”當(dāng)可疑行為(例如DDoS攻擊)被發(fā)現(xiàn)時，管理員可以更改網(wǎng)絡(luò)中的行為來應(yīng)對你遇到的攻擊,，而不會妨礙網(wǎng)絡(luò)上的其他活動,。

 

SDN無法解決的威脅

 

當(dāng)然，有些安全威脅并不能通過SDN來發(fā)現(xiàn)并解決,。數(shù)據(jù)滲出就是一個例子,。Pitt表示：“當(dāng)有東西真正進入到計算環(huán)境，并開始從內(nèi)部獲取數(shù)據(jù),，這就超出了SDN的能力范圍,。”

 

ADARA Networks公司首席執(zhí)行官Eric Johnson表示，當(dāng)攻擊者瞄準(zhǔn)完全自足的系統(tǒng)(例如桌面),，SDN并不能發(fā)揮什么作用,。它可能會提供一些有限的功能來限制該漏洞到特定系統(tǒng)，但SDN對此并沒有什么太大的幫助,。當(dāng)流量在網(wǎng)絡(luò)中移動時,，SDN可能會有所察覺。但當(dāng)這種活動在單個系統(tǒng)或組件內(nèi)進行時,，SDN并不能監(jiān)控和管理發(fā)生的事情,。

 

最大化地將SDN[注]用于安全

 

企業(yè)可以采取一些措施來最大限度地利用SDN來解決一些安全問題,。ADARA Networks公司首席架構(gòu)師Karthikeyan Subramaniam表示，管理員應(yīng)該學(xué)會利用SDN來迅速將服務(wù)從一個組件轉(zhuǎn)移到另一個上,。硬件,、操作系統(tǒng)、虛擬機,、應(yīng)用程序服務(wù)器,、數(shù)據(jù)庫等，它們都在基礎(chǔ)設(shè)施內(nèi)各盡其責(zé),。“從管理員的角度來說，管理員們必須了解其組件,，”Subramaniam解釋說,，“他們需要列出替代選項，因為任何這些組件都很可能易收到攻擊,。”

 

事實上,，網(wǎng)絡(luò)中有些地方很可能會同時收到攻擊，這就需要快速反應(yīng)能力了,。Subramaniam表示：“如果存在零日漏洞,，使用SDN可以將服務(wù)從受攻擊組件轉(zhuǎn)移到另一個組件中。”這種快速的行動能夠讓企業(yè)繼續(xù)提供服務(wù),，而受到攻擊的組件可以同時進行修復(fù),。

 

SDN還有其他應(yīng)用，即使是在更加基于硬件的基礎(chǔ)設(shè)施中(其中具有很多層),，例如可用產(chǎn)品的數(shù)據(jù)庫和客戶用來選擇產(chǎn)品的web界面之間的連接點,。Beckmann解釋說：“我們有很多層服務(wù)器功能或工作負載，它們通過路由器被隔離,。”從歷史上來看,，物理的基于硬件的路由器是鏈接這些層的首選方法，但現(xiàn)在,，軟件路由器正在越來越受歡迎,。他表示：“軟件路由器基本上是這樣，你可以插入你的保護,，或者添加檢測功能到其中,。”

 

對于不同層(網(wǎng)絡(luò)、業(yè)務(wù)邏輯和數(shù)據(jù)庫等)由不同團隊開發(fā)的企業(yè)中,，這種方法特別有用,。Beckmann表示：“無論惡意與否，在某個代碼版本中很容易發(fā)現(xiàn)漏洞,，而你不會希望網(wǎng)絡(luò)層的人去破壞你的數(shù)據(jù)庫,。”通過這些虛擬路由器隔離這些層,，企業(yè)可以生活照一個動態(tài)的DevOps世界，他們可以不斷地添加新功能,，并擴展事物到新的領(lǐng)域,，同時提供可接受水平的保護。

 

為了實現(xiàn)協(xié)作和連接以確保業(yè)務(wù)活動的更好執(zhí)行,，現(xiàn)在的網(wǎng)絡(luò)環(huán)境非常的開放,。而SDN能夠給管理員提供正確的工具來維持安全性，即使在互聯(lián)網(wǎng)絡(luò)中,。Johnson表示：“他們需要思考的是安裝一些東西來提供一個覆蓋來分布式環(huán)境,。”

 

網(wǎng)絡(luò)的很多部分都是在孤島中開發(fā)，這制造了問題,。Johnson表示,，這往往會造成安全方面的問題，因為當(dāng)數(shù)據(jù)包交給系統(tǒng)的另一部分時,，開發(fā)人員并不總是會考慮發(fā)生了什么,。“如果他們利用SDN，他們可以解決很多系統(tǒng)中存在的漏洞問題,。”

 

隨著企業(yè)不斷加強其網(wǎng)絡(luò)內(nèi)虛擬化程度,，Pitt表示，保持良好安全狀態(tài)的關(guān)鍵是避免復(fù)雜的基礎(chǔ)設(shè)施,。“我希望他們盡可能地簡化基礎(chǔ)設(shè)施,，然后將控制變得更加獨立，更容易執(zhí)行動態(tài)修改,。”這讓管理員可以迅速改變網(wǎng)絡(luò)的行為,，從而讓企業(yè)更好地防范和應(yīng)對威脅。