SDN是一个机制，不是一个部署

尽管供应商使用各种术语，但我们需要意识到，SDN是一种机制，并不是关于如何部署架构的代名词。大型公司和初创公司（包括VMware、思科、瞻博网络、Big Switch以及Plexxi）都在采用不同的部署方法。

Casado在Nicira（现在属于VMware公司）打造了第一批SDN部署之一，这个网络虚拟化平台NSX在8月下旬的2013年 VMworld大会上首次亮相。它能够在虚拟主机和现有的物理网络之间创建一个智能抽象层。

网络虚拟化与服务器虚拟化类似，因为它是一个平台，一组可以由软件控制的原生功能，独立于物理设备。它使用虚拟机提供的相同属性：隔离和有限的可信计算基础。

“作为SDN的证明点或者SDN之上构建的应用，网络虚拟化具有可靠的安全属性，”Casado说道，“这是我在情报机构工作时使用的用例：你如何构建计算隔离组？它们都有自己的安全政策，无论虚拟机去哪里，这些政策都将保持不变。对于我来说，这是关键所在，这也是为什么我认为网络虚拟化将是未来所有安全部署的根本所在。”

SDN控制器是攻击目标吗？

对于SDN，人们最大的担忧就是，SDN控制器现在将成为攻击者的巨大目标。但事实上，这个控制器根本没有那么简单可以攻破。

在计算机虚拟化中，信任整合是在管理程序中进行，因此，安全问题被缩小到保护管理程序。网络虚拟化依赖于与计算虚拟化相同的信任假设；它也在管理程序中使用信任整合。

面对质疑管理程序上信任整合的安全性的人，Casado提到了亚马逊的弹性计算云。该管理程序因其隔离性质以及运行数以百万计的工作负载而备受信赖。

“如果你可以信任现在的管理程序，那么你应该同样地信任网络虚拟化。控制器本身是不能被租户直接访问的；它们不是控制空间的一部分。攻击者没有办法攻击它们，”Casado解释说，“你需要攻击管理程序，这是你现在必须做的，并且，我们正在使用租户之间的隔离。”

底线是，现在在物理网络中，与控制器相对应的是物理网络设备以及可以攻击它们的任何终端主机。Casado表示：“在网络虚拟化中，控制器完全是隐藏的，它们甚至不在访客的地址空间，因此，它们不可能受到攻击。”

安全公司的新机会

SDN涉及更改网络架构，这个过程存在安全隐患。它允许你以不同的方式建立系统，这改变了很多安全假设。这给安全行业带来了巨大的机会，让他们可以利用这个新架构的优势，同时，还能帮助定义核心规则集以及新模式来重新思考安全。

VMware已经开发了一个生态系统来联合安全行业的大型供应商，包括所有的传统安全设备和终端主机防病毒公司。作为该生态系统的一部分，客户可以决定他们想要的安全服务，想要的供应商，来建立自己的虚拟世界。

作为SDN的首批用例之一，网络虚拟化从根本上改变了我们对安全的认识，Casado说道：“这为我们提供了一个机会来重新定义安全，它为我们提供了全球性覆盖，让我们可以动态地对事物做出反应。现在我们正在进入全新的安全世界。”

请阅读解读SDN：安全引领的技术（一）。