软件定义网络(SDN)是极少数由安全引领的技术,但这个事实并没有得到应得的关注。 就在911事件不久后,Martin Casado脑海里产生了促使SDN的原始想法,他当时在情报机构处理具有高度安全设置的系统。现在Casado是VMware公司网络和安全首席技术官。 Casado意识到他们完全可以编程一台计算机来处理计算机层面的安全问题,但对于网络安全问题,却无法采用相同的方式。
他们受限于网络供应商销售的产品,并且,他们没办法改变这种局面。从可操作化安全网络来看,这是最薄弱的环节。 Casado把他的提高企业网络安全的想法带到了斯坦福大学,在那里他获得了他的博士学位,并为现在我们所谓的SDN奠定……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
软件定义网络(SDN)是极少数由安全引领的技术,但这个事实并没有得到应得的关注。
就在911事件不久后,Martin Casado脑海里产生了促使SDN的原始想法,他当时在情报机构处理具有高度安全设置的系统。现在Casado是VMware公司网络和安全首席技术官。
Casado意识到他们完全可以编程一台计算机来处理计算机层面的安全问题,但对于网络安全问题,却无法采用相同的方式。他们受限于网络供应商销售的产品,并且,他们没办法改变这种局面。从可操作化安全网络来看,这是最薄弱的环节。
Casado把他的提高企业网络安全的想法带到了斯坦福大学,在那里他获得了他的博士学位,并为现在我们所谓的SDN奠定了基础。
为了将虚拟化的灵活性和安全属性引入到网络中,Casado及其在斯坦福大学的博士学位导师Nick McKeown,以及加州大学伯克利分校的Scott Shenker在2007年共同创立了Nicira。该公司的初始资金来自情报机构,而在2012年,VMware收购了Nicira。
“不仅SDN本身在设计时将安全作为其基础,而且SDN旨在创造更安全的网络设计,”Casado表示,“SDN将能够解决传统网络面对的日益严重的安全问题。”
什么是SDN?
SDN是一个“堆栈”架构,它将网络控制平面从转发平面分离出来,并将其集中在控制器中,控制器通过高水平的政策定义转发行为。北向应用编程接口(API)位于该控制器的顶部,并提供到应用和管理的网络抽象接口。南向API(例如OpenFlow)允许控制器在SDN堆栈的底部定义交换机的行为。
SDN到底是什么,这里存在有很多混淆。IDC公司数据中心网络研究主管Brad Casemore表示:“记住,有些编程网络的方式并不涉及SDN,如果它不涉及分离数据平面和控制平面,它就不是SDN。”SDN并不是构建到网络的基础设施上的修复解决方案。
SDN在安全方面需要知道的最重要的事情之一就是,它涉及根本性转移到零信任模式。在这种模式中,你需要假设你的访客是不受信任的,限制代码基础,只允许最低访问权限来完成工作,在SDN出现之前,这是非常困难的工作。
Casado指出:“安全领域的人都知道,信息收集往往容易受到攻击。因此,我们要确保两个原则:最少的信息和最低的特权。”
SDN实现信任整合
SDN的另一个关键特性是信任整合。在物理世界中,如果你将所有可信任的东西放在保管库中,并锁上它,你的安全问题就缩小为保管库的解锁问题。
传统网络没有可以整合信任的中央机构或者信托机构,因此,整个网络散布着潜在的不安全因素。
传统网络中的信任泛滥的原因之一是互联网技术被设计为有机地增长,而没有任何中央授权。
Casado表示,现在这种隐形信任的问题是,攻击者经常可以利用它。而SDN可以保证这种信任整合,确认几个可信实体,并认为其他一切都是不可信的。
SDN提供对架构的更多控制,以及控制平面的分布模型,这使其可以将信任整合到较少的元素。
肯塔基大学的首席网络工程师Brent Salisbury指出,现在你不需要担心数千个元素,你只需要担心几十个元素。
“SDN缩小了你的攻击向量,”Salisbury表示,“当然,那些几十个设备就变得更加重要,你可以围绕它们构建安全基础设施,而不是围绕所有的设备来构建安全基础设施。传统网络的问题在于,你需要到处部署安全基础设施,这需要非常高的成本。通过SDN,我们不仅可以节省成本,还可以提高安全性。”
请继续阅读解读SDN:安全引领的技术(二)。
翻译
相关推荐
-
思科通过收购Duo来增强云安全性
思科宣布以23.5亿美元收购Duo Security公司,此次收购将为该网络公司的云安全产品组合增添了两步身份 […]
-
Accenture公司的Tammy Moskites探讨CISO职位变化
首席信息安全官(CISO)职位仍在不断发展和成熟,对于这些变化,或许没有人比Tammy Moskites更有话 […]
-
企业没有从过往网络安全事件中吸取教训
根据Pluralsight作家同时也是安全专家Troy Hunt表示,反复发生的网络安全事件表明企业仍然在基础 […]
-
微软公司提供IE浏览器零日“双杀”漏洞补丁
微软公司2018年五月份的周二补丁日提供了IE浏览器零日漏洞补丁修复,该漏洞上个月已经被外部攻击者利用。(译注 […]