2014 Gartner安全和风险管理峰会:新兴SDN安全控制带来很大风险

日期: 2014-07-14 作者:Eric B. Parizo翻译:邹铮 来源:TechTarget中国 英文

根据Gartner分析师表示,软件定义网络是一场变革,也是不可避免的趋势,但SDN缺乏安全控制,并且现在糟糕的管理功能让SDN给企业网络安全带来相当大的风险。 在最近举行的2014年Gartner公司安全和风险管理峰会上,该公司研究副总裁兼首席网络安全分析师Greg Young详细谈论了软件定义网络(SDN)的安全隐患。 Young 将SDN描述为从转发层分离网络控制层的软件技术,它通过将路由决策集中在SDN控制服务器中来虚拟化网络。 Young表示,就安全性来讲,SDN存在尚未解决的安全问题,这些问题包括各种产品中不成熟的安全功能以及SDN控制器单点故障带来的风险。

并且还有一个问题,在一些S……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

根据Gartner分析师表示,软件定义网络是一场变革,也是不可避免的趋势,但SDN缺乏安全控制,并且现在糟糕的管理功能让SDN给企业网络安全带来相当大的风险。

在最近举行的2014年Gartner公司安全和风险管理峰会上,该公司研究副总裁兼首席网络安全分析师Greg Young详细谈论了软件定义网络(SDN)的安全隐患。

Young 将SDN描述为从转发层分离网络控制层的软件技术,它通过将路由决策集中在SDN控制服务器中来虚拟化网络。

Young表示,就安全性来讲,SDN存在尚未解决的安全问题,这些问题包括各种产品中不成熟的安全功能以及SDN控制器单点故障带来的风险。并且还有一个问题,在一些SDN协议中,安全只是可选项。

“从功能的角度来看,SDN很有用,”Young谈到SDN时称,“但它让安全工作人员感到很恐慌。”

SDN安全缺陷

Young表示,很少有SDN供应商会投入大量精力在安全中,更糟糕的是,他们正试图将该功能控制在其产品中,这让他们没有动力与第三方安全供应商协作来推出互操作性SDN安全产品。

Young补充说,如果没有安全供应商的参与,我们不太可能会很快看到SDN的安全标准。

Young表示:“我们现在正处于SDN安全合作与协作的低谷期。”

Young还解释了现在的SDN产品让攻击者的梦想成真。在SDN产品中,所有路由决策都在控制器中进行,因此,如果攻击者可以攻击控制器,就可以控制整个网络。

根据Texas A&M大学最近进行的SDN攻击研究表明,SDN技术不仅容易被攻击者检测,而且很容易受到资源密集型攻击,例如拒绝服务攻击。

“在高可用的网络环境中,这些是最难抵御的攻击,”Young表示,“企业将需要监控这种类型的攻击,无论是有意还是无意的,因为这是还没有被经常谈论的事物。”

此外,Young详细介绍了SDN配置和变更控制中与安全相关的问题。他表示,SDN产品具有自己的管理控制台,通常无法与其他网络和安全管理控制台进行互操作,这给网络安全管理流程增加了另一层复杂性。

同样地,他补充说,我们可能很难管理和审计网络配置变更,因为大量的用户可能需要SDN配置的访问权限。

“想想看有多少人可以访问SDN配置,以及谁可以对网络作出更改,”Young表示,“这会是一个更广泛的社区,更多人需要使用控制台,这也给攻击和控制扩大了范围。”

SDN安全:没那么糟糕

Young承认说,SDN的某些方面还是有利于安全性,特别是其简化的代码库。他表示,虽然大多数传统网络交换机具有多达3500万行代码,但他看过的SDN产品大多数都是基于Linux的简装版本,并且只有100-200万,减少了攻击者发现漏洞的机会。

SDN也可能是网络安全政策管理的福音。因为SDN控制器可以作为部署政策的中央点,而不是像大多数网络产品那样,要求逐个设备的政策管理。

幸运的是,部署SDN并不意味着企业必须放弃其所有当前的网络安全技术。Young表示,企业可以使用传统防火墙来分隔SDN网络,因为物理分隔降低了安全风险,并可能有助于加速SDN部署。

Young推荐了一些其他SDN安全最佳做法。首先是保护SDN控制器。现在企业面临着巨大的挑战,因为目前并没有用于这一目的的可行的产品,他表示,安全团队应该考虑加密控制器和网络交换机之间的通信。

这种做法仍然会让SDN控制器容易受到拒绝服务和其他资源消耗型攻击,因此,Young建议使用冗余网络路径强化控制器以帮助确保服务质量,同时,使用入侵防御系统、交换机之间的身份验证,以及构建到控制器中基于主机的控制。

他还建议重新考虑网络安全配置管理策略,因为SDN这样的技术往往会强调现有的工作流程。

“你不能使用老派的工作流程和新派的架构,”Young表示,“你需要更改流程或者改变实施变更的方式。如果这违反了审计的政策,则必须进行修改。”

最后,尽管SDN给企业带来了网络安全挑战,Young建议安全专家拥抱这项技术,因为SDN能够让他们有机会从一开始就将安全作为优先事项,同时也能够在设计和部署阶段考虑安全因素。

“你可以成为数据中心团队和网络运营团队之间技术通信的桥梁,”Young表示,“这是很好的事情。”

翻译

邹铮
邹铮

相关推荐