日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
如何確保SDN基礎(chǔ)設(shè)施的安全?

現(xiàn)如今的企業(yè)可能正在掀起一股部署實施軟件定義網(wǎng)絡(luò)(SDN)的趨勢,但是,企業(yè)必須確保其從一開始就是安全的。

創(chuàng)新互聯(lián)專注于朗縣企業(yè)網(wǎng)站建設(shè),響應(yīng)式網(wǎng)站設(shè)計,商城網(wǎng)站定制開發(fā)。朗縣網(wǎng)站建設(shè)公司,為朗縣等地區(qū)提供建站服務(wù)。全流程定制網(wǎng)站建設(shè),專業(yè)設(shè)計,全程項目跟蹤,創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務(wù)

SDN仍處于其早期采用階段,當(dāng)然其發(fā)展成長的勢頭不可阻擋。根據(jù)Gartner公司在2014年六月發(fā)布的SDN調(diào)研報告顯示,只有4%的企業(yè)機構(gòu)正處在部署該技術(shù)的過程中,但也有其他的研究表明,許多企業(yè)均熱衷于采用該技術(shù)。

而根據(jù)Infonetics Research發(fā)表的《關(guān)于2014年SDN策略:北美企業(yè)調(diào)查報告》發(fā)現(xiàn),45%的企業(yè)將會在2015年在其數(shù)據(jù)中心生產(chǎn)環(huán)境實現(xiàn)SDN的部署,這一數(shù)據(jù)到2016年還將上升到87%。

盡管其新生的狀態(tài),但SDN正在迅速地受到越來越多企業(yè)的青睞。鑒于這一趨勢的迅猛發(fā)展,在本文中,我們將為廣大讀者介紹企業(yè)如何以最為安全的方式部署SDN?

選擇最佳的技能組合

Riverbed科技公司高級產(chǎn)品營銷經(jīng)理Brent Lees表示說,部署實施SDN技術(shù)尚在起步階段,因而存在相當(dāng)?shù)募夹g(shù)安全風(fēng)險。企業(yè)所面臨的最大挑戰(zhàn)之一如何確保安裝必要的技術(shù),使得漏洞不會被惡意攻擊利用。

“學(xué)習(xí)一種完全不同的安全架構(gòu)本身就是一項十分艱巨的挑戰(zhàn)。”他說。“此外,相同的開放接口和已知的SDN協(xié)議,簡化了網(wǎng)絡(luò)編程,也為攻擊者提供了機會。”

向量攻擊

其是控制面板從轉(zhuǎn)發(fā)面板的分離,可以證明企業(yè)使用SDN架構(gòu)的安全問題。架構(gòu)分為三個層次:應(yīng)用層,控制層和基礎(chǔ)設(shè)施層,后者包括應(yīng)用程序和服務(wù)配置、以及SDN基礎(chǔ)設(shè)施請求SDN。所有這三層均可以被向量攻擊(attackvector),而該問題通過技術(shù)所帶來的額外的復(fù)雜性程度的增加而進一步加劇。

“SDN完全徹底的改變了安全模式,” Exponential-e公司的技術(shù)專家史蒂芬·哈里森表示說。 “更糟的是,由于許多SDN技術(shù)依賴于新的覆蓋和封裝技術(shù),使得我們現(xiàn)有的許多安全工具不能真正檢查和了解SDN流量。

“就像虛擬化使得服務(wù)器的安全性變得既更為安全也更為不安全一樣:更安全是因為抽象層,更不安全是因為您不再需要物理訪問,我們現(xiàn)在已然看到這種模式在SDN上重演了?!?/p>

如果SDN基礎(chǔ)設(shè)施的部署無視安全,企業(yè)就難免會受到攻擊。讓我們來看看每一層如何會被攻擊以及如何最好地采取保護措施把。

數(shù)據(jù)層(南向)

一些南向API和協(xié)議被控制器用來網(wǎng)絡(luò)上溝通,如OpenFlow(OF),OpenvSwitch數(shù)據(jù)庫管理協(xié)議(OVSDB),思科onePK,應(yīng)用中心基礎(chǔ)設(shè)施(ACI),等等。

上述每種協(xié)議都有自己的方式確保通信,但這些都是新的,可能沒有充分考慮過安全性。

使用API來創(chuàng)建更加用戶友好的管理界面的能力,增加了網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊面,因為安全不再局限于網(wǎng)絡(luò)設(shè)備供應(yīng)商,MWR InfoSecurity的高級安全研究員和顧問David Chismon說。

“你的網(wǎng)絡(luò)的安全性可能會由于不安全的執(zhí)行管理應(yīng)用程序而受挫?!彼f。

這可以讓攻擊者很容易地添加自己的流到flow table,并欺騙原本在網(wǎng)絡(luò)上不允許的流量。#p#

保護數(shù)據(jù)層

SDN系統(tǒng)通常使用通用的基于x86的系統(tǒng)和TLS以加強控制面板的安全,但長期而言,會使數(shù)據(jù)面板易于受到攻擊。

“控制協(xié)議流量應(yīng)從主要數(shù)據(jù)流分離,或者通過網(wǎng)絡(luò)安全措施或一個帶外網(wǎng)絡(luò)。” Chismon說?!捌髽I(yè)選擇控制器的時候應(yīng)注重安全選項的可用性因素(如SSL)?!?/p>

使用TLS(需要SSL)來驗證控制器和終端將有助于防止竊聽、偽造南向連接通信。

控制層

SDN控制器也是黑客們感興趣的攻擊目標(biāo)?!皬姶蟮闹醒爰惺降腟DN模型,即SDN控制器,也代表一個單點故障和高價值的攻擊目標(biāo)?!盬edge Networks(穩(wěn)捷網(wǎng)絡(luò))首席執(zhí)行官兼云以太網(wǎng)論壇安全倡議聯(lián)合主席張鴻文表示說。

“如果他們可以妥協(xié)的話,他們就可以開始直接影響到網(wǎng)絡(luò)上的流量?!?/p>

Juniper網(wǎng)絡(luò)營銷服務(wù)提供商的負責(zé)人David Noguer Bau表示說,網(wǎng)絡(luò)組件現(xiàn)已從控制器向命令開放,這可能是應(yīng)對網(wǎng)絡(luò)罪犯的方式。

“潛在的攻擊者可以嘗試控制網(wǎng)絡(luò),假裝是一個SDN控制器或剛剛突破到控制器本身?!彼f?!斑€有一些新類型的DDoS攻擊,試圖通過找到自動化的進程占用大量的CPU周期,利用SDN基礎(chǔ)設(shè)施潛在的縮放限制。”

保護控制層

為強化面向公眾的Linux服務(wù)器安全的最佳方案,可以適用于這種情況,Chismon說。但是,企業(yè)可能還是需要監(jiān)督控制器的可疑活動。

對于SDN控制網(wǎng)絡(luò)的訪問應(yīng)被控制,以防止發(fā)生未經(jīng)授權(quán)的活動。管理員被建議建立基于角色的訪問控制(RBAC)政策,以及審計跟蹤,以查看未經(jīng)授權(quán)的針對控制器的更改。

高可用性控制器架構(gòu)可以在一定程度上通過使用冗余控制器,以彌補其他控制器的損失減輕DDoS攻擊。

Fortinet公司SDN安全專家Ronen Shpirer表示:“在網(wǎng)絡(luò)的集中決策點,首要關(guān)鍵點是要確保架構(gòu)內(nèi)的SDN控制器的安全。強大的訪問控制是必需的,沿著信任區(qū)域分割。DDoS防護,防病毒和其他威脅的預(yù)防、以及緩解技術(shù)都是必須的?!?p#

應(yīng)用程序?qū)?北向)

北向的協(xié)議和API也是攻擊目標(biāo),其中有許多來自黑客。這些API使用Java,JSON和Python等等,并且攻擊者可以通過利用任何漏洞獲得對SDN的基礎(chǔ)設(shè)施的控制權(quán)。因此,北向的API安全是必須的,否則,SDN管理政策可以被攻擊者創(chuàng)建,以便采取控制。

在這樣的API上只使用默認密碼將使得黑客能夠輕易猜到密碼,然后創(chuàng)建數(shù)據(jù)包轉(zhuǎn)發(fā)到控制器的管理界面,以確定該SDN網(wǎng)絡(luò)的結(jié)構(gòu),甚至建立他們自己的網(wǎng)絡(luò)。

“最常見的挑戰(zhàn)是確保有一個地方,以免受黑客攻擊驗證應(yīng)用程序的訪問控制平面和防止這種身份驗證的應(yīng)用程序的機制,”Riverbed的Lees說。

保護應(yīng)用層

使用TLS或SSH以確保北向通信的安全被認為是最佳做法。另一種用來幫助實現(xiàn)這一目的方式是確保北向應(yīng)用程序的代碼安全。這也意味著認證和加密方法應(yīng)該被部署在所有應(yīng)用程序和服務(wù)請求SDN服務(wù)和數(shù)據(jù),以及服務(wù)于這些請求的所有控制器之間。

Extreme Networks公司解決方案架構(gòu)和創(chuàng)新的副總裁Markus Nispel說:“最終用戶應(yīng)該利用相關(guān)的SDN功能,以引入新的安全功能,集成到無處不在的網(wǎng)絡(luò)。他們應(yīng)該在保護控制器;以及控制器和應(yīng)用程序之間的通信的北向API側(cè)的的安全配置給予更多的關(guān)注?!?/p>

SDN是否可以提高安全性?

一些分析師認為,SDN非但不會造成安全問題,反而有助于提升整個企業(yè)的安全。

“這些解決方案的安全性在實質(zhì)上是有重大改善的,因為有了這些覆蓋方案,使得定義一個虛擬的網(wǎng)絡(luò)架構(gòu),以準確反映應(yīng)用程序的邏輯結(jié)構(gòu),讓所有的應(yīng)用程序快均反映到一個虛擬網(wǎng)絡(luò)成為可能?!?451研究所的研究總監(jiān)彼得·克里斯蒂表示。

有了這些虛擬的網(wǎng)絡(luò),各部分之間的合適與不合適的通信可以清楚的定義,而私人網(wǎng)絡(luò)與其他網(wǎng)絡(luò)通信的規(guī)則也能夠被精確的定義和明確的規(guī)則?!岸@些在傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)都是不可能實現(xiàn)的?!笨死锼沟僬f。

預(yù)計未來的可能威脅

想要精確的預(yù)測黑客將如何以SDN為目標(biāo)進行攻擊是很難的。畢竟,SDN基礎(chǔ)設(shè)施的部署仍然很新,其控制器和協(xié)議也是如此。我們只能猜測攻擊者會如何攻擊。利用相關(guān)的安全測試,我們只有把自己放在網(wǎng)絡(luò)犯罪的環(huán)境下,才可以看到其中的漏洞存在于哪些位置。

隨著企業(yè)開始掌握相關(guān)的部署技術(shù),從一開始就充分考慮到SDN的安全是非常重要的。如果在SDN部署完成事后才這樣做,北向和南向的流量容易造成各處所提供的服務(wù)的問??題。因此把事情從一開始就處理好就會幫助企業(yè)避免后續(xù)發(fā)展中的許多問題。


網(wǎng)頁名稱:如何確保SDN基礎(chǔ)設(shè)施的安全?
文章分享:http://www.dlmjj.cn/article/dhhcdgg.html