網路虛擬化 軟體定義 SDN 資安 安全 網路

夯技術SDN的資安課題

2014-01-27
二十年前念大學的時候,環校網路採用的還是FDDI技術,走同軸電纜的區域網路涵蓋好幾個宿舍及系館,透過「網路芳鄰」,幾百台電腦彼此分享收藏,外戶而不閉,是謂大同。後來TCP/IP 加上Ethernet慢慢成為主流,而交換機基於封包表頭和擴展樹協定運作,更是可靠安全。
然而這在以往網路架構及服務應用變動不大時雖然可行,面對未來雲端數據中心的複雜操作,就不見得是最佳的答案。SDN(軟體定義網路)也正是因此而由學界的實驗計劃,推升成當今網通產業最火紅的議題。

SDN架構將交換器、路由器等個別轉發設備的控制層抽離出來,集中到一個中央控制器對網路作全局的控制與分流管理,而轉發設備則單純依據控制器下達的流程表派送封包,這使得網路管理者在不更動實體網路設備的情形下,即可輕易改變邏輯拓樸,使網路行為可動態、迅速地調整以因應服務及應用的需求。其中,控制器與應用程式層之間界面稱作北向界面,而控制器與資料層之間的界面就是南向界面。

儘管SDN擁有上述好處,但因為SDN架構的特質可能引伸出的資安問題,仍值得網路管理者多加考量,及早準備因應:

架構原件成為攻擊目標—控制器是SDN網路的總管,必然成為駭客覬覦的目標。為控制器設置嚴密防護與備援,避免控制器成為單一失效點,是佈建SDN網路時不可忽略的工作。南北向界面也很重要,管理者在這些元件之間的通訊,包括認證、加密、權限等安全管理上必須採取高標準要求,防止偽冒指令或以SDN元件為目標的DoS攻擊。

實體安全邊界消失—傳統網路中的防火牆或入侵偵測系統,一般多部署在實體網關(Gateway)處,從而構成一個實體的安全邊界。在SDN網路中,隨著聯結路徑的動態調整,網路封包的檢查可能是在控制器或個別安全設備上完成,構成一個動態、虛擬的安全邊界。網路管理者仍需要確認每一個資料流仍配屬在合適的虛擬安全區域內。

組態管理失誤可能導致嚴重的災害—在SDN網路中,管理者的指令可以迅速地部署到所有轉發設備,立即改變網路行為,因此SDN網路需要更謹慎的管理與稽核,以防止管理人員無心的失誤或惡意的操作,另外也需要檢視應用程式間是否因策略衝突而對系統造成影響。

有趣的是,據統計「網路安全」名列採用SDN的第二大目的(第一大是提升服務效能),例如SDN架構有助於網路安全策略的快速部署、資安事件的即時因應與事件後協同各節點實施減災措施(Threat Mitigation)。因此不管是「用SDN來做安全」,或是「做SDN的安全」都會是(甚至已經是)很熱門的議題。

(本文作者現任趨勢科技網路威脅防禦技術部副總經理)


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!