嚴肅地說,軟體定義網絡安全問題一直存在。sdn使用者應該像其他人一樣關注他們的網絡漏洞,或許比以往任何時候都要更關注,原因有:(1)他們正在改變他們網絡的工作方式,(2)他們正在使用相對較新的技術。例如,在發現安全問題得到修複時,他們都需要馬上更新系統和安裝更新檔。許多網絡管理者一直在安裝基礎架構的安全更新檔時行動遲緩;在混合使用如此多新硬體和軟體的環境中,這是不應該的。
如果他們在使用經典sdn——網絡控制和網絡資料包分開處理,那麼他們必須同時監控控制器和資料管理裝置的更新,并且還要監控他們在控制器之上使用的每一個sdn應用程式。
如果他們在使用基于虛拟化的sdn,那麼他們一樣需要注意控制器,同時還要注意底層虛拟化平台(例如:vmware nsx)和其中的任何實體裝置及其作業系統。
無論是哪一種應用場景,由于它們的網絡控制與結構在不斷地變化,是以安全團隊需要保證他們的監控工具能夠看到新裝置。例如,如果虛拟堆疊網絡建立了新的域,那麼安全營運中心也必須能夠根據需要去監控和報告這些域中執行的活動。
每個人都必須準備好應對越來越多的基于sdn技術的網絡攻擊。例如,有幾種能耗盡資源的拒絕服務攻擊可能會針對于使用sdn控制器的網絡。所有人都應該準備好這些新型的防禦措施——當然,答案就是軟體定義的網絡安全。
作者:john burke
來源:51cto