sdn在創立之初就受到了全球矚目并發展迅速,sdn的發展壯大帶來網絡産業格局重大調整的同時,也勢必會波及到網絡安全裝置行業。網絡側安全産品在本質上是一種特殊用途的網絡裝置,sdn技術将對跨l2-l7的整個協定棧産生影響,是以在網絡基礎架構發生變化時,甚至是發生變化之前,網絡安全裝置的工作機制和解決方案也會發生相應的變化。
回到虛拟化,它給資料中心和企業網絡帶來了新的問題和挑戰。一方面,傳統的安全産品和安全解決方案無法解決在虛拟化後出現新的網絡安全問題;另一方面,網絡虛拟化自身也面臨一些安全問題。網絡在虛拟化後主要面臨的問題有:
實體安全裝置存在觀測死角
虛拟機與外界存在資料交換,在虛拟化環境中的資料流有兩類,即跨實體主機的vm 資料流和同一實體主機内部的vm 資料流。前者一般通過隧道或vlan 等模式進行傳輸,現有的ids/ips 等安全裝置需要在所有的傳輸路徑上進行監控,後者隻經過實體主機中的虛拟交換機,無法被實體的安全裝置監控到,成為整個安全系統的死角。攻擊者可以在内部虛拟網絡中發動任何攻擊,而不會被安全裝置所察覺。
虛拟網絡的資料流難以了解
雖然安全裝置無法獲得實體主機内部的vm 間的資料包,但可以擷取跨實體主機間vm 的資料流。盡管如此,傳統的安全裝置還是不能了解這些資料流,也就無法應用正确的安全政策。例如,兩個租戶分别在兩台實體主機上租用了一台虛拟機,當租戶a從vm1向vm3發資料包時,防火牆能接收到實體主機1到實體主機2的資料包,但不知道到底是租戶a還是租戶b的程式在發送資料包,也不知道是哪兩台vm在通信。此外,很多虛拟機之間的資料包是經過gre隧道傳輸的,是以傳統的網絡安全設施可能不能解析這些封裝後的資料流。
安全政策難以遷移
虛拟化解決方案的重要優點是彈性和快速,例如當vm從一台實體主機無縫快速地遷移到另一台實體主機時,或當增加或删除vm時,網絡虛拟化管理工具可快速調整網絡拓撲,在舊實體網絡中删除vm 的網絡資源(位址、路由政策等),并在新的實體網絡中配置設定vm的網絡資源。相應地,安全解決方案也應将原網絡裝置和安全裝置的安全控制(acl和qos)跟随遷移,然而現有安全産品缺乏對安全政策遷移的支援,導緻安全邊界不能适應虛拟網絡的變化。
網絡流量不可見
在傳統網絡中,所有資料包經由交換或路由裝置,這些裝置可以感覺并學習目前環境的資料流量,可以針對目前的網絡狀況動态調整路由政策。但基于openflow的sdn架構中的網絡控制器隻會收到底層裝置發來的部分資料包,并不了解控制域中大部分直接被轉發的資料流具體内容。
控制器的單點失效
除了傳統網絡更新到sdn後網絡層的新問題外,sdn本身也會存在漏洞,特别是複雜的sdn的控制器。資料平面和控制平面的分離主要是由控制器實作的,是以控制器就成為網絡虛拟化的最重要的設施。
然而控制器需要應對各種動态的網絡拓撲,解析各種類型的資料包,接收上層應用的資訊,并控制底層網絡裝置的行為,是以功能實作将會非常複雜,也就可能存在不少漏洞。當攻擊者攻破控制器,就可以向所有的網絡設施發送指令,很容易癱瘓整個網絡;或将某些資料流重定向到惡意vm,造成敏感資訊的洩露。
是以,針對傳統安全産品對内部網絡不可見的缺點,安全廠商需推出支援虛拟化的安全産品,這些安全産品以軟體的形式存在,并相容主流的虛拟化解決方案,可監控内部虛拟網絡中的資料流。要想達到真正的軟體定義安全,就需要在保護現有和新增裝置以及内部虛拟網絡的基礎上,深刻了解sdn的工作模式,提出松耦合但與之比對的安全架構,設計網絡控制器和安全控制器關聯的安全機制,建立基于環境的資料傳輸決策模型。
作者:何妍
來源:51cto