SDN是把雙刃劍嗎？

網絡當中接入的裝置和雲計算的興起，對傳統網絡的性能提出了更高的要求，這也是為什麼在經過深思熟慮之後，傳統網絡正在積極向虛拟化網絡功能和控制器過渡，電信公司正在部署SDN和NFV技術，以實作更快的速度和網絡彈性提高網絡性能。事實上，SDN有可能通過提供靈活性來适應當今應用程式和工作負載的動态性來徹底改變資料中心。

然而，在涉及到SDN的安全性方面，雖然服務和政策是分布式的，但仍然通過集中的SDN控制器從單點進行管理。誠然這能夠給SDN提高效率，但如果 SDN控制器受到攻擊，攻擊者可以快速影響整個網絡後果不堪設想。在SDN環境中DDoS攻擊成為影響SDN控制器有效性的重要方面。本文将探讨DDoS 攻擊在SDN環境中的安全隐患，并希望為SDN的使用者提供建議。

什麼是虛拟網絡?組織為什麼需要虛拟網絡?

SDN是一種全新的技術，它使得網絡管理者通過開放接口和較低級功能的抽象來建立動态網絡。SDN從實際移動資料(轉發平面)的硬體分離決定發送資訊的智能化，即所謂的控制平面與轉發平面的分離。這兩個平面的分離使得決策過程在集中的、基于軟體的控制器中執行，而不是讓網絡中的每個節點做出自己的決策。所有應用程式通過控制器進行配置請求，該控制器具有對整個網絡的可見性，并為每個節點做出轉發決策。但是，這也意味着IT安全團隊需要考慮如何保護控制平面，因為這将成為唯一的故障節點，稍有漏洞就可能導緻整個網絡癱瘓。

盡管SDN帶來了很多好處，如改進網絡接入控制的細粒度安全政策等，與傳統的網絡架構相比，它也引入了傳統網絡配置過程中不曾有過的挑戰。

SDN的安全問題

在安全性方面，SDN終于實作了為每個虛拟化工作負載提供最大限度的保護所需的細粒度政策，并且這些政策在虛拟化基礎設施周圍遷移時自動遵循這些工作負載。

所面臨的挑戰在于，這可能導緻SDN控制器成為整個網絡的單一妥協點，一旦被DDoS攻擊很容易被竊取資料導緻網絡重大中斷。

将SDN與管道系統進行比較，這相當于一次洩露，降低系統壓力并影響整個網絡。事實上，與SDN部署相關的spine帶寬顯著增加了攻擊面，即使是相對較小的多千兆DDoS攻擊也可能使整個資料中心當機。最終即時是一個單一的，低容量的DDoS攻擊也可能導緻嚴重的損害，甚至給組織造成長期的損失。

最佳的安全方式

當使用SDN和NFV建立彈性和安全的環境時，必須在資料中心邊緣部署始終運作的自動DDoS檢測和緩解工具，這是獲得實時響應事件所需的可見性的唯一方式。通過在SDN控制器和DDoS防禦之間聯合API，可以控制對SDN控制器造成的破壞，并可以緩解DDoS攻擊。在發生超飽和事件時，DDoS 防禦可以迅速向上遊發送資訊，以報告此類攻擊事件。

結論

總體而言，SDN和NFV為組織需要的關鍵網絡功能帶來巨大的優勢，消除了對專有實體裝置的需求，這使得組織能夠降低成本和複雜性，并同時享受改進的可擴充性、彈性和更便捷的部署。但是，盡管具備了這樣的優勢，也使得網絡更容易受到攻擊。希望從SDN或NFV獲益的組織必須確定他們能夠全面了解其虛拟化環境以減輕這些風險。通過在系統之間聯合API來內建DDoS保護來展開網絡防禦，隻有密切關注虛拟化環境的管道，才能保持其操作和資料的安全性。

本文作者：佚名          

來源：51CTO