GTLC全球技术领导力峰会·上海站,首批讲师正式上线! 了解详情
写点什么

火热的 SDN 真的安全吗?

2015 年 9 月 07 日

最近,在旧金山举行 VMworld 2015 会议上,VMware CEO Pat Gelsinger 在一个主题演讲中着重推销了VMware 的网络虚拟化技术(基于 SDN 的网络虚拟化技术)。但是从安全性角度而言,外界对 SDN 的看法也有不同的声音。

SDN 的优势以及发展前景

VMware 最近刚刚发布了它的网络虚拟化产品 - NSX - 的最新版本 NSX6.2。发布两年多以来,已经有多于 100 个客户在实际部署中使用 NSX,美国石油巨头 Marathon Oil 也是其客户之一。

Pat Gelsinger 表示,网络虚拟化(即 SDN)是安全架构实现方面的一项颠覆性的技术,这是第一次我们能够将安全技术构建在架构内部,我们坚信构建在架构内部的安全技术能够达到两倍的安全性并且只需要一半的代价。

“通常来说,IT 架构都是从网络设备到服务器再到应用一层一层构建起来的,而这种架构是非常脆弱的”,VMware 高级副总裁 Martin Casado 表示。传统网络的复杂配置给数据中心整个架构的管理带来了很大的障碍,而基于 SDN 的网络虚拟化却可以集中控制整个网络的配置,并且配置信息可以随设备一起移动,这无疑将提供很大的灵活性。

SDN 是近来网络领域非常火热的概念。诸多预测认为SDN 将在未来几年达到三十亿美元的规模,并且会呈现出一个高速增长的趋势。SDN 的核心思想在于将转发和控制进行分离,对应着硬件SDN 交换机以及网络控制器,用户通过对网络控制器的编程能够灵活的进行网络配置及网络优化。

SDN 存在的安全性问题

然而,从安全性角度而言,对 SDN 的看法也有不同的声音。例如 SDN 的控制器作为一个中央控制软件,更加容易受到攻击,而且一旦攻击者获得了 SDN 控制器的权限,整个网络都将暴露在危险中。例如在前段时间思科发布安全通告中,称之前的 SDN 控制器中存在漏洞,能够让攻击者以 Root 用户身份访问系统并运行 Root 命令;传统的网络设备是一个完全自治的系统,各个系统之间只是数据传递的关系,而由于 SDN 采用集中控制的方式进行管理,SDN 控制器将会被各种不同的系统访问,这将给 SDN 增添很多新的攻击风险;“SDN 创建了一个抽象层,这将带来很多新的攻击面,例如 OpenFlow 协议、供应商 API 等”,Gartner 分析师 Neil MacDonald表示

虽然目前而言 SDN 尚未大规模替代传统网络,但是面对火热的 SDN,很多专家们却也为 SDN 提出了诸多安全性建议,例如核心通信协议之间进行加密、固件化部分配置、管理身份认证、积极监控数据源信息等。面对大家所关心的安全问题,也有专家对 SDN 系统的攻击途径进行了评估,总结了对 SDN 数据层、控制器层及 SDN 层的多种攻击途径,并从预测攻击途径的角度总结了如何提升 SDN 安全性的方法。

总结

虽然 SDN 在安全性上的表现可能不如 Pat Gelsinger 所鼓吹的那样令人满意,然而 SDN 在对数据中心大集群配置方面的灵活性则是很多企业非常看重的。随着 SDN 技术的逐渐成熟,也期待新的 SDN 产品对安全性有更加完备考虑。

参考文章:

  1. 思科 SDN 控制器存在安全漏洞
  2. 软件定义网络 SDN 攻击途径与安全提升

感谢徐川对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群)。

2015 年 9 月 07 日 19:001423

评论

发布
暂无评论
发现更多内容

MySQL中my.cnf的配置说明

Matrix Chan

运维 MySQ MySQL 运维 数据库运维

Redis-技术专题-Redis知识体系

李浩宇/Alex

话题讨论 | 程序员们来说一说,你们从编程开始到现在共使用过多少种语言?

InfoQ写作平台官方

写作平台 话题讨论 语言

MySQL8.0大表秒加字段,是真的吗?

Simon

MySQL

机器学习及信息与认知的逻辑

superman

学习 认知提升 个人提升

Apache Pulsar 社区周报|08-22 ~ 09-04

Apache Pulsar

开源 云原生 Apache Pulsar 消息系统 消息中间件

Elasticsearch之文档操作

北漂码农有话说

Flink SQL 1.11 新功能与最佳实践

Apache Flink

flink

编程的修养

紫枫

读书笔记

记一次前端vue相关面试题目和简答案

靖仙

面试 Vue MVVM

探路人与解题者:腾讯数字生态大会上AI语音助手+X的无限可能

脑极体

第13周总结+作业

林毋梦

甲方日常 12

句子

工作 随笔杂谈 日常

虚拟币永续合约系统开发app源码,交易所开发

WX13823153201

永续合约系统开发

随笔文,关于”中台“ 的一些“小偏论”

松子(李博源)

数据中台 中台 大数据处理 数据平台 大数据平台

Git 中submodule的使用,终于有人说明白了

Java架构师迁哥

科普:Java 后端开发常用的 10 种第三方服务

沉默王二

Java 后端开发 第三方服务

GaussDB(DWS)应用实战:对被视图引用的表进行DDL操作

华为云开发者社区

数据库 dll postgre

你不可不知道的Design Thinking

长沙造纸农

设计 思维方式 设计思维 设计实践 设计师

面经手册 · 第10篇《扫盲java.util.Collections工具包,学习排序、二分、洗牌、旋转算法》

小傅哥

Java 数据结构 算法 归并排序 洗牌算法

中国移动张浩:AMQP on Pulsar 的设计与应用一览

Apache Pulsar

Apache 云原生 Apache Pulsar 消息中间件 AMQP

大厂面试爱问的「调度算法」,20 张图一举拿下

Java架构师迁哥

为了面个好公司!拼了!3.5W字的Java面试题整理(答案+学习路线)上!

Java架构师迁哥

金九银十:搞定这两个GitHub标星50K开源项目,拿个30k轻松吧?

云流

编程 程序员 算法 架构师 java面试

Mac搭建本地koa2项目

靖仙

koa2 本地环境搭建

CDN百科11 | 如何用CDN加速OSS源站资源

阿里云Edge Plus

2020年史诗级‘面试宝典’横空而出,金九银十就靠“它”涨薪了

云流

学习 程序员 架构师 java面试 程序员求职

Spring 5 中文解析核心篇-集成测试之TestContext(下)

青年IT男

单元测试 Spring5

5G加速商用,云通信如何推动企业营销数智化

阿里云Edge Plus

如何基于 Flink 生成在线机器学习的样本?

Apache Flink

flink

前端 10 问之 TypeScript (第一篇)

局外人

typescript 前端进阶

DNSPod与开源应用专场

DNSPod与开源应用专场

火热的SDN真的安全吗?-InfoQ