SDN一定會帶來網絡安全漏洞？

從理論上講，軟件定義網絡( SDN )技術應該帶來更安全的網絡。因為，通過虛擬化網絡到可編程的堆棧，網絡會變得更加靈活，操作應該更加自動化，這應該意味著更少的“胖手指”災難。

但對于任何互聯系統，當我們分配基本操作到軟件時，我們同時也引入了新風險。當我們將服務器聯網時，我們知道有些服務器將會受到攻擊，所以我們盡最大努力來減小這種風險。但當網絡本身受到攻擊時會發生什么呢?SDN工具包是什么樣?全面的有效的SDN安全是什么樣的?我們怎樣避免SDN漏洞呢?

SDN是Stuxnet夢想的搖籃?

SDN已經成為網絡可編程新的簡稱。無論是基于標準的解決方案還是來自單個供應商的專有技術(即構建自己的OpenDaylight解決方案或者VMware打造的SDN環境)，它們都帶來同樣的困境：你都會被迫相信這個新的比較復雜的軟件攜帶著通往你的王國的鑰匙。這個“解決方案”將涉及更廣的范圍，將會改變權力和容量，程度甚至超過任何高級管理員。它還會控制網絡日志的現狀。

然而，事情并沒有那么糟糕，但企業需要考慮SDN安全帶來一些影響，或者更糟的是，零日漏洞利用。Stuxnet如此難以創造的原因之一是它需要克服的各種各樣的挑戰，它需要應對多個版本的專有工業控制器和使用各種協議及應用程序接口(API)的操作系統。但在SDN環境下，情況就不同了。

SDN帶來新的網絡安全問題

通過可編程網絡，蠕蟲不再需要利用現有的網絡裂縫;它們可以抓住一個弱控制點，并通過這個控制點創建一個后門，然后將其隱藏起來。與Stuxnet不同，SDN蠕蟲不需要管理數以百計的不同的攻擊向量。即使在專有廠商部署中，SDN蠕蟲也可以通過良好記錄的易于導航的API來提供控制。

當我們從CLI、SNMP和其他“舊世界”接口轉移時，還面臨一個額外的威脅，我們將通過SDN架構連接我們的性能監控和安全政策掃描系統。也就是說，如果攻擊者破壞SDN控制層，他們將可以從監控和安全系統隱藏其行蹤。隨著技術逐漸成熟，并且，我們越來越依賴于自動化，我們也應該期望在管理員配置出現與系統相同的變化，特別是在中小企業方面。畢竟，較小的經驗不足的團隊不太可能比它們取代的綠屏管理員更能發現安全問題。

如何避免SDN安全噩夢

SDN的未來是光明的，我們不應該妄下結論，認為SDN將會帶來通往美國國家安全局的后門。該技術確實會帶來一系列新的挑戰，但我們可以利用從其他可編程平臺獲取的豐富經驗來解決這些問題，例如服務器。無論你正在與供應商溝通還是試圖構建自己的SDN解決方案，當你部署安全的SDN時，請務必考慮以下問題：

多少比率的文檔(或營銷材料)用于安全?安全像是可有可無的東西，還是作為解決方案架構的一部分?

這個解決方案是否認為不需要對防火墻內提供安全保護?太多產品認為沒有面向互聯網的系統享受著魔術般的安全保護。

對于聯合SDN等復合解決方案，聯合網絡將如何管理控制器之間分配的信任關系?你將在哪里部署分界點來限制多層分配變化的范圍?

該解決方案將如何管理分布式政策?所有受控制的設備都信任來自任意長命令行的變更請求嗎?它們是否能意識到繼承、模擬或者請求者角色?

你如何信任還是核查?解決方案是否包含至少一點點“石器時代”的技術來監控不在其控制之內的SDN控制器?

與其他任何新技術一樣，網絡可編程性在初期會遇到一些問題，但如果我們把眼光放遠一點，提出問題，將其放在實驗室的顯微鏡下研究，這將是一個好事情。