試論SDN安全面臨的威脅與機遇

石榮水++李虎

摘 要：伴隨云計算、大數據等新興技術的誕生與發展，向傳統網絡提出了更高的要求，面對網絡環境的日趨復雜，比如安全、速率、帶寬等，使得傳統網絡在靈活性、可編程性、可擴展性這些方面面臨著新的發展瓶頸。而SDN的出現，為解決這些難題提供了新的路徑。這是SDN所面臨的發展機遇，但同時也使其面臨著新的安全威脅。

關鍵詞：網絡環境；SDN；機遇；挑戰

中圖分類號：TP393.02 文獻標識碼：A 文章編號：1671-2064（2017）19-0052-01

SDN作為一個新興事物，自然無法達到盡善盡美，在有著其優勢的同時，不可避免地存在著一些不足，比如其開放性和控制集中性就為網絡環境帶來的新的安全挑戰。所以說，SDN在網絡安全領域威脅與機遇并存。本文先分析了SDN面臨的發展機遇，然后具體分析了SDN面臨的威脅：控制層面的安全威脅、應用層面的安全威脅、開放性的安全威脅，最后提出了相應的安全加固對策：利用傳統網絡安全設備、控制器的高可用方案、控制器的分布式部署方案，希望能借此對SDN的進一步發展提供一定助力。

1 SDN面臨的發展機遇

伴隨互聯網應用的大規模普及與飛速發展，網絡安全成為了不容忽視的重要問題。互聯網最初的設計由于主要目標是為了實現資源共享和信息互聯，因此對網絡安全問題有選擇性地予以忽略了。雖然RADIUS、DNSSec、IPSec等技術的相繼出現，促進了網絡安全性的加強，然而整個網絡安全仍然處于被動應對安全威脅的狀態，缺乏系統性解決網絡安全問題的可行方案。尤其是隨著云計算、大數據等新興計算機信息技術以及各類新興網絡應用的不斷誕生，網絡地址缺乏、路由體系臃腫、網絡擁塞以及黑客攻擊等問題日益尖銳和頻繁，這些問題都最終指向互聯網的可控性這一軟肋，這樣的網絡安全形勢正是SDN所面臨的發展機遇。SDN誕生后，使得上述互聯網安全問題有了得以解決的可能。SDN的特點主要體現在以下兩個方面：一是通過軟件控制器可以集中管理網絡轉發規則；二是控制轉發平面與平面分離。SDN旨在通過構建智能化網絡操作系統和網絡虛擬化層，在一張物理網絡拓撲的情況下對虛網予以合理劃分，并通過有效的隔離機制，使得高效的資源調度和網絡管控得以實現。除此之外，SDN還可以通過將預先制定的機制策略通過網絡操作系統添加到網絡，最終幫助其實現預期管控目的。

2 SDN面臨的安全威脅

SDN面臨的安全威脅具體體現在以下幾個方面：（1）控制層面的安全威脅。管理集中性的優點在于管理靈活方便，運營靈活、網絡設備簡化，維護與管理統一高效。但管理的集中性也使得SDN的控制器成為了被重點攻擊的環節，比如認證欺騙、授權欺騙、拒絕服務等等。管理集中性使得安全服務部署、服務訪問控制、網絡配置等均集中于SDN控制器上。一旦攻擊者控制了控制器，則能夠使網絡服務出現大面積癱瘓情況，甚至影響到控制器所覆蓋的所有地方。所以對于SDN自身體系安全體系而言，圍繞控制器做好相應的攻防措施是最關鍵的一環。（2）應用層面的安全威脅。SDN網路的可編程性的優點在于配置靈活、支持更多業務功能、各項功能更加完善、易于升級更新、網絡運行效率更高。但可編程性使得應用層面存在大量可編程接口，這就為應用層帶來了許多安全威脅。比如將蠕蟲木馬程序植入應用層面的某個應用中以達到竊取網絡信息、占用網絡資源、更改網絡配置等目的，那么這些行為就會干擾控制層面的正常工作進程，最終影響到網絡的可用性和可靠性。或者可以直接利用某些可編程接口，從而達到網絡竊聽、拒絕服務攻擊等目的。（3）SDN的開放性的優點在于結構透明、易于推廣，支持業務創新、支持個性化定制。但這也使得其自身面臨著許多安全隱患。比如網路和安全的應用插件自身都帶有一定的規則寫入權限，伴隨應用的日趨復雜化，那么多個應用彼此之間很有可能出現安全規則沖突情況，進而使得服務中斷、安全規則被繞過、網絡管理混亂等現象出現。此外，第三方插件或第三方應用自身存在著的安全漏洞、未聲明功能、惡意功能也為SDN埋下了更多安全隱患。

3 SDN安全加固建議

綜上所述，目前SDN的安全威脅主要集中在控制器上，所以向SDN控制器的安全加固提出以下幾點建議：（1）利用傳統網絡安全設備：將傳統硬件防火墻分別部署在SDN控制器的北向與南向接口處，既可以有效防止來自數據中心外部的攻擊，也可以組織內部惡意租戶對控制器產生威脅。部署安全代理：SDN控制器技術采用軟件實現，對軟件本身進行安全加固以及漏洞更新可以在一定程度解決控制器的安全問題。（2）控制器的高可用方案：為了防止控制器由于被攻擊或自身原因導致的癱瘓情況，對控制器所在的服務器進行高可用備份十分重要。（3）控制器的分布式部署方案：由于SDN集中化管理的設計理念，控制器往往承擔管理數據中心大部分網絡設備的職責。如果所有網絡設備的管理功能都集中在單一控制器上，一旦遭受攻擊，后果將不可想象。采用分布式架構，多個控制器分別控制部分網絡設備，所有控制器互為備份，可以有效解決網絡安全風險。

參考文獻

[1]劉小春.SDN網絡安全性研究[J].信息通信，2017，（04）：96-97.

[2]郭沈瑜.云計算及SDN與安全技術研究[J].信息與電腦（理論版），2016，（24）：95-96.

[3]齊宇.SDN安全研究[J].信息網絡安全，2016，（09）：69-72.endprint