軟件定義網(wǎng)絡(luò)(SDN)旨在將現(xiàn)代網(wǎng)絡(luò)和數(shù)據(jù)中心變成可以根據(jù)不斷變化的業(yè)務(wù)需求進(jìn)行快速重新配置的高度敏捷的框架結(jié)構(gòu)。盡管SDN對于公眾來講還比較陌生，但實際上幾乎所有的組織都在制定這方面的計劃，以適應(yīng)這個號稱可以通過對包括帶寬分配在內(nèi)的每個網(wǎng)絡(luò)服務(wù)實現(xiàn)按需供應(yīng)，將服務(wù)器虛擬化和云計算效率擴展到前所未有高度的最終架構(gòu)的轉(zhuǎn)變。

不過，許多的組織也認(rèn)識到，高度移動的工作負(fù)載和自動配置的應(yīng)用程序以及服務(wù)，意味著通訊能見度的損失，并且還在損失了性能優(yōu)化功能的同時，削弱了安全性。然而，在謹(jǐn)慎中進(jìn)步總是必要的，因為前所未有的效率和規(guī)模效應(yīng)，云計算和向SDN的遷移一定是大勢所趨。要實現(xiàn)盡可能的平滑遷移，并確保安全不被弱化，最重要的是要采取一些基本的步驟，其中設(shè)備對于網(wǎng)絡(luò)通訊總體可持續(xù)的能見度是重中之重。

那么究竟什么是SDN?

SDN架構(gòu)實現(xiàn)了將控制層和數(shù)據(jù)層的分離或分隔。由此產(chǎn)生的是一種可以查看控制框架并且提供單一邏輯抽象網(wǎng)絡(luò)的高度可編程和可伸縮的架構(gòu)。

在這種架構(gòu)中，編排和提供的服務(wù)更容易通過一致而自動應(yīng)用的預(yù)期配置進(jìn)行管理。這種新型的網(wǎng)絡(luò)架構(gòu)使底層硬件基礎(chǔ)設(shè)施的規(guī)模、靈活性以及可選擇性都達(dá)到了前所未有的全新水平。除了顯著節(jié)省了資產(chǎn)成本和運營成本，SDN架構(gòu)還在幾乎沒有任何破壞和開銷的情況下刺激了創(chuàng)新，適應(yīng)了迅速變化的需要。

 開放網(wǎng)絡(luò)基金會推出的SDN架構(gòu)圖

那么又該如何區(qū)分云安全和SDN安全呢?

在實際中，人們常常把云安全問題和SDN安全問題相提并論，那是因為云計算框架的關(guān)鍵支撐，即服務(wù)器和存儲的虛擬化，與SDN使用了一些相同的概念。而事實上對于云來講，有著與SDN完全不同的安全挑戰(zhàn)，在此有必要做一下總結(jié)說明。

云安全問題

首先，非常重要的一點是，云經(jīng)常會以虛擬化計算和存儲為核心。在虛擬化設(shè)計中，虛擬化工作負(fù)載或虛擬機取代物理服務(wù)器，只須點點鼠標(biāo)就可以進(jìn)行服務(wù)器的分配、設(shè)置和操作。威睿公司(VMWare)的ESX、思杰公司(Citrix)的XEN和微軟公司的Hyper V都是支撐服務(wù)器虛擬化的虛擬機監(jiān)控程序。云計算框架有三種不同的配置形態(tài)：私有云、公共云和混合云。

私有云全部是部署在組織內(nèi)部及可控范圍內(nèi)的服務(wù)器和存儲虛擬化。這意味著組織或公司對云框架擁有所有權(quán)，對其安全負(fù)責(zé)。這里的安全問題一般是一個虛擬機感染了惡意軟件，而當(dāng)該虛擬機在數(shù)據(jù)中心中進(jìn)行移動、變更或重新分配時，造成共享相同主機的其他虛擬機被感染。

傳統(tǒng)安全設(shè)備無法“看到”惡意軟件在虛擬機之間的傳播，因為虛擬機之間的通訊主要都是在虛擬網(wǎng)段進(jìn)行的。在這種情況下，就要使地面網(wǎng)絡(luò)上的安全設(shè)備實現(xiàn)虛擬化通訊的可視化，以及在建立訪問控制時實現(xiàn)特定的或有目的的虛擬化。

公共云歸提供云訪問共享框架租賃服務(wù)的企業(yè)所有，如亞馬遜AWS、微軟Azure等。這里的安全問題一般是用戶隔離方面的問題。因為眾多組織的工作負(fù)載和資產(chǎn)都托管給了云服務(wù)提供商，任何疏忽造成的用戶訪問界限不清、用戶訪問權(quán)限交叉都會構(gòu)成風(fēng)險。

這里的安全控制主要就是針對兩件事：對云服務(wù)提供商托管的工作負(fù)載進(jìn)行訪問控制，并要求供應(yīng)商服務(wù)平面協(xié)議提供通訊能見度和托管資源的安全控制。

混合云或許是最常見的框架。大多數(shù)組織和企業(yè)有一些工作負(fù)載是以虛擬機的形式承載和實現(xiàn)的，同時，還會有一些工作負(fù)載會放在公共云上，這就形成了一種公共云和私有云同時存在的“混合云”框架結(jié)構(gòu)。

混合云的安全機制當(dāng)然也要遵守上述建議，不過也要密切關(guān)注市場選擇，因為市場瞬息萬變。目前混合云的可見性和安全控制框架還需要拼湊一些技術(shù)，但這么大的一個市場需求，必定會出現(xiàn)一些統(tǒng)一的和專業(yè)的供應(yīng)商。有趣的是，在新興領(lǐng)域還有一些采用疊加的技術(shù)?；旌显频睦嫦嚓P(guān)者需要對市場動向保持警惕，尤其是在向到SDN遷移的時候。

SDN安全問題

前面我們說過，SDN不僅僅是對服務(wù)器的虛擬化，而且對網(wǎng)絡(luò)基礎(chǔ)設(shè)施和管理的方方面面都進(jìn)行了虛擬化。SDN所涉及到的安全問題除了網(wǎng)絡(luò)基礎(chǔ)設(shè)施，還擴展到了包括控制平面和數(shù)據(jù)平面在內(nèi)的很多方面。

舉例來說，如果攻擊者能夠接管控制平面或SDN控制器，從本質(zhì)上講，他們將會擁有整個網(wǎng)絡(luò)及其所有包含在內(nèi)的基礎(chǔ)設(shè)施的所有權(quán)，可以說是擁有了無限大的權(quán)限。感染了數(shù)據(jù)平面理論上能夠以更快的速度進(jìn)行傳播，因為SDN比服務(wù)器虛擬化的部署更普遍?？刂破矫婧蛿?shù)據(jù)平面之間的通訊困難和混亂也有可能為攻擊者使用新方法攻破網(wǎng)絡(luò)外圍創(chuàng)造漏洞。

說到如何構(gòu)建安全的SDN，早就有了詳細(xì)的架構(gòu)指南，部分原因是現(xiàn)有的供應(yīng)商和開源組織有許多不同的方法來實現(xiàn)SDN。這里的關(guān)鍵是確保所有網(wǎng)絡(luò)的可見性，包括傳統(tǒng)網(wǎng)絡(luò)、虛擬化網(wǎng)絡(luò)和軟件定義網(wǎng)絡(luò)。理解這些網(wǎng)絡(luò)類型之間的通訊流，將確保盲點得到糾正，瓶頸得以最迅速的方式解決。

這種“可見性”跨越所有網(wǎng)絡(luò)和工作負(fù)載類型，以確?？梢娨晥D的普遍性和持續(xù)性。這就是為什么可見性所提供的不是一個點解決方案，而是一套可以和虛擬化相提并論的架構(gòu)層。

可見性在SDN中的作用

網(wǎng)絡(luò)的可見性是在地面網(wǎng)絡(luò)中的一個基本元素，并且在高度動態(tài)的SDN架構(gòu)中變得更加重要。然而，SDN失去網(wǎng)絡(luò)可見性并不會阻礙公司的前進(jìn)步伐。提供可見性構(gòu)造的公司已經(jīng)與標(biāo)準(zhǔn)社區(qū)和主要的SDN架構(gòu)供應(yīng)商走在了一起，以確保應(yīng)用程序在SDN遷移過程中及遷移完成后的性能和安全得到維護(hù)。

加速SDN可見性構(gòu)造

可見性構(gòu)造實質(zhì)上使網(wǎng)絡(luò)(包括SDN)實現(xiàn)可見，作為一個普遍的層，將通信流的視圖結(jié)合在物理和虛擬網(wǎng)絡(luò)段。具體地講，網(wǎng)絡(luò)可見性提供通訊流的詳細(xì)信息和在這些網(wǎng)絡(luò)至關(guān)重要的數(shù)據(jù)包：

監(jiān)控SDN網(wǎng)絡(luò)本身的狀態(tài)

監(jiān)控SDN可用的應(yīng)用程序

確保維護(hù)安全

 私有云或SDN環(huán)境安全交付平臺的可見性架構(gòu)實現(xiàn)

無論選擇的SDN架構(gòu)是建立在OpenFlow，還是建立在類似VMWare的NSX和思科ACI或是某個其他框架的網(wǎng)絡(luò)虛擬化上，上面的關(guān)鍵需求依然存在。在SDN中，控制和轉(zhuǎn)發(fā)層雖然實現(xiàn)了獨立管理，但還需要功能的結(jié)合。由于網(wǎng)絡(luò)延遲或供應(yīng)商網(wǎng)絡(luò)基礎(chǔ)設(shè)施差異會引起的這些層之間的同步問題，會造成瓶頸和破壞。

當(dāng)談到SDN應(yīng)用程序和服務(wù)，按需供應(yīng)的好處是不可否認(rèn)的。但這種動態(tài)配置會導(dǎo)致不可預(yù)測的通訊模式，使得通過將性能管理工具放置在網(wǎng)絡(luò)中可預(yù)見的地方的傳統(tǒng)方法很難解決。

SDN當(dāng)中的通訊可見性需要常數(shù)化，并且要將工具集中，以便得到通所有的通訊流和數(shù)據(jù)包。類似的邏輯也同樣適用于對安全的需求。而安全設(shè)備可以放在傳統(tǒng)網(wǎng)絡(luò)的重要網(wǎng)段，在SDN中是站不住腳的。對于所有內(nèi)部SDN通訊的集中布置和總體訪問，給安全和性能管理技術(shù)提供了最好的統(tǒng)計嵌入惡意軟件和異常模式出現(xiàn)的機會。