本刊記者 | 刁興玲

SDN嶄新架構(gòu)下，網(wǎng)絡(luò)安全如何保障？

本刊記者 | 刁興玲

SDN控制器相當(dāng)于網(wǎng)絡(luò)操作系統(tǒng)，可靠性和安全性非常重要，對(duì)于其可能存在的負(fù)載過(guò)大、單點(diǎn)失效、易受網(wǎng)絡(luò)攻擊等問(wèn)題，業(yè)界亟需給出解決之道。

對(duì)話嘉賓：

Strategy Analytics無(wú)線運(yùn)營(yíng)商戰(zhàn)略高級(jí)分析師 ......................楊光

上海貝爾戰(zhàn)略部高級(jí)經(jīng)理 .............................................陳端

中興通訊SDN首席架構(gòu)師 ...........................................薛育紅

陳端

薛育紅

楊光

目前，云計(jì)算的時(shí)代已經(jīng)到來(lái)，云計(jì)算要求網(wǎng)絡(luò)系統(tǒng)應(yīng)用和服務(wù)具有極高的彈性和靈活性。傳統(tǒng)網(wǎng)絡(luò)繁冗的架構(gòu)已成為云計(jì)算的絆腳石，而SDN所具有的網(wǎng)絡(luò)設(shè)備“控制與轉(zhuǎn)發(fā)分離”、“軟件與硬件解耦”、“虛擬化接入”等技術(shù)優(yōu)勢(shì)可有效解決傳統(tǒng)網(wǎng)絡(luò)難題。SDN的出現(xiàn)，打破了網(wǎng)絡(luò)領(lǐng)域多年來(lái)的沉寂，成為幾乎每個(gè)專業(yè)領(lǐng)域的熱門議題。作為一種嶄新的網(wǎng)絡(luò)架構(gòu)，SDN使得網(wǎng)絡(luò)系統(tǒng)面臨數(shù)十年未有之變局。不過(guò)，SDN擁有眾多優(yōu)勢(shì)的同時(shí)，其嶄新的架構(gòu)也不可避免地帶來(lái)諸多安全問(wèn)題。

嶄新架構(gòu)伴隨安全威脅

《通信世界》SDN這一嶄新的架構(gòu)正席卷而來(lái)，每一項(xiàng)創(chuàng)新技術(shù)解決傳統(tǒng)網(wǎng)絡(luò)問(wèn)題的同時(shí)，勢(shì)必帶來(lái)新的威脅。SDN畢竟還是新興技術(shù)，在當(dāng)今各種安全威脅無(wú)處不在的情況下，SDN網(wǎng)絡(luò)架構(gòu)的控制器集中化管控是否會(huì)帶來(lái)新的安全威脅?

楊光：從長(zhǎng)遠(yuǎn)來(lái)看，一個(gè)更加開(kāi)放、更加靈活的網(wǎng)絡(luò)架構(gòu)不可避免地會(huì)引入新的安全風(fēng)險(xiǎn)。SDN架構(gòu)確實(shí)可能會(huì)帶來(lái)額外的安全風(fēng)險(xiǎn)，這一問(wèn)題也已經(jīng)引起了產(chǎn)業(yè)界的廣泛關(guān)注，比如ONF組織就已經(jīng)成立了專門的安全工作組，對(duì)SDN的安全風(fēng)險(xiǎn)和解決方案進(jìn)行評(píng)估和研究。

陳端:傳統(tǒng)的網(wǎng)絡(luò)安全與業(yè)務(wù)安全相互分離。網(wǎng)絡(luò)安全包括防火墻、IDPS、流量清洗等設(shè)備，業(yè)務(wù)安全包括身份認(rèn)證、鑒權(quán)、審計(jì)等。對(duì)于業(yè)務(wù)系統(tǒng)而言，很難調(diào)用傳統(tǒng)網(wǎng)絡(luò)的能力；反過(guò)來(lái)，傳統(tǒng)網(wǎng)絡(luò)也很難感知上層業(yè)務(wù)，從而做出有針對(duì)性的安全防護(hù)。在SDN網(wǎng)絡(luò)架構(gòu)下，業(yè)務(wù)安全系統(tǒng)能夠從網(wǎng)絡(luò)中獲取更加豐富的信息，甚至直接采取安全操作，對(duì)網(wǎng)絡(luò)流量鏡像、阻斷和過(guò)濾等，因此SDN架構(gòu)也可以增強(qiáng)網(wǎng)絡(luò)安全。然而新的功能實(shí)體、協(xié)議、接口可能成為新的攻擊面，傳統(tǒng)安全威脅的形式也會(huì)發(fā)生改變，如業(yè)務(wù)可能直接通過(guò)北向接口對(duì)網(wǎng)絡(luò)資源進(jìn)行非法操作、來(lái)自南向接口的DoS攻擊帶來(lái)的影響會(huì)變得更加顯著。

薛玉紅：作為網(wǎng)絡(luò)集中化控制的控制器是SDN網(wǎng)絡(luò)的核心，其可靠性和安全性非常重要，其可能存在的負(fù)載過(guò)大、單點(diǎn)失效、易受網(wǎng)絡(luò)攻擊等一直是亟待解決的問(wèn)題。

中興通訊很早就認(rèn)識(shí)到SDN網(wǎng)絡(luò)的安全性、可靠性問(wèn)題，尤其是SDN網(wǎng)絡(luò)的大腦——SDN控制器的安全性問(wèn)題。在中興ElasticNet彈性網(wǎng)絡(luò)戰(zhàn)略中，有專門的安全性子方案、可靠性子方案。早在2014年9月，中興通訊就升級(jí)了SDN控制器，助力產(chǎn)業(yè)加速大規(guī)模商用部署，其中的重點(diǎn)就是增強(qiáng)安全性和可靠性。

控制器安全成重中之重

《通信世界》SDN采取集中控制的架構(gòu)，控制器和應(yīng)用容易受到攻擊，SDN嶄新架構(gòu)下，也不可避免地帶來(lái)了安全威脅，企業(yè)或運(yùn)營(yíng)商部署SDN時(shí)，網(wǎng)絡(luò)安全該如何保障？

楊光：如何在網(wǎng)絡(luò)的成本、收益和安全性之間尋求平衡將是產(chǎn)業(yè)界面臨的長(zhǎng)期課題，SDN安全問(wèn)題的解決方案有賴于業(yè)界多方的緊密合作，從而共同推動(dòng)相關(guān)安全技術(shù)的研發(fā)和標(biāo)準(zhǔn)化。

陳端：SDN控制器相當(dāng)于網(wǎng)絡(luò)操作系統(tǒng)。在網(wǎng)絡(luò)設(shè)計(jì)上，網(wǎng)絡(luò)控制器可以采用集群、備份和帶外管理等方式解決自身的安全問(wèn)題；運(yùn)營(yíng)商能通過(guò)網(wǎng)絡(luò)應(yīng)用的方式實(shí)現(xiàn)虛擬化的安全功能，監(jiān)控全網(wǎng)中與安全事件相關(guān)的流量，進(jìn)而對(duì)全網(wǎng)進(jìn)行統(tǒng)一安全策略部署，以達(dá)到保障網(wǎng)絡(luò)安全的目的。由于業(yè)務(wù)可能直接通過(guò)北向接口API對(duì)網(wǎng)絡(luò)資源進(jìn)行操作，因此必須防止業(yè)務(wù)和應(yīng)用對(duì)網(wǎng)絡(luò)發(fā)起的有意和無(wú)意攻擊。通過(guò)將客戶區(qū)分為不同等級(jí)，并將相關(guān)客戶的網(wǎng)絡(luò)資源進(jìn)行邏輯隔離和切分，網(wǎng)絡(luò)虛擬化技術(shù)可以防止用戶業(yè)務(wù)之間的相互干擾，并能在網(wǎng)絡(luò)出現(xiàn)問(wèn)題之后，迅速對(duì)其進(jìn)行隔離。在企業(yè)和運(yùn)營(yíng)商部署SDN網(wǎng)絡(luò)時(shí)，預(yù)計(jì)虛擬化技術(shù)將在網(wǎng)絡(luò)安全中發(fā)揮重要作用。

薛玉紅：SDN控制器是SDN解決方案中的核心部件之一，SDN控制器對(duì)不同轉(zhuǎn)發(fā)面的兼容控制能力、對(duì)不同應(yīng)用場(chǎng)景的支持能力、可編程能力以及可擴(kuò)展性能力，決定了其核心的客戶價(jià)值。

中興通訊彈性網(wǎng)絡(luò)控制器采用多進(jìn)程隔離、分布式集群設(shè)計(jì)，系統(tǒng)的可用性達(dá)到99.999%，保證可分布式架構(gòu)下的最佳負(fù)載均衡和最小復(fù)制開(kāi)銷。針對(duì)控制器實(shí)際部署中越來(lái)越突出的安全性問(wèn)題，中興通訊彈性網(wǎng)絡(luò)控制器可以實(shí)現(xiàn)身份認(rèn)證、授權(quán)以及用戶訪問(wèn)審計(jì)功能。同時(shí)，新版本在安全方面有了很大的增強(qiáng)，可以確?？蛻羯逃貌渴鸬男枨?。中興將努力提供一個(gè)可裁剪、可擴(kuò)展、多廠家互通兼容的開(kāi)放SDN解決方案。