随着SDN技术应用到生产网络,SDN安全问题也尾随而至,企业在推动SDN产品化的同时CISO(首席信息安全官)也在寻找捍卫SDN网络安全的方法。年初,ESG发布了一项名为“云与移动时代的安全趋势”的调研报告。ESG调研了321位网络安全工作者了解他们所在单位的网络和网络安全策略。
调查显示SDN很受关注,很多公司都已经部署或是打算部署SDN。SDN来势汹汹,但是不得不承认SDN是一项新兴技术,它还存在很多隐患。就安全性来讲,SDN存在尚未解决的安全问题,这些问题包括产品中不成熟的安全功能以及SDN控制器单点故障带来的风险。最令人恐慌的是目前的SDN版本,例如基于OpenFlow的SDN对网络安全很少提及。
但是,SDN安全问题也没有那么糟糕,相较于传统网络交换机,SDN产品的代码库比较精简,减少了攻击者发现漏洞的机会。况且,SDN提供对网络设备的集中式、自动化管理和统一的策略执行,与目前的网络架构相比提高了可靠性、安全性。而传统的网络安全应用,如访问控制、防火墙、入侵检测、入侵防御等也可利用SDN控制器的开放API实现或者方便地集成到SDN中。
这样看来,SDN进入企业只是早晚的问题。企业首次部署SDN技术时网络团队将扮演重要角色,负责SDN的监督和运营工作。ESG调研结果显示:
- 16%的企业在采用SDN安全用例前会给网络团队1年多时间了解SDN的功能和操作。
- 41%的企业在采用SDN安全用例前会给网络团队6到9个月了解SDN的功能和操作。
- 28%的企业在采用SDN安全用例前会给网络团队3到6个月了解SDN的功能和操作。
由此看来,SDN将会分步进入企业,先应用于数据通信,随后才用于网络安全。这项报告很具有参考价值,从报告结果看来CISO应该采取以下措施:
- 用3到6个月的时间计划SDN项目。CISO应该先拟定网络安全结构,然后选取最适合的SDN安全用例,接着提出正式的项目计划。简而言之,就是做好充足的准备,一旦SDN通过网络团队的考察就将SDN用于网络安全方面。
- 发散思维,跳出盒子思考。SDN可以给网络安全带来很大改变。例如,SDN可以为Emulex、Intel和Solarflare的智能安全为导向的 NICs引入一个网络安全角色。 CISO应该秉持开放的理念,寻找可以提高安全操作效率,帮助他们处理安全业务的新技术。
- 推动设备商参与并支持项目。SDN很多方面依旧是模棱两可的,尤其是安全领域,一些网络安全设备商提出含糊不清的观点,并且大肆炒作,但是对于真正的项目计划而言其中的信息量太有限了。CISO应该促使设备商公开他们的SDN产品计划和策略。SDN有潜力影响网络安全,所以CISO必须争取设备商的支持,共同推动SDN扎根网络安全领域。
舍得舍得,先舍才能得,安全设备商必须将眼光放长远。SDN顺利应用到网络安全方面后很多用户将会需要帮助、培训和支持,前期的投入很快就能看到回报,但是前提是能够为用户提供高质量的SDN安全。所以,开放共享才是王道。
参考自:http://www.networkworld.com/article/2851631/cisco-subnet/sdn-networking-followed-by-sdn-security.html
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。