最近葵孤,在舊金山舉行VMworld 2015會議上,VMware CEO Pat Gelsinger在一個主題演講中著重推銷了VMware的網(wǎng)絡(luò)虛擬化技術(shù)(基于SDN的網(wǎng)絡(luò)虛擬化技術(shù))橱赠。但是從安全性角度而言尤仍,外界對SDN的看法也有不同的聲音。
SDN的優(yōu)勢以及發(fā)展前景
VMware最近剛剛發(fā)布了它的網(wǎng)絡(luò)虛擬化產(chǎn)品-NSX-的最新版本NSX6.2狭姨。發(fā)布兩年多以來宰啦,已經(jīng)有多于100個客戶在實際部署中使用NSX苏遥,美國石油巨頭Marathon Oil也是其客戶之一。
Pat Gelsinger表示赡模,網(wǎng)絡(luò)虛擬化(即SDN)是安全架構(gòu)實現(xiàn)方面的一項顛覆性的技術(shù)田炭,這是第一次我們能夠?qū)踩夹g(shù)構(gòu)建在架構(gòu)內(nèi)部,我們堅信構(gòu)建在架構(gòu)內(nèi)部的安全技術(shù)能夠達(dá)到兩倍的安全性并且只需要一半的代價纺裁。
“通常來說诫肠,IT架構(gòu)都是從網(wǎng)絡(luò)設(shè)備到服務(wù)器再到應(yīng)用一層一層構(gòu)建起來的,而這種架構(gòu)是非常脆弱的”欺缘,VMware高級副總裁Martin Casado表示栋豫。傳統(tǒng)網(wǎng)絡(luò)的復(fù)雜配置給數(shù)據(jù)中心整個架構(gòu)的管理帶來了很大的障礙,而基于SDN的網(wǎng)絡(luò)虛擬化卻可以集中控制整個網(wǎng)絡(luò)的配置谚殊,并且配置信息可以隨設(shè)備一起移動丧鸯,這無疑將提供很大的靈活性。
SDN是近來網(wǎng)絡(luò)領(lǐng)域非衬坌酰火熱的概念丛肢。諸多預(yù)測認(rèn)為SDN將在未來幾年達(dá)到三十億美元的規(guī)模,并且會呈現(xiàn)出一個高速增長的趨勢剿干。SDN的核心思想在于將轉(zhuǎn)發(fā)和控制進(jìn)行分離蜂怎,對應(yīng)著硬件SDN交換機(jī)以及網(wǎng)絡(luò)控制器,用戶通過對網(wǎng)絡(luò)控制器的編程能夠靈活的進(jìn)行網(wǎng)絡(luò)配置及網(wǎng)絡(luò)優(yōu)化置尔。
SDN存在的安全性問題
然而杠步,從安全性角度而言,對SDN的看法也有不同的聲音榜轿。例如SDN的控制器作為一個中央控制軟件幽歼,更加容易受到攻擊,而且一旦攻擊者獲得了SDN控制器的權(quán)限谬盐,整個網(wǎng)絡(luò)都將暴露在危險中甸私。例如在前段時間思科發(fā)布安全通告中,稱之前的SDN控制器中存在漏洞飞傀,能夠讓攻擊者以Root用戶身份訪問系統(tǒng)并運行Root命令皇型;傳統(tǒng)的網(wǎng)絡(luò)設(shè)備是一個完全自治的系統(tǒng),各個系統(tǒng)之間只是數(shù)據(jù)傳遞的關(guān)系砸烦,而由于SDN采用集中控制的方式進(jìn)行管理犀被,SDN控制器將會被各種不同的系統(tǒng)訪問,這將給SDN增添很多新的攻擊風(fēng)險外冀;“SDN創(chuàng)建了一個抽象層,這將帶來很多新的攻擊面掀泳,例如OpenFlow協(xié)議雪隧、供應(yīng)商API等”西轩,Gartner分析師Neil MacDonald表示。
雖然目前而言SDN尚未大規(guī)模替代傳統(tǒng)網(wǎng)絡(luò)脑沿,但是面對火熱的SDN藕畔,很多專家們卻也為SDN提出了諸多安全性建議,例如核心通信協(xié)議之間進(jìn)行加密庄拇、固件化部分配置注服、管理身份認(rèn)證、積極監(jiān)控數(shù)據(jù)源信息等措近。面對大家所關(guān)心的安全問題溶弟,也有專家對SDN系統(tǒng)的攻擊途徑進(jìn)行了評估,總結(jié)了對SDN數(shù)據(jù)層瞭郑、控制器層及SDN層的多種攻擊途徑辜御,并從預(yù)測攻擊途徑的角度總結(jié)了如何提升SDN安全性的方法。
總結(jié)
雖然SDN在安全性上的表現(xiàn)可能不如Pat Gelsinger 所鼓吹的那樣令人滿意屈张,然而SDN在對數(shù)據(jù)中心大集群配置方面的靈活性則是很多企業(yè)非城苋ǎ看重的。隨著SDN技術(shù)的逐漸成熟阁谆,也期待新的SDN產(chǎn)品對安全性有更加完備考慮碳抄。
本文轉(zhuǎn)載自:http://www.infoq.com/cn/news/2015/09/network-virtualization-better-se
