关于软件定义网络SDN的安全优缺点

近几年的SDN 已经成功由一个想法转变成一个范例，SDN指的是软件定义网络，不仅被大型供应商接受外还被当成是未来的网络管理的模型，它的发展为网络增加了更大的力度、动态性、及可管理性。同样也带来了另外的问题，在安全方面SDN又面临什么样的挑战呢？今日小编要和大家探讨一下关于SDN的定义及关于网络安全的优劣势。

何为SDN？

SDN是可以在路由器和交换机的控制平面中独立出数据平面。这个控制平面最初是独有的，这个数据平面知情权只有开发它们的供应商拥有，在SDN中的这个数据控制平面被集中控制，将命令和逻辑发送回硬件（路由器或交换机）的数据平面，而且是属于开放的。

使用SDN方便进行整个网络的审视，还有集中更改的作用，不用在根据每个路由器或者是交换机上分别进行相关的配置更改。利用开放协议管理控制平面能力，允许对网络或者设备进行精确的替换，这对网络安全优化速度提高十分有帮助。

安全方面的优势

任何技术的革新带来的都是双面的影响，软件定义网络也一样，

• 使用自有移动式的SDN，工程师可以快速且高水平审查所有网络区域及时修改网络来改变规则。 

• 可以拥有更好的安全性。通过高效的中央视角审查网络内部功能，相关人员可以及时更改。例如，网络中出现了恶意软件，在SDN和OpenFlow能够迅速地从集中控制平面阻止这种流量来抵制这样事情的发生，还节省访问多个路由器或交换机的步骤。

• 迅速对网络作出调整的能力使管理人员能够以更安全的方式来执行流量×××和数据包QoS。这种能力现在已经存在，但速度和效率不好，当管理人员在试图保护网络安全时，这将限制他们的能力。

安全方面的劣势

在部署SDN时需不可以忽视的问题。大部分的软件定义网络的安全问题是围绕控制器本身。主要有以下几点：

• 需要了解和审核谁访问过控制器以及控制器在网络中的位置。需要记住——访问控制器可能让攻击者完全控制，所以保护控制器的安全是必要的。

• 检查路由器或交换机之间的安全性—特别是它们正在通过SSL通信来防止来自控制器的任何恶意访问。正如其他任何技术一样，如果没有从一开始考虑安全性，那么你必须在稍后增加安全性，但这样做往往更加困难且昂贵。

• 需要确认正确配置节点与控制器两者之间的安全性。

• 确认控制器的高可用性。为控制器创造业务连续性是很重要的，一旦控制器丢失的话，管理网络的能力也就丢失了，SDN和OpenFlow的作用将丧失。

• 确认系统的任何变化都进行了日志记录。

• 在部署SDN时，确保企业中可能阻止或记录变化的SIEM、IPS及任何其他过滤技术进行了相应的更新。同时，关联来自SIEM的日志以提醒管理人员变化情况。通过SIEM跟踪自定义事件（例如登录失败和政策变化）将确保系统的安全性。

• 确保IPS没有将这种流量认为是恶意流量。在该过滤系统中配置相应的规则以允许控制器在需要的时候与节点通信。

综上，SDN属于新兴技术，通过为管理员提供企业网络的完整视图而允许细粒度安全性。然而，鉴于SDN控制器能够集中管理网络节点以向这些系统“推行”更改，我们非常有必要确保围绕该系统的安全性。现在企业应该确保在SDN的设计、部署和管理过程中，安全是首要考虑因素。