對話(huà)嘉賓:
上海貝爾戰略部高級經(jīng)理 陳端
中興通訊SDN首席架構師 薛育紅
Strategy Analytics無(wú)線(xiàn)運營(yíng)商戰略高級分析師 楊光
目前,云計算的時(shí)代已經(jīng)到來(lái),云計算要求網(wǎng)絡(luò )系統應用和服務(wù)具有極高的彈性和靈活性。傳統網(wǎng)絡(luò )繁冗的架構已成為云計算的絆腳石,而SDN所具有的網(wǎng)絡(luò )設備“控制與轉發(fā)分離”、“軟件與硬件解耦”、“虛擬化接入”等技術(shù)優(yōu)勢可有效解決傳統網(wǎng)絡(luò )難題。SDN的出現,打破了網(wǎng)絡(luò )領(lǐng)域多年來(lái)的沉寂,成為幾乎每個(gè)專(zhuān)業(yè)領(lǐng)域的熱門(mén)議題。作為一種嶄新的網(wǎng)絡(luò )架構,SDN使得網(wǎng)絡(luò )系統面臨數十年未有之變局。不過(guò),SDN擁有眾多優(yōu)勢的同時(shí),其嶄新的架構也不可避免地帶來(lái)諸多安全問(wèn)題。
嶄新架構伴隨安全威脅
筆者:SDN這一嶄新的架構正席卷而來(lái),每一項創(chuàng )新技術(shù)解決傳統網(wǎng)絡(luò )問(wèn)題的同時(shí),勢必帶來(lái)新的威脅。SDN畢竟還是新興技術(shù),在當今各種安全威脅無(wú)處不在的情況下,SDN網(wǎng)絡(luò )架構的控制器集中化管控是否會(huì )帶來(lái)新的安全威脅?
楊光:從長(cháng)遠來(lái)看,一個(gè)更加開(kāi)放、更加靈活的網(wǎng)絡(luò )架構不可避免地會(huì )引入新的安全風(fēng)險。SDN架構確實(shí)可能會(huì )帶來(lái)額外的安全風(fēng)險,這一問(wèn)題也已經(jīng)引起了產(chǎn)業(yè)界的廣泛關(guān)注,比如ONF組織就已經(jīng)成立了專(zhuān)門(mén)的安全工作組,對SDN的安全風(fēng)險和解決方案進(jìn)行評估和研究。
陳端:傳統的網(wǎng)絡(luò )安全與業(yè)務(wù)安全相互分離。網(wǎng)絡(luò )安全包括防火墻、IDPS、流量清洗等設備,業(yè)務(wù)安全包括身份認證、鑒權、審計等。對于業(yè)務(wù)系統而言,很難調用傳統網(wǎng)絡(luò )的能力;反過(guò)來(lái),傳統網(wǎng)絡(luò )也很難感知上層業(yè)務(wù),從而做出有針對性的安全防護。
在SDN網(wǎng)絡(luò )架構下,業(yè)務(wù)安全系統能夠從網(wǎng)絡(luò )中獲取更加豐富的信息,甚至直接采取安全操作,對網(wǎng)絡(luò )流量鏡像、阻斷和過(guò)濾等,因此SDN架構也可以增強網(wǎng)絡(luò )安全。然而新的功能實(shí)體、協(xié)議、接口可能成為新的攻擊面,傳統安全威脅的形式也會(huì )發(fā)生改變,如業(yè)務(wù)可能直接通過(guò)北向接口對網(wǎng)絡(luò )資源進(jìn)行非法操作、來(lái)自南向接口的DoS攻擊帶來(lái)的影響會(huì )變得更加顯著(zhù)。
薛玉紅:作為網(wǎng)絡(luò )集中化控制的控制器是SDN網(wǎng)絡(luò )的核心,其可靠性和安全性非常重要,其可能存在的負載過(guò)大、單點(diǎn)失效、易受網(wǎng)絡(luò )攻擊等一直是亟待解決的問(wèn)題。
中興通訊很早就認識到SDN網(wǎng)絡(luò )的安全性、可靠性問(wèn)題,尤其是SDN網(wǎng)絡(luò )的大腦——SDN控制器的安全性問(wèn)題。在中興ElasticNet彈性網(wǎng)絡(luò )戰略中,有專(zhuān)門(mén)的安全性子方案、可靠性子方案。早在2014年9月,中興通訊就升級了SDN控制器,助力產(chǎn)業(yè)加速大規模商用部署,其中的重點(diǎn)就是增強安全性和可靠性。
控制器安全成重中之重
筆者:SDN采取集中控制的架構,控制器和應用容易受到攻擊,SDN嶄新架構下,也不可避免地帶來(lái)了安全威脅,企業(yè)或運營(yíng)商部署SDN時(shí),網(wǎng)絡(luò )安全該如何保障?
楊光:如何在網(wǎng)絡(luò )的成本、收益和安全性之間尋求平衡將是產(chǎn)業(yè)界面臨的長(cháng)期課題,SDN安全問(wèn)題的解決方案有賴(lài)于業(yè)界多方的緊密合作,從而共同推動(dòng)相關(guān)安全技術(shù)的研發(fā)和標準化。
陳端:SDN控制器相當于網(wǎng)絡(luò )操作系統。在網(wǎng)絡(luò )設計上,網(wǎng)絡(luò )控制器可以采用集群、備份和帶外管理等方式解決自身的安全問(wèn)題;運營(yíng)商能通過(guò)網(wǎng)絡(luò )應用的方式實(shí)現虛擬化的安全功能,監控全網(wǎng)中與安全事件相關(guān)的流量,進(jìn)而對全網(wǎng)進(jìn)行統一安全策略部署,以達到保障網(wǎng)絡(luò )安全的目的。由于業(yè)務(wù)可能直接通過(guò)北向接口A(yíng)PI對網(wǎng)絡(luò )資源進(jìn)行操作,因此必須防止業(yè)務(wù)和應用對網(wǎng)絡(luò )發(fā)起的有意和無(wú)意攻擊。通過(guò)將客戶(hù)區分為不同等級,并將相關(guān)客戶(hù)的網(wǎng)絡(luò )資源進(jìn)行邏輯隔離和切分,網(wǎng)絡(luò )虛擬化技術(shù)可以防止用戶(hù)業(yè)務(wù)之間的相互干擾,并能在網(wǎng)絡(luò )出現問(wèn)題之后,迅速對其進(jìn)行隔離。在企業(yè)和運營(yíng)商部署SDN網(wǎng)絡(luò )時(shí),預計虛擬化技術(shù)將在網(wǎng)絡(luò )安全中發(fā)揮重要作用。
薛玉紅:SDN控制器是SDN解決方案中的核心部件之一,SDN控制器對不同轉發(fā)面的兼容控制能力、對不同應用場(chǎng)景的支持能力、可編程能力以及可擴展性能力,決定了其核心的客戶(hù)價(jià)值。
中興通訊彈性網(wǎng)絡(luò )控制器采用多進(jìn)程隔離、分布式集群設計,系統的可用性達到99.999%,保證可分布式架構下的最佳負載均衡和最小復制開(kāi)銷(xiāo)。針對控制器實(shí)際部署中越來(lái)越突出的安全性問(wèn)題,中興通訊彈性網(wǎng)絡(luò )控制器可以實(shí)現身份認證、授權以及用戶(hù)訪(fǎng)問(wèn)審計功能。同時(shí),新版本在安全方面有了很大的增強,可以確保客戶(hù)商用部署的需求。中興將努力提供一個(gè)可裁剪、可擴展、多廠(chǎng)家互通兼容的開(kāi)放SDN解決方案。
