張倩

（云南電網(wǎng)有限責(zé)任公司昆明供電局 云南省昆明市 650011）

軟件定義網(wǎng)絡(luò)的應(yīng)用不僅突出了網(wǎng)絡(luò)的動態(tài)性特點(diǎn)，還提升了網(wǎng)絡(luò)的安全性。開發(fā)人員在最初設(shè)計軟件定義網(wǎng)絡(luò)和網(wǎng)絡(luò)功能虛擬化兩種架構(gòu)的時候，就已經(jīng)對安全問題進(jìn)行了充分的考慮所以軟件定義網(wǎng)絡(luò)和網(wǎng)絡(luò)功能虛擬化具備全新的安全功能，即便是遭受到網(wǎng)絡(luò)攻擊，也可以毫無壓力的提升響應(yīng)速度，為用戶提供的服務(wù)也不會被迫中斷。其中，軟件定義網(wǎng)絡(luò)還可以有效拓展網(wǎng)絡(luò)，從而遭受網(wǎng)絡(luò)攻擊的同時，可以對額外流量進(jìn)行妥善的處理。這種網(wǎng)絡(luò)可以通過虛擬化按需防御來達(dá)到保護(hù)目的，而防御則可以進(jìn)行安全軟件及其相關(guān)服務(wù)的提供，直接構(gòu)建于分布式云環(huán)境，集成于云供應(yīng)流程。

1 邊界網(wǎng)絡(luò)模型

軟件定義網(wǎng)絡(luò)和網(wǎng)絡(luò)功能虛擬化技術(shù)的應(yīng)用意味著傳統(tǒng)的安全架構(gòu)有了階段性的發(fā)展與進(jìn)步。傳統(tǒng)的安全方法的應(yīng)用以防火墻為基礎(chǔ)，主要是對企業(yè)內(nèi)部的可信實(shí)體進(jìn)行保護(hù)，避免外部實(shí)體通過公共互聯(lián)網(wǎng)對其進(jìn)行隨意訪問。而邊界視圖的應(yīng)用目的是為了對處于防火墻內(nèi)部的企業(yè)資料進(jìn)行絕對的保護(hù)，避免其遭受外部實(shí)體的不可信訪問。所以，在過去的30年中，安全架構(gòu)師進(jìn)行保護(hù)設(shè)計的時候，一直將邊界網(wǎng)絡(luò)模型視為支柱級別的存在。但是連接決策以及演進(jìn)威脅的存在，直接降低了企業(yè)對邊界網(wǎng)絡(luò)模型的信任感與認(rèn)可度。再加上部分企業(yè)也開始對互聯(lián)網(wǎng)中的各種新奇資源進(jìn)行訪問，電子郵件也在時代發(fā)展過程中成為商業(yè)通信的首選。企業(yè)要想融入整個互聯(lián)網(wǎng)環(huán)境中，就只能允許可信邊界環(huán)境的連接方式。但是，這些都是以防火墻規(guī)則的創(chuàng)建為基礎(chǔ)的，而規(guī)則為了向所需服務(wù)提供支持，就必須要允許雙向連接。而這很有可能造成外來網(wǎng)站和電子郵件發(fā)件人直接獲得企業(yè)內(nèi)部網(wǎng)絡(luò)的訪問權(quán)限。近幾年來，互聯(lián)網(wǎng)中出現(xiàn)了很多新興的外部鏈接，邊界架構(gòu)的應(yīng)用在安全方面已經(jīng)暴露出了很多弊端，單純依靠邊界架構(gòu)，企業(yè)內(nèi)部關(guān)鍵基礎(chǔ)設(shè)施服務(wù)受到網(wǎng)絡(luò)攻擊的可能性越來越大。

2 軟件定義網(wǎng)絡(luò)的安全優(yōu)勢

針對應(yīng)用了軟件定義網(wǎng)絡(luò)和網(wǎng)絡(luò)功能虛擬化技術(shù)的生態(tài)系統(tǒng)行業(yè)，只有實(shí)現(xiàn)轉(zhuǎn)型，才能夠?qū)⒏嗟陌踩珒?yōu)勢提供給相應(yīng)的服務(wù)和云提供商。而在可拓展運(yùn)營商及進(jìn)行方案安全優(yōu)勢得以實(shí)現(xiàn)的同時，行業(yè)和標(biāo)準(zhǔn)化組織、安全供應(yīng)商的發(fā)展也發(fā)揮著十分積極的促進(jìn)作用。目前，軟件定義網(wǎng)絡(luò)和網(wǎng)絡(luò)功能虛擬化部署產(chǎn)生的安全優(yōu)勢主要體現(xiàn)在以下三方面。

2.1 設(shè)計增強(qiáng)

圖1：深度防御架構(gòu)

軟件定義網(wǎng)絡(luò)和網(wǎng)絡(luò)功能虛擬化具備靈活性和安全功能，甚至可以直接將安全功能與相關(guān)解決方案融合在一起，而不是將安全功能變成網(wǎng)絡(luò)或者其他基礎(chǔ)設(shè)施構(gòu)建、定義之后的附加組件。而要想將安全功能融入到實(shí)際的設(shè)計過程中，必須要對安全解決方案優(yōu)化予以充分的考慮，從而在成本得到控制的同時，將安全功能涉及到具體的某一個位置，使用某一種方式提供最佳的安全覆蓋范圍。其中網(wǎng)絡(luò)功能虛擬化技術(shù)可以將安全組件涉及到最合適的位置，而軟件定義網(wǎng)絡(luò)技術(shù)則使得安全組件的功能更加靈活。軟件定義網(wǎng)絡(luò)與網(wǎng)絡(luò)功能虛擬化技術(shù)的結(jié)合，是以特定流量來進(jìn)行安全控制的設(shè)計的，所以可以根據(jù)需要解決的實(shí)際安全風(fēng)險，為特定流量流經(jīng)的單臺安全設(shè)備或者多臺安全設(shè)備提供支持。而這，又被人們稱為“深度防御架構(gòu)”，如圖1 所示。其中，供應(yīng)商1 安全工具可以設(shè)置成防火墻，供應(yīng)商2 安全工具可以設(shè)置成入侵檢測系統(tǒng)，供應(yīng)商3 安全工具則可以設(shè)置成數(shù)據(jù)泄露保護(hù)。如果在實(shí)際情況中，不會出現(xiàn)數(shù)據(jù)泄露的風(fēng)險，那么就可以引導(dǎo)流量只經(jīng)過防火墻和入侵檢測系統(tǒng)。操作這樣的服務(wù)鏈能力，既可以對基礎(chǔ)設(shè)施中所需數(shù)據(jù)泄露保護(hù)控制數(shù)量進(jìn)行優(yōu)化，保證運(yùn)行效率，又可以讓非敏感信息迅速而安全的通過網(wǎng)絡(luò)[1]。

另外，軟件定義網(wǎng)絡(luò)和網(wǎng)絡(luò)功能虛擬化技術(shù)所具備的靈活性還可以對所用工具進(jìn)行合理的優(yōu)化。因為與傳統(tǒng)的實(shí)現(xiàn)方案做對比，軟件定義網(wǎng)絡(luò)還可以對所用工具進(jìn)行混合或者匹配。在傳統(tǒng)的環(huán)境中，很多安全功能都集中在邊界位置。邊界控制點(diǎn)可以為少數(shù)大型安全設(shè)備提供支持和鼓勵。這些設(shè)備又通常具備防火墻、入侵檢測等多種功能。雖然這些工具可以將其自身的作用發(fā)揮出來，但是與所有類型流量的契合度則得不到保證，也不一定是所有領(lǐng)域的最佳工具。而服務(wù)鏈的應(yīng)用，就可以按照實(shí)際需求將最佳安全功能提供給每一種流量。在這一過程中，既可能使用單個供應(yīng)商的多個工具，也可能使用多個供應(yīng)商的工具?；蛘撸部梢灾苯痈鶕?jù)需求，及時作出決定，并進(jìn)行流量的構(gòu)建。另外，每一種安全工具的大小取決于本地需求，其相應(yīng)的服務(wù)有一組邊界安全控制。也就是說，這是一種本地化的方案，可以對安全要求和需要進(jìn)行最大限度的滿足。由此而制作出來的解決方案質(zhì)量也就比以邊界為基礎(chǔ)的解決方案更好。而且，這些安全優(yōu)勢，還適用于啟動和環(huán)境生命期間內(nèi)。使得安全工具的部署以及混合供應(yīng)商之間的發(fā)展更加輕松、便捷、高效。另外，軟件定義網(wǎng)絡(luò)和網(wǎng)絡(luò)功能虛擬化技術(shù)還可以使多個供應(yīng)商的特定類型工具的部署能力得到明顯的強(qiáng)化，讓特定流量指向同類別的安全工具中最佳的一個。而這些功能的完成都依靠于軟件定義網(wǎng)絡(luò)技術(shù)及其相關(guān)集中控制器，集中化還可以為安全功能的跨基礎(chǔ)設(shè)施分布提供保證，按照保證工作方式的協(xié)調(diào)一致性。只有這樣，才能夠保證安全性的適當(dāng)性與需要[2]。

2.2 性能改善

軟件定義網(wǎng)絡(luò)和網(wǎng)絡(luò)功能虛擬化技術(shù)的應(yīng)用還可以對環(huán)境的安全性進(jìn)行增強(qiáng)，對虛擬機(jī)進(jìn)行更加輕松、快捷的修復(fù)。一般情況下，軟件定義網(wǎng)絡(luò)和網(wǎng)絡(luò)功能虛擬化技術(shù)可以直接利用軟件的修正版來進(jìn)行新功能實(shí)例進(jìn)行簡單的創(chuàng)建，之后再將流量重定向到新實(shí)例中，以此來達(dá)到啟用修補(bǔ)系統(tǒng)的目的。所以，軟件定義網(wǎng)絡(luò)和網(wǎng)絡(luò)功能虛擬化技術(shù)的應(yīng)用既對新實(shí)例的部署進(jìn)行了簡化，又實(shí)現(xiàn)了新實(shí)例的過渡。而且，整個修復(fù)過程自動化水平非常高，且不會對相關(guān)應(yīng)用的操作和運(yùn)行性能產(chǎn)生任何影響，清單也會自動更新。另外，事件響應(yīng)過程的改善方式也比較多。如果虛擬功能的其中一部分實(shí)例參與事件，那么直接關(guān)閉就可以，不會出現(xiàn)整個功能脫機(jī)的問題。而且，無論受到影響的是虛擬化網(wǎng)絡(luò)功能的一個實(shí)例，還是多個實(shí)例，都可以通過軟件定義網(wǎng)絡(luò)對虛擬化網(wǎng)絡(luò)功能的實(shí)例進(jìn)行簡化，同時向新實(shí)例過渡。而虛擬化網(wǎng)絡(luò)功能新實(shí)例的實(shí)例化，還需要對受影響的虛擬化網(wǎng)絡(luò)功能快照的凍結(jié)與獲取進(jìn)行充分的考慮，從而確保取證操作得到有力的信息支持服務(wù)[3]。

2.3 實(shí)時功能

軟件定義網(wǎng)絡(luò)可以快速響應(yīng)安全事件。而在安全領(lǐng)域中，主要包含以下兩方面：第一可能添加的額外容量實(shí)例，第二通過其他不同安全控制來路由流量。而軟件定義網(wǎng)絡(luò)的實(shí)時功能主要體現(xiàn)在于分布式拒絕服務(wù)的對抗方面。目前，軟件定義網(wǎng)絡(luò)具備對抗分布式拒絕服務(wù)的功能和服務(wù)。但是，同時也受到存在與丟棄有效或者預(yù)期流量的一系列風(fēng)險，所以激活控制時延的問題時有發(fā)生。另外，軟件定義網(wǎng)絡(luò)和網(wǎng)絡(luò)功能虛擬化技術(shù)的應(yīng)用，還可以對受影響的約束資源進(jìn)行有效的拓展，從而對自己能夠提供的性能進(jìn)行優(yōu)化，確保其可以有效的評估流量及其他控制的影響。例如，如果僵尸網(wǎng)絡(luò)產(chǎn)生攻擊應(yīng)用的行為，應(yīng)用實(shí)例就會承受不住壓力。但是，一旦出現(xiàn)過載情況，編排器就可以對虛擬化網(wǎng)絡(luò)功能的其他實(shí)例進(jìn)行虛擬化，增強(qiáng)覆蓋流量。與此同時，分析并啟動其他空間的命令被執(zhí)行，在需求減少的時候就會對虛擬化網(wǎng)絡(luò)功能的其他實(shí)例進(jìn)行自動刪除[4]。

3 現(xiàn)階段軟件定義網(wǎng)絡(luò)面臨的問題

在互聯(lián)網(wǎng)時代下，我們發(fā)現(xiàn)軟件定義網(wǎng)絡(luò)具備明確的安全優(yōu)勢的同時，還有很多問題沒有得到解決。最主要的問題主要體現(xiàn)在以下三方面。

3.1 應(yīng)用平臺

目前，應(yīng)用平臺中還沒有形成系統(tǒng)的安全保護(hù)機(jī)制。在這種情況下，數(shù)據(jù)平臺中的網(wǎng)絡(luò)設(shè)備要想對數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)、接收等處理操作，就必須要依賴于控制平臺的運(yùn)行。但是實(shí)際情況卻是，如果應(yīng)用程序在運(yùn)行過程中遭到破壞，那么將會出現(xiàn)一些潛在風(fēng)險，甚至對數(shù)據(jù)的接收與轉(zhuǎn)發(fā)產(chǎn)生影響。而面臨的潛在風(fēng)險主要包含以下幾種：第一假冒身份、第二篡改程序、第三程序自身配置的缺陷、第四授權(quán)獲取失敗[5]。

3.2 控制平臺

目前，控制平臺是種過渡裝置，它在軟件定義系統(tǒng)中的作用主要是將數(shù)據(jù)平臺與應(yīng)用平臺連接起來。但是，控制平面又是軟件定義網(wǎng)絡(luò)安全鏈條中相對薄弱的環(huán)節(jié)，經(jīng)常面臨單點(diǎn)失效的問題。究其原因，主要與自身不同的管理模式存在著不同潛在挑戰(zhàn)有關(guān)。首先，控制器硬件受到破壞，網(wǎng)絡(luò)請求就會被拒絕。其次，如果攻擊者發(fā)起了大量的非法訪問，超出了系統(tǒng)自身的承載能力，就會導(dǎo)致用戶的正常訪問需求得不到滿足。另外，控制平臺經(jīng)常面臨的安全問題還有以下幾種：第一假冒身份、第二非法進(jìn)入訪問、第三配置自身存在較大的缺陷、第四篡改流量規(guī)則[6]。

3.3 數(shù)據(jù)平臺

一般情況下，數(shù)據(jù)平臺主要有以下幾部分硬件構(gòu)成：第一路由器、第二交換器。這些硬件的主要作用就是轉(zhuǎn)發(fā)數(shù)據(jù)信息、采集數(shù)據(jù)信息以及轉(zhuǎn)換處理數(shù)據(jù)信息。通過分析流程，我們可以明確數(shù)據(jù)平臺中存在著一個非常明顯的安全隱患。即這些硬件設(shè)備接收數(shù)據(jù)，主要限定于控制平臺設(shè)定的規(guī)則。也就是說，只要在控制平臺規(guī)則內(nèi)的數(shù)據(jù)信息，硬件設(shè)備都會毫無保留的接收。在這種情況下，如果攻擊者全力沖擊OpenFlow 協(xié)議，然后篡改策略信息或者偽造控制流，那么就會向交換器發(fā)送虛假命令。這樣一來，就會出現(xiàn)難以發(fā)現(xiàn)的安全風(fēng)險，例如假冒流注入、數(shù)據(jù)泄露、非法訪問等。

4 結(jié)語

綜上所述，軟件定義網(wǎng)絡(luò)具有設(shè)計增強(qiáng)、性能改善以及實(shí)時安全功能等安全優(yōu)勢。但是，在軟件定義網(wǎng)絡(luò)的應(yīng)用過程中，同樣也在應(yīng)用平臺、控制平臺以及數(shù)據(jù)平臺方面面臨著諸多安全問題。所以，為了更好的實(shí)現(xiàn)軟件驅(qū)動網(wǎng)絡(luò)安全優(yōu)勢，必須要進(jìn)一步完善安全架構(gòu)，確?？梢杂行У膽?yīng)對各種新型攻擊載體。