隨著數位化企業努力尋求最佳安全解決方案來保護其不斷擴張的網路,很多企業正在尋求提供互操作性功能的下一代工具。
軟體定義網路(sdn)具有很多的優勢,通過將多個裝置的控制平面整合到單個控制器中,該控制器將成為整個網路中的決策者,實現集中控制。但是開發人員在構建sdn產品時仍然沒有安全保證,因此sdn中存在可能危及企業安全的弱點。
羅馬sapienza大學博士生fabio de gaspari表示:「sdn相關的主要風險是控制平面的妥協以及控制平面潛在的可擴充套件性問題。」
控制平面的實現方式決定了其脆弱性,但是如果攻擊者能夠訪問控制器,那麼攻擊者造成的災難範圍就擴大到對整個網路的完全控制,在多控制器sdn中有很高的安全風險,其中非妥協控制器(non compromised controllers)可以檢測和減輕受損的控制器。
一般來說,主要的安全風險來自裝置配置不良或不正確,這不僅是sdn中面臨的問題。儘管安全方面存在差距,但sdn仍然是現代網路問題的新興替代解決方案。 hellfire security的網路安全行動gregory pickett表示,sdn帶來了很多好處。
gregory pickett表示:「sdn能夠改變提供商幾十年來的運營方式,如使用者出口選擇等,通過基於可信任路由選擇增強的bgp安全性、更快的路由收斂和ixp的粒度對等操作。」
pickett在black hat 2015演示文稿「濫用軟體定義網路」中表示,sdn提供了讓網路能夠自動應對威脅的能力,但sdn仍然有很多安全漏洞。pickett說:「人們在發布產品之前並不關注安全漏洞,他們還沒有認真對待安全問題。」
pickett認為,安全性仍然是sdn的挑戰的乙個原因是,軟體定義網路實際上並沒有明確的定義。他說:「我的印象是,這個概念至今不明確,你的sdn可能不是我的sdn,而根據提供商的不同,sdn的各種版本也各不相同。提供商以適應其產品線的方式定義了sdn,現在的情況是產品線不是在向sdn的方向發展,而sdn的定義在向產品線發展。」
諷刺的是高階首席分析師jon oltsik表示,sdn本應該為網路帶來一致性,但是sdn本身具有很大的歧義,因為企業正在圍繞sdn進行戰略規劃,他們需要讓安全團隊參與其中。oltsik表示安全從業者是能夠識別和降低風險的人員,他說:「安全從業者可以在技術、實施或操作中找出風險,並降低這些風險。」
雖然sdn不是新發展出來的,但是由於新設計了很多協議,使得它與新技術非常相似。oltsik表示:「我們還沒有動搖所有的bug,就已經發生了很大的創新,但並不像現有技術那樣穩定。」
oltenik表示軟體正在迅速變化,但是相關的sdn領域的安全專家並不多。他說:「這是由乙個想要簡化網路團隊或資料中心運營團隊建立的,他們正在試圖通過軟體來實現這一目標,但他們不是安全專家。」擁有控制網路的現代手段的願望引發了新一輪的網路管理工具,但新產品面臨的安全風險並沒有減輕。
scaleft聯合創始人兼cto abc paul querna表示:「安全風險與網路中的風險並沒有什麼不同,目前攻擊者已經知道如何在sdn領域中訪問網路,對於較弱的攻擊者來說,sdn相對安全,因為它們可以更容易地實現路由功能。」
然而,風險根據所使用的sdn技術而有所不同。querna表示:「如果您正在部署sdn,則需要注意交換機,以及如何在硬體中實現這些規則。」
卡巴斯基實驗室的解決方案業務主管,資料中心和虛擬化安全解決方案業務主管vitaly mzokov表示:「無論組織是否擁有sdn,他們的安全策略都應該繼承多層網路安全來保護企業環境。組織不得不**網路犯罪分子將如何攻擊公司的基礎設施,以及他們可能使用的攻擊載體,然後開始設計合適的it環境,並配置網路和防火牆策略。」
但現代網路犯罪分子已經學會了靈活性是成功的關鍵。隨著技術的發展,他們必須近乎實時地改變他們的攻擊戰術。較新的網路威脅很難識別,因為業界對這些威脅的理解較少,難以用老式的安全解決方案進行檢測。mzokov說:「sdn使得企業更快地重新配置環境,並且還可以將微分段引入其中。」
mzokov表示:「如果沒有適當的整合或與惡意軟體解決方案的互操作性,任何sdn技術都只是人們利用不足的工具。組織應該從安全角度簡單地讓sdn知道虛擬機器內部正在發生的事情,他們將看到更多的內容、更高效的sdn運營。」
傳統保護控制器的手段仍然可以應用於保護軟體定義網路的安全,但仍然需要全新的方式去實現sdn的安全。
很多問題1
1054 猴子吃桃 1056 幸運數字 1059 最高分 時間限制 1 sec 記憶體限制 128 mb 輸入x,計算上面公式的前10項和。輸入乙個實數x。輸出乙個實數,即數列的前10項和,結果保留3位小數。0.841 include include include intmain printf 3...
Centos啟動關閉顯示很多問號問題
前天裝上了centos5.4,上手基本ok 安裝時使用了中文安裝,進系統ok,但是中文亂碼,編輯了 etc sysconfig i18n,修改為 引用 root localhost vi etc sysconfig i18n lang zh cn.gb18030 language zh cn.gb1...
解決TIME WAIT過多問題
netstat n awk tcp end last ack 14 syn recv 348 established 70 fin wait1 229 fin wait2 30 closing 33 time wait 18122 狀態 描述 closed 無連線是活動的或正在進行 listen 伺...