SDN和云的安全挑战--论可见性的重要作用

SDN安全问题

前面我们说过，SDN不仅仅是对服务器的虚拟化，而且对网络基础设施和管理的方方面面都进行了虚拟化。SDN所涉及到的安全问题除了网络基础设施，还扩展到了包括控制平面和数据平面在内的很多方面。

举例来说，如果攻击者能够接管控制平面或SDN控制器，从本质上讲，他们将会拥有整个网络及其所有包含在内的基础设施的所有权，可以说是拥有了无限大的权限。感染了数据平面理论上能够以更快的速度进行传播，因为SDN比服务器虚拟化的部署更普遍。控制平面和数据平面之间的通讯困难和混乱也有可能为攻击者使用新方法攻破网络外围创造漏洞。

说到如何构建安全的SDN，早就有了详细的架构指南，部分原因是现有的供应商和开源组织有许多不同的方法来实现SDN。这里的关键是确保所有网络的可见性，包括传统网络、虚拟化网络和软件定义网络。理解这些网络类型之间的通讯流，将确保盲点得到纠正，瓶颈得以最迅速的方式解决。

这种“可见性”跨越所有网络和工作负载类型，以确保可见视图的普遍性和持续性。这就是为什么可见性所提供的不是一个点解决方案，而是一套可以和虚拟化相提并论的架构层。

可见性在SDN中的作用

网络的可见性是在地面网络中的一个基本元素，并且在高度动态的SDN架构中变得更加重要。然而，SDN失去网络可见性并不会阻碍公司的前进步伐。提供可见性构造的公司已经与标准社区和主要的SDN架构供应商走在了一起，以确保应用程序在SDN迁移过程中及迁移完成后的性能和安全得到维护。

加速SDN可见性构造

可见性构造实质上使网络（包括SDN）实现可见，作为一个普遍的层，将通信流的视图结合在物理和虚拟网络段。具体地讲，网络可见性提供通讯流的详细信息和在这些网络至关重要的数据包：

监控SDN网络本身的状态

监控SDN可用的应用程序

确保维护安全

　　私有云或SDN环境安全交付平台的可见性架构实现

无论选择的SDN架构是建立在OpenFlow，还是建立在类似VMWare的NSX和思科ACI或是某个其他框架的网络虚拟化上，上面的关键需求依然存在。在SDN中，控制和转发层虽然实现了独立管理，但还需要功能的结合。由于网络延迟或供应商网络基础设施差异会引起的这些层之间的同步问题，会造成瓶颈和破坏。