火热的 SDN 真的安全吗？

最近，在旧金山举行 VMworld 2015 会议上，VMware CEO Pat Gelsinger 在一个主题演讲中着重推销了VMware 的网络虚拟化技术（基于 SDN 的网络虚拟化技术）。但是从安全性角度而言，外界对 SDN 的看法也有不同的声音。

SDN 的优势以及发展前景

VMware 最近刚刚发布了它的网络虚拟化产品 - NSX - 的最新版本 NSX6.2。发布两年多以来，已经有多于 100 个客户在实际部署中使用 NSX，美国石油巨头 Marathon Oil 也是其客户之一。

Pat Gelsinger 表示，网络虚拟化（即 SDN）是安全架构实现方面的一项颠覆性的技术，这是第一次我们能够将安全技术构建在架构内部，我们坚信构建在架构内部的安全技术能够达到两倍的安全性并且只需要一半的代价。

“通常来说，IT 架构都是从网络设备到服务器再到应用一层一层构建起来的，而这种架构是非常脆弱的”，VMware 高级副总裁 Martin Casado 表示。传统网络的复杂配置给数据中心整个架构的管理带来了很大的障碍，而基于 SDN 的网络虚拟化却可以集中控制整个网络的配置，并且配置信息可以随设备一起移动，这无疑将提供很大的灵活性。

SDN 是近来网络领域非常火热的概念。诸多预测认为SDN 将在未来几年达到三十亿美元的规模，并且会呈现出一个高速增长的趋势。SDN 的核心思想在于将转发和控制进行分离，对应着硬件SDN 交换机以及网络控制器，用户通过对网络控制器的编程能够灵活的进行网络配置及网络优化。

SDN 存在的安全性问题

然而，从安全性角度而言，对 SDN 的看法也有不同的声音。例如 SDN 的控制器作为一个中央控制软件，更加容易受到攻击，而且一旦攻击者获得了 SDN 控制器的权限，整个网络都将暴露在危险中。例如在前段时间思科发布安全通告中，称之前的 SDN 控制器中存在漏洞，能够让攻击者以 Root 用户身份访问系统并运行 Root 命令；传统的网络设备是一个完全自治的系统，各个系统之间只是数据传递的关系，而由于 SDN 采用集中控制的方式进行管理，SDN 控制器将会被各种不同的系统访问，这将给 SDN 增添很多新的攻击风险；“SDN 创建了一个抽象层，这将带来很多新的攻击面，例如 OpenFlow 协议、供应商 API 等”，Gartner 分析师 Neil MacDonald表示。

虽然目前而言 SDN 尚未大规模替代传统网络，但是面对火热的 SDN，很多专家们却也为 SDN 提出了诸多安全性建议，例如核心通信协议之间进行加密、固件化部分配置、管理身份认证、积极监控数据源信息等。面对大家所关心的安全问题，也有专家对 SDN 系统的攻击途径进行了评估，总结了对 SDN 数据层、控制器层及 SDN 层的多种攻击途径，并从预测攻击途径的角度总结了如何提升 SDN 安全性的方法。

总结

虽然 SDN 在安全性上的表现可能不如 Pat Gelsinger 所鼓吹的那样令人满意，然而 SDN 在对数据中心大集群配置方面的灵活性则是很多企业非常看重的。随着 SDN 技术的逐渐成熟，也期待新的 SDN 产品对安全性有更加完备考虑。

参考文章：

1. 思科 SDN 控制器存在安全漏洞
2. 软件定义网络 SDN 攻击途径与安全提升

感谢徐川对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作，请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博（ @InfoQ ， @丁晓昀），微信（微信号： InfoQChina ）关注我们，并与我们的编辑和其他读者朋友交流（欢迎加入 InfoQ 读者交流群）。