軟件定義網絡及其對安全的影響

    網絡已經創建而且管理多年的方式即將改變。考慮到每一年科技發展的速度，這不會是個好消息，可是不能否認的是，網絡已經在至關長的時間裏按照既定模式運行，而且它可能在極短的時間內以一種不一樣的方式來運行。其中現今一個比較流行的話題就是軟件定義網絡（SDN）。討論主要集中在SDN能夠爲新網絡策略帶來的利益方面，可是任何關於網絡的討論都會天然而然的涉及到網絡安全問題。SDN多是一種創建、設計和管理大型網絡的新方法，在大規模實施以前，必須正確分析其優缺點才能正視SDN對網絡安全帶來的影響。

SDN概況

爲了更好的理解軟件定義網絡，最好是將它與傳統的網絡實踐加以比較。全部的傳統網絡都是由一個控制器（即控制面）和物理網絡自己（即數據面）組成。SDN的核心思想是將這兩層分離，這將促使管理員更好的優化每一層。SDN的支持者認爲這樣作的主要優勢就是簡化網絡，在處理不一樣的網絡流時更加敏捷靈活。簡化管理任務一樣能夠適用於安全問題。這主要是經過在雲計算中使用一樣的雲架構，並伴隨着更保守的資源分配來實現的。

一種新方法

這個新的設計須要跟以前採用的SDN模型不一樣的方法來實現。傳統的方法是工程師先設計網絡，而後再加入適當的安全措施。然而SDN從一開始時就被認爲是網絡的重要組成部分，而且在設計時就已經考慮了安全問題。SDN安全措施就成爲網絡的基本元素，而且直接被設計進入工做負載和通信系統裏。安全並不僅是網絡待處理的另外一個方面，而是做爲構建網絡其他部分的一個組件存在。

SDN的優勢

從表面上看，這聽起來像是一個全新有效解決網絡安全，而且有一些優勢的新方法。區別於傳統網絡，傳統網絡的防火牆一般很難設置，緣由在於網絡邊界不明確。軟件定義網絡經過一個集中式的防火牆讓全網流量路由的方式，來解決這個使人沮喪的問題。這種調整使得網絡流量的數據分析變得更簡單，進而能夠用來檢測安全威脅。SDN還能夠在網絡的設計框架中使用更強的加密，這能夠增長有價值數據的安全。

SDN還有其餘方式能夠提升網絡安全。如前所述，SDN容許更動態的網絡，它經過易於管理的網絡重組來迅速應對威脅。SDN還提供了一些方便的安全工具和功能，例如當即制定網絡隔離而且找到被攻擊者入侵的終端。軟件定義網絡使得大量的安全響應可用，如緊急廣播、限定、反射網等。

SDN的缺陷

全部的這些好處讓SDN聽起來像一個完美的方法，可是它確實有一些缺點是值得考慮的。SDN仍然是一個新的不成熟的技術，這意味着開發人員仍然在努力弄明白如何正確使用它。這意味着隨着時間的推移，更多的安全漏洞將暴露出來，而且因爲不能像傳統模式同樣簡單的添加額外的安全措施，一些漏洞可能不會獲得解決。出於SDN的特色，若是一部分網絡出現故障，那麼整個網絡就會出現故障。

結論

固然，這並不意味着全部公司都應該回避SDN。隨着軟件定義網絡的發展，它的好處將會最大化，同時它的缺點也會最小化甚至消失。做爲一項新技術，仍然有不少優化工做須要作。許多企業追求的目標是更好地保護他們的網絡，而SDN是實現這一目標的方法之一。時間將會證實，一旦SDN得以實現，它將展現它的潛力。

本文來源於SDNLAB，可點擊此閱讀原文。