基于SDN的一些安全误区详细分析和解答

基于SDN的一些安全误区详细分析和解答软件定义网络（SoftwareDefined-Networking，SDN）通过控制和数据平面的分离，重构了网络工作的机制，提高了网络运维的效率。Garnter认为，SDN整体技术会在5-10年落地，而一度曾是SDN唯一标准的OpenFlow协议将会在2-5年左右落地。近年来，业界大家谈网络就会提到SDN，不管是褒或是贬，不可否认的结果是SDN技术已经从概念走向一个个实践案例。当云计算刚开始的时候一样，人们对有很多疑问，如客户对云计算系统的数据隐私顾虑，虚拟化性能的约束，诸如此类。SDN概念被提出后，业界也同样出现了很多讨论，不可避免的出现了一些观点。本文就安全维度做一些解释，希望读者不会走入误区。误区1：SDN对网络做了一次天翻地覆的革命，我们的传统安全设备和安全解决方案无法部署了。当客户问售前或销售同事：“我们部署了SDN环境，你们有没有相应的安全防护方案”

同事心想：我对SDN不了解，只知道SDN跟传统组网技术完全不同，所有的路由协议都变了。那我们的安全方案，特别是安全设备的部署和工作模式，是与网络紧密相关的，所以估计就不能正常工作吧。其实了解SDN的工作原理后，那我们就不会有此疑问了。SDN虽然改变了网络架构，将控制平面上移，接管了以往分布在各处网络设备上的路由协议，取而代之的是集中的拓扑、路由和转发控制，但网络设备的数据包处理对外表现并没有特别的变化。例如原来一个TCP数据包，从交换机某个端口进入，再从另一个端口输出，这个数据包的头部和载荷都没有变化。安全设备作为中间设备（middlebox）或端点设备连接到网络设备，接收和发送的还是一样的TCP数据包，所以内部的处理引擎不必有什么特殊的改动，这跟普通服务器连接到SDN网络中不需要做什么改动一个道理。也就是说，一般情况下，普通安全设备理论上可以直接部署到SDN网络中，与传统网络没有区别。

图1数据包经过安全设备本身没有发生变化当然需要看到的是有一些SDN控制器只支持路由，而不支持二层交换，这种模式下对工作在二层的IDS、IPS等设备带来了挑战。不过一种可行的办法是在这些设备前面部署一个支持隧道的交换机（如Openvswitch），通过GRE隧道可以通过IP实现与对端连接，这样SDN控制器可以将数据传输到交换机的隧道端口，交换机将数据包的隧道头解掉后，转发给安全设备，这样就实现了二层设备“支持”隧道的功能。

图2在只提供路由的SDN控制器下，可加一个带隧道的网络设备做代理从本质上看，SDN从功能上并没有做出革命性的改变，只是实现了自动化和高效率，理解了这一点，就应明白安全设备部署到SDN网络是完全可信的。误区2：既然SDN只是针对网络的革命，跟安全没什么太大的关系，安全厂商不需要关心。我们在解释了误区1时提到，SDN是网络世界的革命，不会对安全设备和安全解决方案的部署造成太大的困扰，那有同学就会下一个结论，就是双方互不相扰，我也不用关心SDN技术的细节。这个误区有两点需要阐明：(1)SDN本身有安全问题，SDN应用和SDN控制器的可用性、实现方式，南北向协议的安全性等，都可能有安全隐患，所以保护SDN体系各组件就是安全机制所需要考虑的问题。这是一个很大的话题了，后续可以继续展开讲。(2)SDN对网络流量灵活的操作，SDN控制器具有全局网络的视图，这些对安全管理和控制系统，都是非常大的利好。如果能借助SDN对整体网络的实时、全局洞察力和控制力，安全应用就能很灵活的部署和调度安全资源，结合软件定义安全架构，就能建立非常强大的安全运营能力和应急响应机制。比如在流量可视化方面，可以借助xFlow实现基于流量的异常检测，可适用于DDoS攻击的检测和企业内网APT攻击的发现。在流量调度方面，可借助快速调整路由和转发规则的能力，实现多