6 实施注意事项
本章所将的东西不同指导现存的应用,提出了一些准则来评估现存的应用,以及在评估中要注意的方面。文章也定义了现在正进行核将要做的一些工作。
6.1安全
由于SDN固有的特性和实现,SDN的安全需求可能不同于传统的网络。由于它物理应用的原因,集中控制可能把一个单一高价值的资产暴露给攻击者,这和在分布式控制域中的自治的资产不同。因为逻辑上集中控制器虽然看起来像是以分布式的方式在使用,但是可能有额外的与应用相关的缺陷,SDN架构不看不到。也就是说,架构为SDN控制器建模成为一个单一的实体,在数据层和控制层之间使用单一的安全会话,但是在实际应用中由于物理分布的原因可能需要多种会话,其中每一个都需要很强的安全性。经营商希望缓解逻辑上集中控制器的一些威胁,通过把SDN控制器部署在安全的计算环境中。
一类新的安全问题被提出,由于SDn显示的提供可编程的访问权限给客户控制器层或 应用实体,这些客户是一般相互隔离的组织或商业实体,这种新的商业模型提出新的要求,这些要求在封闭的administrative domains中不存在,如在保护系统完整性和第三方数据,尤其是确保一个实体的业务管理和实时控制信息和其他所有实体间完全隔离。可以从现存的客户和提供业务支持系统之间的自动接口中获得一些经验。
另一方面,可编程的特性可 提供了一个机会来增强网络安全。利于,利用SDN技术可能会构建一个数据层安全解决方案,此方案可以协调网络和安全设备以一种更加灵活的方式来侦测攻击和对攻击做出响应,然而如果以对整个系统整合和整个系统的安全为代价,新的数据层安全功能可能不会被应用。
租赁者之间通信的相互分离是个现有的安全课题,在SDN环境中,期望有更多的可以影响隔离组件,能比没有SDN的网络更加动态的相互作用。标准和可操作性准则确保隔离不是缺乏抵抗力的
考虑到SDN提倡的不同企业和组织之间的会相互连通性,这个架构被拥有界限清楚的信任域的观念所驱使。一个统一的接口模型对于全面思考安全问题很有帮助,同时明确的界限帮助其他部分的网络免于来自一个不太安全网络的伤害。但是这样做仍然不能阻止来自攻击者引起的威胁,这些攻击者有进入SDN信任域的权限(在operator的信任边界内),或者使用应用程序的或内域的接口的薄弱环节,这些接口是介于外部和信任域之间。于是此架构需要在所有接口中有很强的认证能力和健壮的安全性。为了处理此类情况,架构要有证书和身份管理功能,来保证所有实体和他们之间联系状态的安全。
这里和其他方面都体现了审计重要性,通过审计保证进程按照预定的执行。可能有第三方实时监控的需求,实时审计可能是很有用的,审计日志对于取证分析和法律援助是有必要的。当然审计进程和日志的保护也很重要,防止他们被篡改和破坏。
在具体实现中,operator和进程的权限应该被限制最小授权权限级别,并能隔离故障的影响,这些故障可能使被信任的人引起的。
基于operators自己的准则,他们可能会在某些接口出降低安全限制,利于在NEs或服务器上的物理安全管理端口。要很清楚明白选择这样的实现可能带来的相关的安全影响。通常在规模上安全性和administrative functions问题易于管理的,则安全性会有很大的改善,在他们整个生命周期中拥有最小的人为干预。
经验已经证明安全功能改进为现有技术的困难(DNS和BGP是例子),然而技术和流程的缺陷在不断的改进,SDN接口和协议就是在这种公认的环境中开发的,同时伴随着越来越多严峻的后果。因此重要的是在没有SDN架构时解决的问题不会在SDN架构中重复出现,因为通过整体分析来设计接口和协议确保此架构的安全。