对话嘉宾:
上海贝尔战略部高级经理 陈端
中兴通讯SDN首席架构师 薛育红
Strategy Analytics无线运营商战略高级分析师 杨光
目前,云计算的时代已经到来,云计算要求网络系统应用和服务具有极高的弹性和灵活性。传统网络繁冗的架构已成为云计算的绊脚石,而SDN所具有的网络设备“控制与转发分离”、“软件与硬件解耦”、“虚拟化接入”等技术优势可有效解决传统网络难题。SDN的出现,打破了网络领域多年来的沉寂,成为几乎每个专业领域的热门议题。作为一种崭新的网络架构,SDN使得网络系统面临数十年未有之变局。不过,SDN拥有众多优势的同时,其崭新的架构也不可避免地带来诸多安全问题。
崭新架构伴随安全威胁
笔者:SDN这一崭新的架构正席卷而来,每一项创新技术解决传统网络问题的同时,势必带来新的威胁。SDN毕竟还是新兴技术,在当今各种安全威胁无处不在的情况下,SDN网络架构的控制器集中化管控是否会带来新的安全威胁?
杨光:从长远来看,一个更加开放、更加灵活的网络架构不可避免地会引入新的安全风险。SDN架构确实可能会带来额外的安全风险,这一问题也已经引起了产业界的广泛关注,比如ONF组织就已经成立了专门的安全工作组,对SDN的安全风险和解决方案进行评估和研究。
陈端:传统的网络安全与业务安全相互分离。网络安全包括防火墙、IDPS、流量清洗等设备,业务安全包括身份认证、鉴权、审计等。对于业务系统而言,很难调用传统网络的能力;反过来,传统网络也很难感知上层业务,从而做出有针对性的安全防护。
在SDN网络架构下,业务安全系统能够从网络中获取更加丰富的信息,甚至直接采取安全操作,对网络流量镜像、阻断和过滤等,因此SDN架构也可以增强网络安全。然而新的功能实体、协议、接口可能成为新的攻击面,传统安全威胁的形式也会发生改变,如业务可能直接通过北向接口对网络资源进行非法操作、来自南向接口的DoS攻击带来的影响会变得更加显着。
薛玉红:作为网络集中化控制的控制器是SDN网络的核心,其可靠性和安全性非常重要,其可能存在的负载过大、单点失效、易受网络攻击等一直是亟待解决的问题。
中兴通讯很早就认识到SDN网络的安全性、可靠性问题,尤其是SDN网络的大脑——SDN控制器的安全性问题。在中兴ElasticNet弹性网络战略中,有专门的安全性子方案、可靠性子方案。早在2014年9月,中兴通讯就升级了SDN控制器,助力产业加速大规模商用部署,其中的重点就是增强安全性和可靠性。
控制器安全成重中之重
笔者:SDN采取集中控制的架构,控制器和应用容易受到攻击,SDN崭新架构下,也不可避免地带来了安全威胁,企业或运营商部署SDN时,网络安全该如何保障?
杨光:如何在网络的成本、收益和安全性之间寻求平衡将是产业界面临的长期课题,SDN安全问题的解决方案有赖于业界多方的紧密合作,从而共同推动相关安全技术的研发和标准化。
陈端:SDN控制器相当于网络操作系统。在网络设计上,网络控制器可以采用集群、备份和带外管理等方式解决自身的安全问题;运营商能通过网络应用的方式实现虚拟化的安全功能,监控全网中与安全事件相关的流量,进而对全网进行统一安全策略部署,以达到保障网络安全的目的。由于业务可能直接通过北向接口API对网络资源进行操作,因此必须防止业务和应用对网络发起的有意和无意攻击。通过将客户区分为不同等级,并将相关客户的网络资源进行逻辑隔离和切分,网络虚拟化技术可以防止用户业务之间的相互干扰,并能在网络出现问题之后,迅速对其进行隔离。在企业和运营商部署SDN网络时,预计虚拟化技术将在网络安全中发挥重要作用。
薛玉红:SDN控制器是SDN解决方案中的核心部件之一,SDN控制器对不同转发面的兼容控制能力、对不同应用场景的支持能力、可编程能力以及可扩展性能力,决定了其核心的客户价值。
中兴通讯弹性网络控制器采用多进程隔离、分布式集群设计,系统的可用性达到99.999%,保证可分布式架构下的最佳负载均衡和最小复制开销。针对控制器实际部署中越来越突出的安全性问题,中兴通讯弹性网络控制器可以实现身份认证、授权以及用户访问审计功能。同时,新版本在安全方面有了很大的增强,可以确保客户商用部署的需求。中兴将努力提供一个可裁剪、可扩展、多厂家互通兼容的开放SDN解决方案。
