基於SDN架構的特質,可能衍生出一些資安問題,值得網路管理者多加考量,及早準備因應的方案。然而另一方面,SDN架構也有助於網路安全策略的快速部署、資安事件的即時因應、與事件後協同各節點實施減災措施(threat mitigation)。因此不管是「用SDN來做安全」,或是「做SDN的安全」都將成為很熱門的議題。
在SDN架構下,封包的路徑不再依照表頭和交換表,而是可由軟體(亦即應用)來定義。SDN架構將網路中個別轉發設備如交換器、路由器等的控制層(control plane)抽離出來,集中到一個中央控制器(controller)對網路作全局的控制與分流管理,而轉發設備則單純依據控制器下達的流程表(flow table)派送封包,這使得網路管理者在不更動實體網路設備的情形下,即可輕易改變邏輯拓樸,使網路行為可動態、迅速地調整以因應服務及應用的需求。本文將介紹SDN架構下值得注意的資安議題,以及反過來如何運用SDN提升資訊安全的可能方向。
夯技術SDN的資安課題
二十年前念大學的時候,環校網路採用的還是FDDI技術,走同軸電纜的區域網路涵蓋好幾個宿舍及系館,透過「網路芳鄰」,幾百台電腦彼此分享收藏,外戶而 不閉,是謂大同。後來TCP/IP 加上Ethernet慢慢成為主流,而交換機基於封包表頭和擴展樹協定運作,更是可靠安全。
續談SDN:做SDN的安全
儘管南北向通信安全的規範仍有補強空間,但由這些攻擊途徑來看,SDN網路上面臨的安全威脅本質上與傳統網路沒有太大差別,資安業界過去在傳統網路的安全技術與經驗應可支持SDN網路的防護需求。只是如何方便且有效的部署,目前還未成熟。
用SDN來做網路安全
在2006年,史丹佛大學的研究小組開始了Ethane計劃,之後更衍生出OpenFlow協議與SDN概念,從此開啟了網路變革的一條新路。時至今日, 許多研發單位提出利用SDN網路特性來增進系統安全,其創新概念早已遠遠超出Ethane計劃當初的範圍。以下介紹幾個「用SDN來做安全」的例子。