解读SDN：安全引领的技术

　　软件定义网络(SDN)是极少数由安全引领的技术，但这个事实并没有得到应得的关注。

就在911事件不久后，Martin Casado脑海里产生了促使SDN的原始想法，他当时在情报机构处理具有高度安全设置的系统。现在Casado是VMware公司网络和安全首席技术官。

　　Casado意识到他们完全可以编程一台计算机来处理计算机层面的安全问题，但对于网络安全问题，却无法采用相同的方式。他们受限于网络供应商销售的产品，并且，他们没办法改变这种局面。从可操作化安全网络来看，这是最薄弱的环节。

　　Casado把他的提高企业网络安全的想法带到了斯坦福大学，在那里他获得了他的博士学位，并为现在我们所谓的SDN奠定了基础。

　　为了将虚拟化的灵活性和安全属性引入到网络中，Casado及其在斯坦福大学的博士学位导师Nick McKeown，以及加州大学伯克利分校的Scott Shenker在2007年共同创立了Nicira。该公司的初始资金来自情报机构，而在2012年，VMware收购了Nicira。

　　“不仅SDN本身在设计时将安全作为其基础，而且SDN旨在创造更安全的网络设计，”Casado表示，“SDN将能够解决传统网络面对的日益严重的安全问题。”

什么是SDN?

　　SDN是一个“堆栈”架构，它将网络控制平面从转发平面分离出来，并将其集中在控制器中，控制器通过高水平的政策定义转发行为。北向应用编程接口(API)位于该控制器的顶部，并提供到应用和管理的网络抽象接口。南向API(例如OpenFlow)允许控制器在SDN堆栈的底部定义交换机的行为。

　　SDN到底是什么，这里存在有很多混淆。IDC公司数据中心网络研究主管Brad Casemore表示：“记住，有些编程网络的方式并不涉及SDN，如果它不涉及分离数据平面和控制平面，它就不是SDN。”SDN并不是构建到网络的基础设施上的修复解决方案。

　　SDN在安全方面需要知道的最重要的事情之一就是，它涉及根本性转移到零信任模式。在这种模式中，你需要假设你的访客是不受信任的，限制代码基础，只允许最低访问权限来完成工作，在SDN出现之前，这是非常困难的工作。

　　Casado指出：“安全领域的人都知道，信息收集往往容易受到攻击。因此，我们要确保两个原则：最少的信息和最低的特权。”

SDN实现信任整合

　　SDN的另一个关键特性是信任整合。在物理世界中，如果你将所有可信任的东西放在保管库中，并锁上它，你的安全问题就缩小为保管库的解锁问题。

　　传统网络没有可以整合信任的中央机构或者信托机构，因此，整个网络散布着潜在的不安全因素。

　　传统网络中的信任泛滥的原因之一是互联网技术被设计为有机地增长，而没有任何中央授权。

　　Casado表示，现在这种隐形信任的问题是，攻击者经常可以利用它。而SDN可以保证这种信任整合，确认几个可信实体，并认为其他一切都是不可信的。

　　SDN提供对架构的更多控制，以及控制平面的分布模型，这使其可以将信任整合到较少的元素。

　　肯塔基大学的首席网络工程师Brent Salisbury指出，现在你不需要担心数千个元素，你只需要担心几十个元素。

　　“SDN缩小了你的攻击向量，”Salisbury表示，“当然，那些几十个设备就变得更加重要，你可以围绕它们构建安全基础设施，而不是围绕所有的设备来构建安全基础设施。传统网络的问题在于，你需要到处部署安全基础设施，这需要非常高的成本。通过SDN，我们不仅可以节省成本，还可以提高安全性。”#p#

SDN是一个机制，不是一个部署

　　尽管供应商使用各种术语，但我们需要意识到，SDN是一种机制，并不是关于如何部署架构的代名词。大型公司和初创公司(包括VMware、思科、瞻博网络、Big Switch以及Plexxi)都在采用不同的部署方法。

　　Casado在Nicira(现在属于VMware公司)打造了第一批SDN部署之一，这个网络虚拟化平台NSX在8月下旬的2013年 VMworld大会上首次亮相。它能够在虚拟主机和现有的物理网络之间创建一个智能抽象层。

　　网络虚拟化与服务器虚拟化类似，因为它是一个平台，一组可以由软件控制的原生功能，独立于物理设备。它使用虚拟机提供的相同属性：隔离和有限的可信计算基础。

　　“作为SDN的证明点或者SDN之上构建的应用，网络虚拟化具有可靠的安全属性，”Casado说道，“这是我在情报机构工作时使用的用例：你如何构建计算隔离组?它们都有自己的安全政策，无论虚拟机去哪里，这些政策都将保持不变。对于我来说，这是关键所在，这也是为什么我认为网络虚拟化将是未来所有安全部署的根本所在。”

SDN控制器是攻击目标吗?

　　对于SDN，人们最大的担忧就是，SDN控制器现在将成为攻击者的巨大目标。但事实上，这个控制器根本没有那么简单可以攻破。

　　在计算机虚拟化中，信任整合是在管理程序中进行，因此，安全问题被缩小到保护管理程序。网络虚拟化依赖于与计算虚拟化相同的信任假设;它也在管理程序中使用信任整合。

　　面对质疑管理程序上信任整合的安全性的人，Casado提到了亚马逊的弹性计算云。该管理程序因其隔离性质以及运行数以百万计的工作负载而备受信赖。

　　“如果你可以信任现在的管理程序，那么你应该同样地信任网络虚拟化。控制器本身是不能被租户直接访问的;它们不是控制空间的一部分。攻击者没有办法攻击它们，”Casado解释说，“你需要攻击管理程序，这是你现在必须做的，并且，我们正在使用租户之间的隔离。”

　　底线是，现在在物理网络中，与控制器相对应的是物理网络设备以及可以攻击它们的任何终端主机。Casado表示：“在网络虚拟化中，控制器完全是隐藏的，它们甚至不在访客的地址空间，因此，它们不可能受到攻击。”

安全公司的新机会

　　SDN涉及更改网络架构，这个过程存在安全隐患。它允许你以不同的方式建立系统，这改变了很多安全假设。这给安全行业带来了巨大的机会，让他们可以利用这个新架构的优势，同时，还能帮助定义核心规则集以及新模式来重新思考安全。

　　VMware已经开发了一个生态系统来联合安全行业的大型供应商，包括所有的传统安全设备和终端主机防病毒公司。作为该生态系统的一部分，客户可以决定他们想要的安全服务，想要的供应商，来建立自己的虚拟世界。

　　作为SDN的首批用例之一，网络虚拟化从根本上改变了我们对安全的认识，Casado说道：“这为我们提供了一个机会来重新定义安全，它为我们提供了全球性覆盖，让我们可以动态地对事物做出反应。现在我们正在进入全新的安全世界。”