摘要：虽然软件定义的网络可以有助于企业提高应用程序的性能，并帮助缓解管理任务，但其同样也会创建一些新的安全漏洞。

现如今，软件定义的网络可以说是企业的一大福音，其为企业在削减管理成本的同时提高网络的灵活性提供了机会。但是，SDN技术同样也相应的带来了一些新的安全风险问题，而企业将如何管理这些风险则可能意味着成功的业务实施与毁灭性灾难之间的显著差别。

借助SDN架构模型，可以从物理基础设施对网络的控制解耦，使管理员能够跨来自多个供应商的不同类型的设备管理网络服务。企业可以解耦系统，并做出关于流量从系统去到哪里(控制平面)的决策，并将流量转发到指定目的地(数据平面)。

SDN可以为数据中心和企业网络提供自动配置，网络虚拟化和网络编程。而随着企业进一步深入迁移到诸如云计算、移动技术和物联网等领域，日益增强的网络灵活性则也会有助于企业。

“SDN可以说是新的IT时代的新的架构和场外异地处理。”国际灾难恢复研究所的IT灾难恢复导师丹尼尔·米库尔斯基表示说，该研究所专门负责提供专业认证和教育计划。 “随着云服务、大数据的兴起，以及IT通过移动计算和物联网所带来的IT 消费化，网络灵活性和适应性需要其能够与相关技术创新等相吻合。”

整个IT业界对于技术的需求预计将进一步增长：据IDC估计，到2018年，全球SDN市场将达到80亿美元。这一预测包括了已经在使用中的物理网络基础设施、控制器和网络虚拟化软件，SDN网络和安全服务及其相关应用程序，以及与SDN相关的专业服务。

而随着对于SDN需求的增长，业界对于SDN的普遍采用所带来的相关安全问题的担忧也进一步增加。

“其中一个最大的安全问题便是，这仍然是一款相对不成熟的技术，所以我们并不确切地知道企业可能会遭遇什么类型的安全风险问题。”位于芝加哥的伊利诺伊大学公共卫生学院的IT主管弗兰克·塞文表示说。

而关于SDN，仍然有很多我们有待进一步了解的地方。而那些已经开始探索这项技术的隐患安全专家们则表示，有很多方法可以帮助您保护您企业的系统。

在层内的技术

虽然这项技术相对而言是比较新的，但在SDN架构内，特定的安全漏洞已经被确定了，特别是数据平面和控制层内。

在数据平面层，许多协议的仍然是新的。“所以我们并不知道他们到底有多强大。”塞文说。 “某些协议并不需要认证或加密，所以网络上的一个错误配置组件会成为攻击媒介、在不经意间允许流量被转移挪用或检查的情况发生是有可能的。”

在一般情况下，SDN的数据平面层也很容易受到自然或人为灾害而发生中断。 “鉴于大多数重大灾害都是区域性的，这或将导致网络基础设施的物理破坏，因此SDN将需要进行配置，以满足正常的容量能力。”米库尔斯基表示说。

然而，因为灾难恢复变得越来越依赖于网络，“我们不能确定，重新配置网络是否能够应对对于容量能力的额外需求。”他说。

企业需要询问他们的网络供应商，了解网络供应商是否有应急计划，以便能够在发生灾难的情况下增加容量能力。虚拟化是重新分配资源的一种方式，米库尔斯基表示说。但物理容量也必须是可以使用和访问的。

在数据平面，一些老的数据中心接入技术已经部署，包括隧道、虚拟可扩展局域网和各种桥接协议，一家专业提供风险管理和合规服务的供应商Coalfire公司的云计算和虚拟化技术总监克里斯·克鲁格表示说。

“黑客捕捉这些流量，可以了解并洞察网络是如何部署实现的，这是由于它们的有效载荷是非加密的，并且经常有糟糕的分段或安全担保。”克鲁格说。“通过监控，然后伪造数据中心互连链路的流量，各种破坏性和侵入的事件均可能会发生。”

瞄准控制平面

安全风险在控制平面内被放大了，因为“其在SDN环境成为了一个单一故障点，并在很大程度上严重依赖于自动化。”安全技术供应商Gemalto公司的高速加密产品经理Stan Mesceda如是说。

“如果控制器被攻破，有拒绝服务的风险，误导流量，并导致闲置或传输中的数据被曝光。”Mesceda说。“此外，在一个SDN控制器或业务流程引擎内的人为错误可能会在整个网络产生连锁反应。”

SDN控制器可能会被证明是高价值的目标。再次强调，尽管清楚的了解企业可能会遭受什么样的攻击还为时尚早，网络安全公司 BeyondTrust的首席技术官布拉德·希伯特表示说。

“大多数漏洞都是利用补丁，但由于资源有限，缺乏进程等等原因，这些补丁尚未部署。”希伯特说。 “当在谈论网络设备和管理程序时，如果其遭到破坏，可能会对一家企业组织的风险状况造成灾难性的影响，这些都是需要被排在最高优先级的，并包含在您企业持续的漏洞管理和修补程序的项目之中。”

(责任编辑：安博涛)