|安全漏洞| |SDN|

识别SDN中的安全隐患(2)

发布时间:2016-03-08 15:23 作者:litao984/编译来源:机房360 点击:加载中...次

另一个明显的漏洞仍将是过度访问和对网络设备的管理和行政监督的缺失，无论是在企业内部部署的基础设施还是在云中。

“无论是在企业内部的部署或是采用外部托管——通过一个帐户直接访问以管理这样的网络和数据中心组件，不仅可以影响到可用性，而且也开放了渠道，让恶意软件和信息的漏网之鱼得以进入企业网络，并渗漏出企业网络。”希伯特说。

随着一个典型的企业网络中，至少对于相关特权的规则是很重要的，云托管公司Armor的安全威胁情报部门主管Chase Cunningham补充说。“但借助一款SDN系统，如果任何一个用户被授予其原本不应该获得访问的权限，那么，则会导致整个企业的网络项目的几乎每一个资产配置和数据库均处于危险之中。”

他们所需要的只是通过一个错误小配置和恶意用户。或一台受网络病毒感染的机器，便可以访问、控制或修改项目，超出了他们的预期用途的范围，Cunningham说。

“如果其是在一台虚拟主机上，可以检测到恶意软件，并尝试实际控制服务器或整个网络实体。”他说。 “这可能会是一个大灾难，因为恶意软件在理论上可以发出命令，并控制在SDN和整个虚拟环境中运行的一切。”

SDN的一个优点之一便是其具备对分布式拒绝服务攻击自适应的能力，塞文说。”该软件可以简单地调整网络结构，以规避攻击，而不是只是试图阻止攻击，这是对于过去策略的一个显著的改善”。他说。

但是SDN软件堆栈本身也会被攻击，塞文说。 “如果有人开发出能淹没堆栈，使其试图重新配置网络，考虑到不同类型的攻击的持续，这当然可以会使网络陷于停顿。”

锁定SDN环境

下面就让我们来看看安全专家们给予那些正计划部署SDN技术的企业的一些具体的建议吧。

积极主动地了解SDN安全。鉴于SDN技术在企业中的部署变得越来越普遍，攻击媒介向量可能会进一步增加。企业需要对这些安全漏洞做好充分的准备，并尽量采取相关措施以减轻这些安全漏洞对于其业务运营的影响。

“当您开始设计一个企业网络的时候，您企业应该有一个预先确定的安全计划。”克鲁格说。包括建筑架构的任务和安全设备/装置实施指南，其必须已经由您公司的首席信息安全官审查过，且是严格符合您企业的相关政策和实施准则指令的。

“在不久的将来，SDN技术的使用将相当普及，并将凭借云服务供应商成为企业用户更多的关键业务工作负载的实际基础设施，这个话题将在未来几年引发更多的兴趣和更加突出重点的曝光度。”克鲁格说。“在您企业实施SDN技术环境之前，务必确保提前将安全设计摆在首位，从而打破作为一种事后的补救措施来增加安全防护的方法。”

标准的安全做法可以实现确保SDN的安全，米库尔斯基补充道。 “而这需要严格的政策执行和控制，监测，定期修补和维护，以及实施移动目标防御算法。”他说。

然而，在SDN安全性环境下，您企业应采取相关的和测试场景措施，假定网络攻击已经成功，以预演您企业应该采取的应对措施。程序应包括检测异常，从健康网络隔离其余部分的问题，然后在网络内实施自动自愈。

使用网络访问和用户身份验证提高警惕。“SDN最明显的问题是配置的精细化管理，确保只有那些对于某些特定项目或区域需要进行访问的用户才授予网络访问设置权限。” Cunningham说。

“锁定权限，并定期进行双重检查，以确保配置是正确的。”他说。

至于身份认证，“确保用户与他们宣称的身份是一致的，同时也需要验证应用程序”，实施网络虚拟化功能，Mesceda说。 “随着新的电路或应用程序运行加速，确保架构和应用程序的安全性，及其执行情况是理想的。”

保持所有层的可见性。 “适用于SDN的最佳做法，应遵循这些云计算和网络基础设施有关的安全性。”全球通信网络运营商Level 3 Communications公司安全服务管理部门高级副总裁克里斯·里克特说。

“Level 3 Communications公司所采用的来解决这些问题的方法是一个多层次的，基于网络的模式。”里克特说。

他解释说，让各个层面上都有具有可视性，掌握它们是如何相互作用的，以及系统如何访问这些层“是检测异常的活动的关键”。 “您不能为您自己看不到的东西实施防御。一旦您可以看到发生了什么，您才能确定适当的对策。”

此外，企业需要对于谁负责管理每层的政策有一个明确的定义。 “一个强大的业务流程引擎的设计可以平衡业务和安全需求，但安全政策大纲应列出哪些安全功能是自动化的。”Mesceda说。

要注意在您企业迁移到SDN环境过程中所发生的任何变化。Cunningham建议，企业在迁移到SDN环境时，可以先行建立一个稳固且详细的系统基准。“如果不了解正在发生的迁移，您怎么知道可能会发生什么改变?”他说。

保持对于一切定期间隔的图像和快照，并准备摧毁任何异常行为。 “稍微一点失误即可破坏整个SDN环境。” Cunningham说。 “确保即使看似良性的项目，如虚拟路由器和数据库也只能够根据他们的运营需要进行通信交流。而不应该有任何孔或不需要的开放端口。”

利用安全威胁情报

安全威胁情报可以帮助提醒IT经理关于SDN环境的新威胁。这种类型的信息可通过大量和不断增长的来源而获得，无论是包含安全工具，或可通过独立的业务服务来源。

这些资源可以帮助您主动跟上最新的安全威胁，特别是那些最有可能对于您的公司或行业造成破坏的安全威胁。

“我们使用安全威胁环境的视图来为正常流量设置基线。”里克特说。“新生的但发展迅速的安全威胁情报领域是我们所面临的不断升级的网络格局的关键。”

保持您企业的网络安全程序是最新的。鉴于正在不断发生变化的SDN的安全威胁和脆弱性，安全问题并不是一成不变的，故而企业需要使用相应的工具，以保持系统的安全性。

新的安全产品面世时，您企业应该升级您的防御系统，并更新您的政策，以应对新的安全威胁的现实。

“安全性是一个持续的业务；不要觉得设置了一次就一劳永逸，然后忘记抛诸脑后了。”Mesceda说。不幸的是，并不是每个人都听从这一建议。 “通常情况下，企业关键补丁都没有部署，系统也往往没有尽兴充分的重新评估，而且架构也没有采用专门的安全方法，会迅速变得脆弱。”他说。 “许多公司使用分阶段部署的方法，但他们未能重新审视早期的推出的部署，也就无法保证系统仍然坚持了安全最佳实践方法。”

(责任编辑：安博涛)