在SDN(Software Defined Network,软件定义的网络)架构中,整个网络的控制平面被搭建在专有的SDN控制器里面,这个控制器负责管理虚拟和物理网络上所有的功能和服务。通过分离和控制,SDN安全策略能够提供更深粒度层次的数据包分析、网络监控和通信控制。
软件定义监控的崛起
最近,微软透露其内部使用了自主研发的基于Openflow技术的网络聚合平台——以太网监控(Distributed Ethernet Monitoring,DEM)。该工具的目的在于处理由微软的云网络搜索产生的大量流量。在此之前,成千上万的链接和搜索产生了大量的流量,这些流量已经成为类似于SPAN技术和镜像端口这样的传统流量监控和捕捉机制的负担,最终导致难以处理。
在SDN架构的背景下,安全团队通过编程可以使交换机等网络设备更加灵活地拦截数据包并对其重新定向,进而监测和减少现在常见的各种攻击。有不少业内人士将SDN定义为SDM(Software-Defined Monitoring,软件定义的监控)。在SDM中,SDN可以作为代理数据包(Packet Brokers)控制器协助系统进行攻击的监测和分析。
用于安全监控和数据包分析
价格相对低廉的SDN可编程交换机能够取代更加昂贵的代理数据包。就像刚才提到微软的产品那样,大量的链接和流量被合并,然后被送至多个安全检测包和分析平台进行处理。交换机的第一层负责捕获和路由数据包,第二层负责终止第一层的监视端口。这些交换机还可将流量汇合并将其送至其他监视设备和平台。
类似于Big Switch Controller那样的兼容Openflow的SDN控制器,可用于编程和管理多个兼容SDN的交换机。同时,类似于Big Switch‘s Big Tap那样的安全监控叠加软件产品,还能够协助工程师在SDN交换机中编程实现更加精细的过滤和端口分配功能。
在这方面,多层次的数据包分析工具可以从SDM端口接收信号。SDM端口能够提供硬件工具,包括代理数据包、网络数据取证设备和基于软件的协议分析仪(类似于Wireshark)等。
应对和预防网络攻击
即使在最复杂的网络环境中,SDN都能提供更高水平的网络可视性。这就使控制器和交换机能够识别不同属性的报文,进而协助系统自动阻止DDoS攻击或者卸载相关的恶意软件。SDN能够阻止以下攻击:
体积较大的攻击,包括大量有SYN标志的TCP数据包。它们可能会阻塞带宽,同时占据针对特定系统的连接队列。在特定时间内,SDN可编程的交换机首当其冲,能够识别并抵挡来自一个或者多个源的恶意软件包的模式和阈值,进而放弃这些流量或者依赖其他技术和协议对其进行重新定向。其他大多数的路由器和网络平台都缺乏这个级别的粒度控制。
应用和特定服务的攻击,通过一系列的HTTP请求(带有指定Cookie变量的用户代理字符串)攻击Web服务。SDN设备可以识别并且无视这些请求。
DDoS攻击目标协议的行为,基于流时间和连接限制,SDN设备能够识别这种行为。
SDN还能模拟许多基本的防火墙功能。通过执行脚本和命令,SDN能够迅速更新MAC和IP地址,过滤端口,快速响应,更新通信政策和规则。这在一定程度上也将其他网络设备从处理大量信号中解放出来。
目前,人们的研究还只是触及SDN安全防御功能的表面。拥有处理更大量信号的能力,在一次又一次的数据包属性的磨练下,网络安全分析还可以做的还可以做得更多,更加先进的入侵检测和事件响应应用案例的实现更有可能。
本报记者 李万予 编译
关注读览天下微信,
100万篇深度好文,
等你来看……
