战胜“尼斯湖怪兽”,确保获得安全的SDN
作者 Joseph Byrne
各种行业领域的IT企业都意识到了对于类似SDN这种新范式的需求,以便利用它处理网络流量的激增。然而,相应的风险却令一些企业望而却步。事实上,34%的IT专家在Interop贸易展示会上接受思科(Cisco)的调查时表示:“它们可能看上去更像Elvis、脚怪或者尼斯湖怪兽,而不是实际的SDN部署设备。”这是基于思科(Cisco)企业网络营销市场总监Inbar Lasser-Raab的数据得出的观点。
这种怀疑论调几乎肯定有些过分,因为在增强网络可管理性和可扩展性方面,SDN已经为这个行业造成了相当大的积极影响,并且它还拥有着广阔的发展前景。这就表明,就我们所知,SDN范式代表了网络版图的一次显著转变,并且将这种安全性意义转变为谨慎的考虑要素。
那么,问题在于:对于大多数企业而言,SDN如何才能变成一种可行的方案呢?
网络:“传统”网络与软件定义网络的对比
在“传统”网络中,交换机采用各种不同的网络协议定义行为,从而控制流量路由选择。一旦经过配置,交换机便可以了解周边网络的流量路由选择策略,以便应对整个网络传播的检测流量,这种流量通常会占整体网络带宽的30%。
与此对比,SDN将控制板与转发板实现了隔离。交换机执行转发板(也被称为数据板),但控制板可以管理集中在一起的多个交换机。控制板与转发板之间的标准化软件界面,例如OpenFlow协议,可以提供通用的编程平台,以便集中管理多个交换机的网络流量。利用这种方法,SDN旨在对所有网络流量提供优化、遍及网络的动态控制。它可以随着时间对临时需求进行调整,为各种应用提供工具,以便影响网络行为。
在某种意义上,SDN理念与智能手机或者计算机平台相类似,在其中操作系统提供硬件的标准、抽象演示,各种应用进行交互——SDN在控制板中提供网络和应用提抽象演示,执行各种不同的网络解决方案。
听上去很好,对吗?但是,由于流量管理的集中控制是通过开放式编程层提供支持,有些公司担心有人通过该层入侵公司网络造成破坏。尽管我同意这种可编程能力确实会为恶意行为打开方便的大门,它还会将锁定网络的权力交到最为适应解决这一特定威胁的人员手中:即网络操作员。与智能手机和计算机的情况类似,这需要配置安全基础设施。所有的传统技术都可以应用在SDN中,包括加密通道、虚拟运行时环境和威胁管理(例如防火墙)。
在支持网络安全方面,处理器起着必不可少的作用。例如,飞思卡尔的通信处理器可以提供卸载安全加速功能,例如加密和深度数据包检测,在其QorIQ处理平台范围内实现安全性能最大化,无需增加CPU带宽。QorIQ器件还受到了应用级VortiQa网络软件包的支持,经过QorIQ架构的优化,可以提供下一代防火墙等类似的功能。如果无法采用这些措施,将会损害网络的完整性,即使对于传统的网络来说,这也像是一个互联网中一台不受保护的计算机一样。
尽管存在网络安全方面的各种风险,SDN仍然可以提供全新水平的威胁管理,这种管理功能之前无法由传统型网络方案提供。首先,SDN可以提供全部网络行为的统一能见度,而不是每一个单独交换机的孤立视图,或者通过安全设备阻塞点强制所有流量。其次,这种集中控制功能对网络中任意位置的恶意流量具有精细的控制能力,可以提供动态响应。最后,鉴于它的高度可编程性质,SDN可以为网络操作员提供更高的灵活度,以便适应尚未构想出来的新威胁模式,在网络运行期间可以采用飞行模式修改网络控制“应用”。
尽管OpenFlow可以提供新水平的灵活性以便应对未来的威胁,但是它受到了第3层交换模式的局限。将OpenFlow覆盖范围提升至第7层,这可以提供机会,将新应用感知网络功能嵌入转发板中。采用当前的解决方案,流量必须导向控制器,或者导向第7层设备以便处理像深度数据包检测或者下一代防火墙等这些功能。这会给网络带来瓶颈。将这些功能嵌入转发板中,可以实现这些功能的动态预分配,无论位于网络的哪一个位置,在指定的时间内都可以消除临时的局部威胁,因此这些更高阶功能的性能影响只会在网络需要和相应的位置时提供支持。
为了证明这一理念,飞思卡尔工程师最近在Interop贸易展示会上演示了VortiQa OpenFlow交换机在第4-7层运行QorIQ处理器的执行情况。飞思卡尔致力于在开放网络论坛(ONF)中共同合作,推广并且扩大OpenFlow协议的使用,以便在转发层中固有支持嵌入式第4-7层功能。
初期带头采用这一技术的公司
SDN的当前发展势头提供了动力,确保可以部署安全的基础设施。这其中的一个实例便是开放网络基金会(ONF)当前的努力,它们的会员正在致力于开发OpenFlow协议。凭借安全网络和安全事务处理领域内的顶级专家(例如谷歌、威瑞森和高盛投资公司等的代表),SDN的安全性和灵活性优势可以为众多行业和机构呈现无数的发展前景。
接下来的步骤:加快威胁管理
正如之前所提到的,SDN可以为网络提供全新水平的威胁管理。尽管采用全网络的方法对威胁管理十分有利,但在控制板内执行所有操作可以带来性能的提升。为了提高集中威胁管理方法的响应能力,关键之处在于:加速控制板的虚拟化和安全功能,以及加速通信通道至转发板的加密速度。
为了进一步增强实时性能,SDN范式必须发展,在转发板支持第4-7层的威胁管理。为了达到这个目标,需要具备灵活性,在网络的任意位置提供局部的实时威胁缓解功能,这样有助于让“尼斯湖怪兽”成为传说,而不会变成真正的现实!
Joe Byrne负责领导飞思卡尔的数字网络业务部的产品战略工作。他此前曾是Linley集团的高级分析师,工作领域涵盖了通信和半导体行业。
| 
/3 
发表于 2013-7-4 11:08:29
沉默卡
照妖镜
