SDN是把雙刃劍嗎？

網路當中接入的設備和雲計算的興起，對傳統網路的性能提出了更高的要求，這也是為什麼在經過深思熟慮之後，傳統網路正在積極向虛擬化網路功能和控制器過渡，電信公司正在部署SDN和NFV技術，以實現更快的速度和網路彈性提高網路性能。事實上，SDN有可能通過提供靈活性來適應當今應用程序和工作負載的動態性來徹底改變數據中心。

然而，在涉及到SDN的安全性方面，雖然服務和策略是分散式的，但仍然通過集中的SDN控制器從單點進行管理。誠然這能夠給SDN提高效率，但如果SDN控制器受到攻擊，攻擊者可以快速影響整個網路後果不堪設想。在SDN環境中DDoS攻擊成為影響SDN控制器有效性的重要方面。本文將探討DDoS攻擊在SDN環境中的安全隱患，並希望為SDN的用戶提供建議。

什麼是虛擬網路？組織為什麼需要虛擬網路？

SDN是一種全新的技術，它使得網路管理員通過開放介面和較低級功能的抽象來創建動態網路。SDN從實際移動數據（轉發平面）的硬體分離決定發送信息的智能化，即所謂的控制平面與轉發平面的分離。這兩個平面的分離使得決策過程在集中的、基於軟體的控制器中執行，而不是讓網路中的每個節點做出自己的決策。所有應用程序通過控制器進行配置請求，該控制器具有對整個網路的可見性，並為每個節點做出轉發決策。但是，這也意味著IT安全團隊需要考慮如何保護控制平面，因為這將成為唯一的故障節點，稍有漏洞就可能導致整個網路癱瘓。

儘管SDN帶來了很多好處，如改進網路接入控制的細粒度安全策略等，與傳統的網路架構相比，它也引入了傳統網路配置過程中不曾有過的挑戰。

SDN的安全問題

在安全性方面，SDN終於實現了為每個虛擬化工作負載提供最大限度的保護所需的細粒度策略，並且這些策略在虛擬化基礎設施周圍遷移時自動遵循這些工作負載。

所面臨的挑戰在於，這可能導致SDN控制器成為整個網路的單一妥協點，一旦被DDoS攻擊很容易被竊取數據導致網路重大中斷。

將SDN與管道系統進行比較，這相當於一次泄露，降低系統壓力並影響整個網路。事實上，與SDN部署相關的spine帶寬顯著增加了攻擊面，即使是相對較小的多千兆DDoS攻擊也可能使整個數據中心宕機。最終即時是一個單一的，低容量的DDoS攻擊也可能導致嚴重的損害，甚至給組織造成長期的損失。

最佳的安全方式

當使用SDN和NFV創建彈性和安全的環境時，必須在數據中心邊緣部署始終運行的自動DDoS檢測和緩解工具，這是獲得實時響應事件所需的可見性的唯一方式。通過在SDN控制器和DDoS防禦之間聯合API，可以控制對SDN控制器造成的破壞，並可以緩解DDoS攻擊。在發生超飽和事件時，DDoS防禦可以迅速向上游發送信息，以報告此類攻擊事件。

結論

總體而言，SDN和NFV為組織需要的關鍵網路功能帶來巨大的優勢，消除了對專有物理設備的需求，這使得組織能夠降低成本和複雜性，並同時享受改進的可擴展性、彈性和更便捷的部署。但是，儘管具備了這樣的優勢，也使得網路更容易受到攻擊。希望從SDN或NFV獲益的組織必須確保他們能夠全面了解其虛擬化環境以減輕這些風險。通過在系統之間聯合API來集成DDoS保護來展開網路防禦，只有密切關注虛擬化環境的管道，才能保持其操作和數據的安全性。