挑战与机遇：新型网络中的安全困局-论文.pdf

《挑战与机遇：新型网络中的安全困局-论文.pdf》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

1、CoverStory封面报道：安全新知挑战与机遇型网络中的安全困局文，刘文懋●●随着网络技术的发展和云计算落地，近年来出现了可构造大量伪造地址的数据包，网络设备在处理各种新的网络架构和网络形态，前者最具代表幽时，向控制器发送大量PACKET—IN，后者被拒绝是软件定义网络(SoftwareDefinedNetworAng，服务攻击。此外，很多应用是以WebS~务交付的，新SDN)，而后者最流行的是网络虚拟化／网络功能虚攻击者可通过某些web漏洞使其下发恶意策略，造拟化(NetworkFunctionsVirtualiz

2、ation，NFV)。成控制器的下发规则不一致，使得攻击者可绕过sD"网络的数据平面和控制平面分离，通过开放安全规则进行下一步攻击。在一些新型攻击中(如APT)，这种情况非常有可能发生。的可编程接口控制网络设备的数据转发，加快了网络拓扑的更新速度，大大缩短了网络业务上线的时其次，SDN~[1虚拟化环境使很多传统安全手段失间。网络虚拟化属于设施虚拟化(IaaS)中的一部效，而SDN动态牵引流量的特点使安全边界变得不分，通过软件编程的方式，灵活、弹性地管理虚拟易控制，因而防火墙如果不能~[SDN控制器很好整网络，它可将多种

3、传统网络中的设备进行虚拟化，合，就很容易被攻击者绕过。此外，当前的实体安巳被越来越多的电信运营商用于按需部署相关的全设备无法检测虚拟化环境中的数据流量，如图1网络服务，实现弹性业务。中的防火墙无法阻断虚拟机VM1中的攻击者针对统一物理主机内其他虚拟机的攻击；即使攻击跨越因为SDN软件定义特性与虚拟化软件管理特征天了多个物理主机，部署在实体环境中的安全设备也然匹配，所以SDN和网络(功能)虚拟化的结合日不能发现。例如图2中的租户x从VM1向另一个物益紧密，可应用于大型数据中心、企业网络和运营理主机的VM3发数据包时，防火

4、墙能接收到数据商网络等场景中。这些新型网络无论从架构实现，包，但如果数据在物理网络是在VLAN中传输，那还是设计思想上，都给网络本身带来了巨大的变么安全设备不理~VLAN标签，就不知道是哪两台化，同时为安全带来的影响也极其深远—新架构VM在通信，如果数据在隧道(如GRE、NVGRE或给安全防护带来了众多困难，而新架构背后的思想VXLAN)中传输，那安全设备不能解析封装过的又给防护近期出现的新攻击带来了启发，可谓挑战数据。总之，传统的网络安全设施不能理解多租户与机遇并存。隔离这些网络的新机制，存在一定程度的不兼容。此外，

5、网络设计不会满足全部的安全需求，虽然新型网络环境带来的挑战我们在设计安全机制时可利用SDN的现成技术，如集中式网络控制、全局统计信息实时获取等，SDN$~网络虚拟化为传统安全带来了多方面的挑但这些技术最早并非为安全设计，因此安全机制战，每一个安全从业人员，都应该理解这些变化。和网络提供的功能间存在一些错位。例如在传统首先，SDN是一种新型的网络架构，现有的安全机安全解决方案中，数据包经由安全设备被检测或制尚未考虑其面临的安全问题。具体来说，SDN集防护，但对设备部署的拓扑和部署模式有严格要中的网络控制器和上层应用容易受

6、到攻击，造成求。基于OpenFlow的SDN架构中的网络控制器，单点失效。例如在按需下发流表的模式下，攻击者可收到全局底层设备PACKETIN数据包，有人提