网络当中接入的设备和云计算的兴起，对传统网络的性能提出了更高的要求，这也是为什么在经过深思熟虑之后，传统网络正在积极向虚拟化网络功能和控制器过渡，电信公司正在部署SDN和NFV技术，以实现更快的速度和网络弹性提高网络性能。事实上，SDN有可能通过提供灵活性来适应当今应用程序和工作负载的动态性来彻底改变数据中心。

然而，在涉及到SDN的安全性方面，虽然服务和策略是分布式的，但仍然通过集中的SDN控制器从单点进行管理。诚然这能够给SDN提高效率，但如果SDN控制器受到攻击，攻击者可以快速影响整个网络后果不堪设想。在SDN环境中DDoS攻击成为影响SDN控制器有效性的重要方面。本文将探讨DDoS攻击在SDN环境中的安全隐患，并希望为SDN的用户提供建议。

什么是虚拟网络？组织为什么需要虚拟网络？

SDN是一种全新的技术，它使得网络管理员通过开放接口和较低级功能的抽象来创建动态网络。SDN从实际移动数据（转发平面）的硬件分离决定发送信息的智能化，即所谓的控制平面与转发平面的分离。这两个平面的分离使得决策过程在集中的、基于软件的控制器中执行，而不是让网络中的每个节点做出自己的决策。所有应用程序通过控制器进行配置请求，该控制器具有对整个网络的可见性，并为每个节点做出转发决策。但是，这也意味着IT安全团队需要考虑如何保护控制平面，因为这将成为唯一的故障节点，稍有漏洞就可能导致整个网络瘫痪。

尽管SDN带来了很多好处，如改进网络接入控制的细粒度安全策略等，与传统的网络架构相比，它也引入了传统网络配置过程中不曾有过的挑战。

SDN的安全问题

在安全性方面，SDN终于实现了为每个虚拟化工作负载提供最大限度的保护所需的细粒度策略，并且这些策略在虚拟化基础设施周围迁移时自动遵循这些工作负载。

所面临的挑战在于，这可能导致SDN控制器成为整个网络的单一妥协点，一旦被DDoS攻击很容易被窃取数据导致网络重大中断。

将SDN与管道系统进行比较，这相当于一次泄露，降低系统压力并影响整个网络。事实上，与SDN部署相关的spine带宽显著增加了攻击面，即使是相对较小的多千兆DDoS攻击也可能使整个数据中心宕机。最终即时是一个单一的，低容量的DDoS攻击也可能导致严重的损害，甚至给组织造成长期的损失。

最佳的安全方式

当使用SDN和NFV创建弹性和安全的环境时，必须在数据中心边缘部署始终运行的自动DDoS检测和缓解工具，这是获得实时响应事件所需的可见性的唯一方式。通过在SDN控制器和DDoS防御之间联合API，可以控制对SDN控制器造成的破坏，并可以缓解DDoS攻击。在发生超饱和事件时，DDoS防御可以迅速向上游发送信息，以报告此类攻击事件。

结论

总体而言，SDN和NFV为组织需要的关键网络功能带来巨大的优势，消除了对专有物理设备的需求，这使得组织能够降低成本和复杂性，并同时享受改进的可扩展性、弹性和更便捷的部署。但是，尽管具备了这样的优势，也使得网络更容易受到攻击。希望从SDN或NFV获益的组织必须确保他们能够全面了解其虚拟化环境以减轻这些风险。通过在系统之间联合API来集成DDoS保护来展开网络防御，只有密切关注虚拟化环境的管道，才能保持其操作和数据的安全性。

原文链接：http://www.datacenterdynamics.com/content-tracks/security-risk/sdn-a-double-edged-sword/98769.article