随着SDN技术应用到生产网络，SDN安全问题也尾随而至，企业在推动SDN产品化的同时CISO（首席信息安全官）也在寻找捍卫SDN网络安全的方法。年初，ESG发布了一项名为“云与移动时代的安全趋势”的调研报告。ESG调研了321位网络安全工作者了解他们所在单位的网络和网络安全策略。

调查显示SDN很受关注，很多公司都已经部署或是打算部署SDN。SDN来势汹汹，但是不得不承认SDN是一项新兴技术，它还存在很多隐患。就安全性来讲，SDN存在尚未解决的安全问题，这些问题包括产品中不成熟的安全功能以及SDN控制器单点故障带来的风险。最令人恐慌的是目前的SDN版本，例如基于OpenFlow的SDN对网络安全很少提及。

但是，SDN安全问题也没有那么糟糕，相较于传统网络交换机，SDN产品的代码库比较精简，减少了攻击者发现漏洞的机会。况且，SDN提供对网络设备的集中式、自动化管理和统一的策略执行，与目前的网络架构相比提高了可靠性、安全性。而传统的网络安全应用，如访问控制、防火墙、入侵检测、入侵防御等也可利用SDN控制器的开放API实现或者方便地集成到SDN中。

这样看来，SDN进入企业只是早晚的问题。企业首次部署SDN技术时网络团队将扮演重要角色，负责SDN的监督和运营工作。ESG调研结果显示：

• 16%的企业在采用SDN安全用例前会给网络团队1年多时间了解SDN的功能和操作。
• 41%的企业在采用SDN安全用例前会给网络团队6到9个月了解SDN的功能和操作。
• 28%的企业在采用SDN安全用例前会给网络团队3到6个月了解SDN的功能和操作。

由此看来，SDN将会分步进入企业，先应用于数据通信，随后才用于网络安全。这项报告很具有参考价值，从报告结果看来CISO应该采取以下措施：

• 用3到6个月的时间计划SDN项目。CISO应该先拟定网络安全结构，然后选取最适合的SDN安全用例，接着提出正式的项目计划。简而言之，就是做好充足的准备，一旦SDN通过网络团队的考察就将SDN用于网络安全方面。
• 发散思维，跳出盒子思考。SDN可以给网络安全带来很大改变。例如，SDN可以为Emulex、Intel和Solarflare的智能安全为导向的 NICs引入一个网络安全角色。 CISO应该秉持开放的理念，寻找可以提高安全操作效率，帮助他们处理安全业务的新技术。
• 推动设备商参与并支持项目。SDN很多方面依旧是模棱两可的，尤其是安全领域，一些网络安全设备商提出含糊不清的观点，并且大肆炒作，但是对于真正的项目计划而言其中的信息量太有限了。CISO应该促使设备商公开他们的SDN产品计划和策略。SDN有潜力影响网络安全，所以CISO必须争取设备商的支持，共同推动SDN扎根网络安全领域。

舍得舍得，先舍才能得，安全设备商必须将眼光放长远。SDN顺利应用到网络安全方面后很多用户将会需要帮助、培训和支持，前期的投入很快就能看到回报，但是前提是能够为用户提供高质量的SDN安全。所以，开放共享才是王道。

参考自：http://www.networkworld.com/article/2851631/cisco-subnet/sdn-networking-followed-by-sdn-security.html