编者按：SDN安全问题，随着日渐广泛的SDN部署，逐渐显现出来。SDN管理者该何去何从？如何确保SDN安全？这些问题都将逐一出现，SDN安全问题已成为一个不得不重视的问题。

面对网络承载的日趋复杂化，有时候IT安全策略远比黑客攻击对企业员工的影响大，例如在路由器上留下默认密码是不明智的，但强迫员工每90天就更换一次密码，甚至一年后也不能重新使用等等，却又过犹不及。

那么随着软件定义网络（Software-defined networking，SDN）技术的兴起和部署，SDN会迫使管理者更担心其安全问题吗？事实上，没有统一的答案。

这并不是说今后无需关注SDN的安全问题了，而是希望像此前安全顾问Scott Hogg对SDN攻击向量的深入调查一样，在控制器、数据平台，以及网络层面上强化SDN网络，并给出防护建议。

曾经，致力于SDN发展和标准化的开放网络基金会（ONF）就在关于SDN安全方案的简介中提到，逻辑上集中（硬件设备分布放置）的SDN控制器，相较传统的网络架构，会存在一系列不同的潜在风险和威胁。

例如，SDN使用集中化的网络控制器，一旦出现单点的设备故障，便容易暴露出弱点。因此网络基础设施必须能承受偶尔会有SDN控制器不可用的紧急情况，同时一旦控制器与设备恢复通信后，还要确保新的数据流能够同步。

ONF的方案介绍中还阐述了SDN拒绝恶意攻击的安全能力。但实际上，网络虚拟化技术还支持其他方面的安全性能。来自VMware的Rod Stuhlmuller就曾表示，当利用软件定义一切时，云管理软件可以分配计算、存储和网络容量需求，并将网络虚拟化添加到动态的环境中，并且能将网络属性现行的变更业务模型中。然而，这种深刻的变化往往令负责网络安全的管理者很紧张。

网络虚拟化的安全优势还包括可隔离、分割、分布式防御，以及“串联”防火墙和VPN服务的能力等等。Rod Stuhlmuller认为，网络虚拟化平台不是让安全变得更复杂，而是可以通过结合上述这些特性，令安全操作更为简化。

当企业战略集团（Enterprise Strategy Group，ESG）的Jon Oltsik向企业安全专业人士，调查今年夏天的SDN运营情况时，获得了令人印象深刻的评价，其中包括：

• 28%的专家认为，可以为终端有选择性地拦截恶意流量；
• 28%的专家认为，可以提高网络安全的政策审核和冲突检测；
• 23%的专家认为，可以集中网络安全服务策略和配置管理；
• 23%的专家认为，可以实施自动化的网络安全补救任务。

然而，在本月的ESG调查中显示，有相当部分的组织并不关心SDN及其安全，所以41%的企业中，网络团队拥有完整的SDN基础设施决策权。而只有7%的企业，其SDN基础设施分别由负责网络与信息安全的IT团队组成。

事实上，鉴于SDN的创新性，进行联合监管的跨部门合作是非常必要的，因此未来IT管理员将不得不分享和学习各自的专长，一同致力于建立协同安全、高效的基础网络架构，来应对新的安全问题出现。

转载自：http://tech.hexun.com/2014-12-17/171489107.html