软件定义网络：动态敏捷性、安全性

在保护国防部的大规模网络方面，软件定义网络 （SDN） 可以帮助保护易受攻击的传统和定制开发的网络基础设施。

美国国防部 （DoD） 运营着地球上最大、最复杂的网络之一，这带来了独特的安全挑战。

保护国防部网络的大部分内容都是机密的，但嵌入式系统肯定是其最大的安全挑战之一。“国防部网络的范围是全球性的，支持绝对关键的运营，”位于加利福尼亚州帕洛阿尔托的VMware网络和安全高级工程架构师Dennis Moreau博士说。“当他们不工作时，人们处于危险之中。这些网络包含许多根据合同开发的设备，例如专用信号处理和专用通信。..。..从嵌入式传感器、现场可编程门阵列（FPGA）到各种‘边缘’的新电子设备。

这些庞大的网络带来的问题之一是，“当端点是特殊的、定制的或根据合同开发的时，很难为大约 10 年前构建的东西找到补丁，但后来已成为网络基础设施的绝对必要部分，”莫罗补充道。

国防部的庞大网络已经发展了很长时间，因此这需要汇集许多独特的端点。“如果我们考虑带有嵌入式系统的军事网络，我不确定还有什么更复杂的 - 从配置管理，安全管理的角度来看，有点‘跨资产演变的防御’，”莫罗说。

如果您认为尝试保护所有这些网络和设备将是一场彻头彻尾的噩梦，那么您是对的。“它的复杂性也是由于军方在人员配备方面面临的独特挑战，”莫罗指出。“人们进入并非常擅长某件事，然后继续前进，因为它在晋升方面是‘上升或退出’。

第三方或承包商提供了一定程度的连续性，但他们的角色和合同也会随着时间的推移而变化，因此当你拥有所有这些动态和具有全球影响力的非常进化的系统时，可能很难明确、长期地定义他们的角色是什么、他们的组织权利是什么以及正常行为是什么。“你可以看到承包商获得太多访问权限并能够做一些原本看起来很不寻常的事情的情况 - 例如泄露千兆字节的数据 - 如何在这种环境中发生，”莫罗指出。

SDN在网络安全中可以发挥什么作用？

同样，国防部在网络安全方面所做的大部分工作都是秘密或机密的，但陆军，海军和国防信息系统局（DISA）的2017年预算都提到了软件定义网络（SDN）。

“我们看到国防部内部正在采取重大举措来培养‘软件定义’，”莫罗说。“其中最大的一个是迪砂决定将军事间分支网络转移到软件定义的基础上。

SDN本质上是一种以安全性为基础设计的堆栈架构，它将网络控制平面与数据转发平面分开，并将其集中在控制器中，控制器通过更高级别的策略定义转发行为。北向应用程序编程接口 （API） 位于控制器顶部，向应用程序和管理层提供网络抽象接口，而南向 API 允许控制器在 SDN 堆栈底部定义交换机的行为。SDN的关键是数据平面和控制平面的分离。

“迪砂和各个军事部门一直在努力认识到这里真的没有‘终点线’，因为SDN正在发展，”莫罗说。这意味着他们需要一个基础设施，为他们提供一定程度的敏捷性来响应他们所看到的正在发生的事情。

“网络和‘管道’的‘软件定义’——甚至是提供战场前线连接的软件定义无线电和系统——都认识到这样一个事实，即在你需要做之前，你需要做的事情往往没有很好地定义，所以你需要能够敏捷地塑造你的基础设施以适应你需要做的任何事情，“他继续说道。

所有根据合同构建的嵌入式技术，可能是旧的，或者是定制开发的，没有一致的安全补丁，都可以通过SDN进行保护。Moreau 解释说：“您可以围绕这些定制开发的功能（无论是设备、传感器还是系统）包装逻辑网络，在网络和入侵防御系统 （IPS） 功能方面为其提供最先进的保护。

他说，SDN提供了“可能为每个自定义系统提供自己的网络，然后可以对其进行适当的保护，而无需在幕后更改底层系统”的灵活性。“您可以为其提供自己的保护策略，允许您决定哪些内容应该进入和退出应用程序，将控件放在其边界上。因此，您可以延长其中一些旧技术或定制技术的安全运行寿命。

例如，您可以为海军舰艇上的嵌入式雷达系统提供自己的网络、保护和策略，以便这些策略将成为一组简洁的策略，与该系统上发生的任何变化以及随时间推移发现的漏洞保持一致。“无需改变五到十年前可能建立的系统，”莫罗说。“‘软件定义’的许多方面也在企业中得到利用，这些方面使国防，军事和嵌入式场景中的安全性更好。

另一个好处是，引人注目的可持续成本来自SDN，因为它允许用户基本上在现代技术上托管遗留功能。“此外，通过降低复杂性，可以托管Linux的同一系统也可以托管Windows和非常旧的Windows，并通过拥有现代防火墙，IPS，Web应用程序防火墙（WAF），沙盒为其提供最先进的保护。..。..坐在旧操作系统上的旧应用程序的旧版本前面，“莫罗补充道。

SDN 可见性

SDN的最大优势之一是，当防火墙放置在东西向流量上时，它提供了精细的可见性。

“尝试使用硬件执行此操作，您最终会将数据中心的流量发夹到外部的某个设备上，然后再返回。我们所做的延迟、复杂性和选择性确实限制了您的可见性，“莫罗解释道。“但是，如果我可以将防火墙放在应用程序、虚拟机或嵌入式系统的逻辑边界上，那么我的可见性是固有的，并且会随着工作负载的数量而扩展。更多工作负载、更多保护、更多可见性。因此，一旦发生初始感染，四处摸索受害者并在环境中横向移动的能力不再是在黑暗中发生的事情。

还有工作要做，因为SDN需要有效的分析来关注这些环境中所有新传感器的实例和边界，并“然后使我们所看到的可用，再次利用网络的灵活性来帮助保护它，”他说。

展望未来，SDN甚至支持移动目标防御（MTD）等高级保护。Moreau 说：“由于‘软件定义性’，尤其是 SDN，MTD 变得越来越容易实现，我们可以主动配置系统，以便在看到异常时可以重新配置它。“我们可以抛弃一个全新的网络，一台全新的机器，并从可靠的来源提供应用程序，以便可以推出受感染的应用程序［进行调查］并推出新的应用程序。所有这些都可以通过使用你从‘软件定义性’中获得的动态作为保护机制来实现。

让 SDN 发挥作用

如果您只是采用现有的网络拓扑并在“软件定义”技术上实施它，并且根本不更改逻辑拓扑，那么您将无法将网络包裹在这些传统或自定义解决方案周围，或者获得更精细的保护、可见性和它提供的额外灵活性，Moreau 说。

利用SDN需要投资细粒度安全态势的定义，您希望将这些策略放置在这些应用程序和系统的边界上，以获得更严格的“最小特权保护，防止临时滥用松散的权限和访问控制，”他补充道。

它涉及表征所有系统，包括旧系统和当前系统，以决定它们应该如何和不应该如何行为（例如，决定其边界上的防火墙规则应该是什么）;SNORT ［一种网络入侵防御系统］ 在其边界上的 IPS 上应该是什么规则;MSRI 在 WAF 上的规则应该是停止跨站点脚本。

“这需要知道系统应该做什么，”莫罗警告说。“因此，您需要完成这项工作和文档，以便它处于最新状态并得到维护，以便能够利用SDN的成本和功能优势。

这一切都不是偶然发生的。“这需要努力并涉及成本 - 但成本在效率，生命周期成本和更有效的保护方面得到了回报，”莫罗断言。

对 SDN 控制器/虚拟机管理程序的攻击

人们对SDN表达的两个安全问题是其控制器和虚拟机管理程序可能受到攻击。知道是什么几乎立即停止了对话吗？“几十年来，我们一直拥有基于硬件的网络保护和控制，它似乎并没有阻止大规模的违规行为，”莫罗说。

使用软件定义的控制器，如果您发现缺陷，当某些东西的行为不符合您的要求时，您可以快速解决它。“一堆分散在全球并以不同方式同步的硬件设备并非如此，使用专门设计用于运行路由器和防火墙的操作系统。这些在安全方面面临挑战的历史由来已久，“他解释道。“从来没有一个软件工件是完美的。问题是：它是否具有发生漏洞或漏洞的弹性，以及继续诚信运营的能力？这就是‘软件定义性’发挥作用的地方。

虚拟机管理程序也是如此，因为没有底层处理器是完美的。“我们已经看到了问题，例如，在TMP固件中的IOMMU ［输入输出内存管理单元］寻址，控制流，使用DMA的控制器中，等等，”Moreau指出。“同样的问题可能会导致硬件ISP和防火墙的问题，或任何其他用于隔离或保护的问题。最大的优势是，有了SDN，我们可以做点什么。

敏捷性和弹性

Moreau说，SDN培养态势感知的能力以“可操作的上下文和灵活的响应——我们可以移动的工作负载、我们可以逐步降低安全态势或自适应地改变隔离边界的网络”的形式出现。

他继续说，这种敏捷性“产生了弹性，使我们能够在缺陷出现时对它们做一些事情。“因此，这不是一个在防火墙（物理或虚拟）中没有漏洞的虚拟机管理程序，网络控制器或底层硬件中没有缺陷的问题。这一切都是为了能够看到何时出现问题并能够有效地做出反应。莫罗总结说，能够灵活地纠正问题并适应问题，同时继续利用系统来做你需要做的事情，这就是“弹性的真正意义所在”。

审核编辑：郭婷