软件定义 络管理者 该担心sdn安全吗?

面对 络承载的日趋复杂化，有时候it安全策略远比黑客攻击对企业员工的影响大，例如在路由器上留下默认密码是不明智的。而强迫员工每90天就更换一次密码，甚至一年后也不能重新使用等等，也是过犹不及的。

安全与风险并存

那么随着软件定义 络（
software-definednetworking，sdn）技术的兴起和部署，会迫使管理者担心sdn带来新的 络安全问题吗？事实上，答案是否定的。

软件定义 络，sdn

可是这并不代表无需关注sdn的安全问题了，而是希望像此前安全顾问scotthogg对攻击sdn途径的深入调查一样，在控制器层、数据层，以及sdn层上强化sdn系统的安全性，并给出建议。

曾经，致力于sdn发展和标准化的开放 络基金会（onf）就在关于sdn安全方案的说明中提到，逻辑上集中（硬件设备分布放置）的sdn控制器，相较传统的 络架构，会潜在存在一系列不同的风险和威胁。

例如，由于sdn使用集中化的 络控制器，一旦出现单点的设备故障，便容易暴露出弱点。因此 络基础设施必须能承受偶尔会有sdn控制器不可用的情况发生，同时一旦控制器与设备恢复通信后，还要确保任何新的数据流能够进行同步。

但onf的方案说明中也阐述了sdn能够拒绝恶意攻击的安全能力。由于 络虚拟化技术还支持其他方面的安全性能，来自vmware的技术专家rodstuhlmuller就曾表示，当利用软件定义一切时，云管理软件可以分配计算、存储和 络容量需求，并将 络虚拟化添加到动态的环境中，以及变更 络属性的业务模型中。然而，这种深刻的变化往往令负责 络安全的管理者们很紧张。

络虚拟化的安全优势还包括可隔离、分割、分布式防御，以及“串联”防火墙和vpn服务的能力等等。rodstuhlmuller认为， 络虚拟化平台不是让安全变得更复杂，而是可以通过结合上述这些特性，令安全操作更为简化。

管理者对sdn安全认识不足

来自esg（enterprisestrategygroup，企业战略集团）的jonoltsik，在向企业安全专业人士调查今年夏天的sdn运营情况时发现，目前管理者们对sdn的安全性还认识不足，其中包括：

——只有28%的人认为，sdn可以为终端有选择性地拦截恶意流量；

——有23%的人认为，sdn可以集中 络安全服务策略和配置管理；

——有23%的人认为，sdn可以实施自动化的 络安全补救任务。

同时，在本月的esg调查中显示，还有相当部分的组织并不关心sdn及其安全问题。因此占41%的企业，其 络团队是拥有整个sdn基础设施的决策权。而只有7%的企业，将决定sdn基础设施的决策权分别授予负责 络和信息安全的it团队。

事实上，鉴于sdn的创新性，进行跨部门的联合监管是非常必要的，因此未来it管理员将不得不学习和分享各自的专长，一同致力于建立安全、高效、协同的基础 络架构，来应对新的安全问题出现。

附录：

sdn架构图示

sdn：软件定义 络，是一种新型的 络架构，其设计理念是将 络控制层与数据转发层进行分离，并实现可编程化控制。大部分sdn架构模型都有三个层：底层是具有sdn功能的 络设备，中间层是sdn控制器，上层包括请求或配置sdn的应用与服务。sdn突破了传统 络因协议标准化、设备专用化、能力封闭化而带来的制约，降低了对专用硬件设备的依赖性，可以降低企业或运营商庞大的支出。