创新技术SDN能否拯救网络安全

SDN,Software Defined Networking,中文翻译为“软件定义网络”,是目前美国大型网络厂商如Cisco,Juniper,HP,IBM和DELL等在忙碌的创新科技。

这个看上去很像内容分发网络CDN的新名词关注的却是云计算时代的网络和安全问题,不过其两者的基本思想脉路会不会非常相似呢?昆明亭长朗然科技有限公司的信息安全研究人员查询了相关的资料,发现印证了部分的猜测,新技术的主要目的是使用软件远程控制网络硬件、进而加速互联网连接速度,开源OpenFlow项目更是已经运作几年并受到多家厂商的追捧和大量社区开发人员的加入。

的确,当前移动终端计算设备和数据都呈现井喷式的增长,大数据、虚拟化和云计算给传统的IT产业带来巨大的变革,传统的互联网基础架构似乎成了快速发展的一个瓶颈,各类数据中心、区域网络和运营商都需要新的创新网络架构。

不过,安全从业人员可能更为关心SDN在解决安全问题方面能够有什么贡献。亭长朗然公司的安全研究员James Dong说:首先,QoS的一个问题会得到更好的解决,通过在交换机和路由器中插入新的硬件模块,配之以相关的管理软件和系统,弹性、安全和灵活的网络流量控制将非常容易实现,而且会大大降低管理和运营成本。此前,运营商会分配一定的带宽,网络服务团队来设置QoS,不够用了就要找运营商多添加带宽,可能在增加带宽之后又闲置了不少资源。在新的SDN架构下,用户像使用煤气或水电一样使用“云带宽”,即通过设置动态的流量分配,进而除了实现传统的QoS功能之外,更可以做到用多少,付多少。

其次,则是帮助减少信息安全相关法规遵循的压力,云计算环境的IT治理、审计等等繁琐的工作在统一、有弹性和高效管理系统之下,会变得简化和富于成效,举例讲,使用SDN,管理人员可以轻松通过远程自动或手动来阻止受了病毒感染的计算终端或网段接入区域或互联网络。

最后,对于任何创新科技,我们都不能太过于盲目乐观,SDN也是如此,目前西方主流IT媒体开始炒作SDN概念,相信少量产品和技术已经在小范围内得以实施。要到中国,还需一些时间,不过以互联网新技术的传播速度来看,或许也就在一瞬间。

不过,话说回来,几百块钱儿的路由器也已经集成了众多的网络安全控管功能,不但含有高级动态路由和QoS等功能,甚至还成了UTM和上网行为管理系统。我们可能会问:市场是否需要SDN呢?答案是:当然不能看家庭和中小型企业,电信运营商、大型的数据中心和园区网络才是SDN的消费主力。

互联网安全及带宽控制原理

network-traffic-control

不管控制的缘由来自于您的老板还是同事的抱怨,都需要明白的道理是:组织的(网络带宽)资源是有限的,有限的资源应该按照业务的需求级别进行有效的分配。互联网的创新P2P技术,部分用户使用基于此原理的网络应用,可以占用几乎所有的带宽资源,进而影响其它应用的网络连接和其他用户的正常应用操作。最后,基于P2P技术的下载和上传会带来许多版权的问题和安全的隐患。

如何做呢才能化解这些矛盾呢?昆明亭长朗然科技有限公司的互联网安全顾问Bob Xue的建议如下:

1.从策略层面禁止相关的使用,禁止安装和使用非授权的软件,包括P2P应用程序,这会让那些守法的员工们继续守法,也给那些心存侥幸的家伙们以震慑。

2.从桌面安全的管理和技术控制层面,监控和禁用这些P2P程序,例行的桌面安全检查可将P2P应用做为一项重点,检查失败可是会和绩效挂钩的哦,技术上也需控制这些软件的下载安装以及防止从移动设备上运行绿色版。

3.尽管传统的防火墙技术并不能完全防止P2P使用造成的不良影响,但事实是众多P2P软件使用非标准的WEB应用端口来传输数据,所以,如果您的防火墙上的访问控制策略配置开放了太多默认的端口,现在您就有了很好的改进的机会——重新审视这些访问控制规则,默认关闭那些非标准的不必要的端口连接吧!

4.上面这个简单的动作,相信会带来很大的效果,不过,仍然会有部分使用常用WEB服务端口的P2P的连接,总不能把HTTP和HTTPS也给封了吧?所以,您需要在网络应用层面进行一些控管,一些商业的内容过滤程序可以帮忙您找出和阻止这些连接,您也可以自己架设基于开源系统的代理服务器进行P2P使用的监控及过滤。如果您有IDS、高级防火墙或IPS系统,它们往往也支持P2P流量的检测和阻断。

5.部署流量整形技术,有效分配流量,首先保证业务系统可获得优先的带宽分配,其次限制每台工作站终端有一个最大的带宽占用量。最后,强调的是技术上的侦测结果,可以用技术的手段来限制,但一定要和管理手段结合起来,否则永远会处于“道高一尺,魔高一丈”的境地,而且这种拉锯战会让控管的成本激增而效率降低。

6.在安全控管的技术创新上,实际上是永无止境的,因为问题永远存在——从大的方面讲,这是资源配置与需求平衡的问题,当然更是信息资源管理的范围。从小的方面讲,不理解控制原因的用户永远会试图躲避和越过这些流量控管措施,想依靠在技术上的领先来对付这种不断的博弈,也只有不断地更新技术控管措施。这显然不是有效配备资源的好方法。强化互联网安全政策及软件使用政策的教育,让用户不仅了解到要如何做才能符合工作要求,更要让用户们理解为什么要这样做。

我们有丰富的互联网安全控管经验,这些经验不仅仅是实施安全技术控管措施,更是如何从商业效率和效益的角度来实现安全控管目标。不管有任何信息安全控管方面的问题,欢迎联系我们!

我们制作了一部互联网安全使用的场景式教程,其中关系到互联网下载和合规使用,这种方法不是“命令与控制”的信息安全控制手段,而是通过征服用户的内心,让用户拥有适当的信息安全觉悟,自觉遵守和维护信息安全纪律。欢迎各位访客前来联系我们,获得链接,在线观赏、指导和吐槽。