在保護(hù)國防部的大規(guī)模網(wǎng)絡(luò)方面，軟件定義網(wǎng)絡(luò) （SDN） 可以幫助保護(hù)易受攻擊的傳統(tǒng)和定制開發(fā)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

美國國防部 （DoD） 運(yùn)營著地球上最大、最復(fù)雜的網(wǎng)絡(luò)之一，這帶來了獨(dú)特的安全挑戰(zhàn)。

保護(hù)國防部網(wǎng)絡(luò)的大部分內(nèi)容都是機(jī)密的，但嵌入式系統(tǒng)肯定是其最大的安全挑戰(zhàn)之一?！皣啦烤W(wǎng)絡(luò)的范圍是全球性的，支持絕對(duì)關(guān)鍵的運(yùn)營，”位于加利福尼亞州帕洛阿爾托的VMware網(wǎng)絡(luò)和安全高級(jí)工程架構(gòu)師Dennis Moreau博士說?！爱?dāng)他們不工作時(shí)，人們處于危險(xiǎn)之中。這些網(wǎng)絡(luò)包含許多根據(jù)合同開發(fā)的設(shè)備，例如專用信號(hào)處理和專用通信。..。..從嵌入式傳感器、現(xiàn)場(chǎng)可編程門陣列（FPGA）到各種‘邊緣’的新電子設(shè)備。

這些龐大的網(wǎng)絡(luò)帶來的問題之一是，“當(dāng)端點(diǎn)是特殊的、定制的或根據(jù)合同開發(fā)的時(shí)，很難為大約 10 年前構(gòu)建的東西找到補(bǔ)丁，但后來已成為網(wǎng)絡(luò)基礎(chǔ)設(shè)施的絕對(duì)必要部分，”莫羅補(bǔ)充道。

國防部的龐大網(wǎng)絡(luò)已經(jīng)發(fā)展了很長時(shí)間，因此這需要匯集許多獨(dú)特的端點(diǎn)。“如果我們考慮帶有嵌入式系統(tǒng)的軍事網(wǎng)絡(luò)，我不確定還有什么更復(fù)雜的 - 從配置管理，安全管理的角度來看，有點(diǎn)‘跨資產(chǎn)演變的防御’，”莫羅說。

如果您認(rèn)為嘗試保護(hù)所有這些網(wǎng)絡(luò)和設(shè)備將是一場(chǎng)徹頭徹尾的噩夢(mèng)，那么您是對(duì)的?！八膹?fù)雜性也是由于軍方在人員配備方面面臨的獨(dú)特挑戰(zhàn)，”莫羅指出?！叭藗冞M(jìn)入并非常擅長某件事，然后繼續(xù)前進(jìn)，因?yàn)樗跁x升方面是‘上升或退出’。

第三方或承包商提供了一定程度的連續(xù)性，但他們的角色和合同也會(huì)隨著時(shí)間的推移而變化，因此當(dāng)你擁有所有這些動(dòng)態(tài)和具有全球影響力的非常進(jìn)化的系統(tǒng)時(shí)，可能很難明確、長期地定義他們的角色是什么、他們的組織權(quán)利是什么以及正常行為是什么?！澳憧梢钥吹匠邪太@得太多訪問權(quán)限并能夠做一些原本看起來很不尋常的事情的情況 - 例如泄露千兆字節(jié)的數(shù)據(jù) - 如何在這種環(huán)境中發(fā)生，”莫羅指出。

SDN在網(wǎng)絡(luò)安全中可以發(fā)揮什么作用？

同樣，國防部在網(wǎng)絡(luò)安全方面所做的大部分工作都是秘密或機(jī)密的，但陸軍，海軍和國防信息系統(tǒng)局（DISA）的2017年預(yù)算都提到了軟件定義網(wǎng)絡(luò)（SDN）。

“我們看到國防部?jī)?nèi)部正在采取重大舉措來培養(yǎng)‘軟件定義’，”莫羅說。“其中最大的一個(gè)是迪砂決定將軍事間分支網(wǎng)絡(luò)轉(zhuǎn)移到軟件定義的基礎(chǔ)上。

SDN本質(zhì)上是一種以安全性為基礎(chǔ)設(shè)計(jì)的堆棧架構(gòu)，它將網(wǎng)絡(luò)控制平面與數(shù)據(jù)轉(zhuǎn)發(fā)平面分開，并將其集中在控制器中，控制器通過更高級(jí)別的策略定義轉(zhuǎn)發(fā)行為。北向應(yīng)用程序編程接口 （API） 位于控制器頂部，向應(yīng)用程序和管理層提供網(wǎng)絡(luò)抽象接口，而南向 API 允許控制器在 SDN 堆棧底部定義交換機(jī)的行為。SDN的關(guān)鍵是數(shù)據(jù)平面和控制平面的分離。

“迪砂和各個(gè)軍事部門一直在努力認(rèn)識(shí)到這里真的沒有‘終點(diǎn)線’，因?yàn)镾DN正在發(fā)展，”莫羅說。這意味著他們需要一個(gè)基礎(chǔ)設(shè)施，為他們提供一定程度的敏捷性來響應(yīng)他們所看到的正在發(fā)生的事情。

“網(wǎng)絡(luò)和‘管道’的‘軟件定義’——甚至是提供戰(zhàn)場(chǎng)前線連接的軟件定義無線電和系統(tǒng)——都認(rèn)識(shí)到這樣一個(gè)事實(shí)，即在你需要做之前，你需要做的事情往往沒有很好地定義，所以你需要能夠敏捷地塑造你的基礎(chǔ)設(shè)施以適應(yīng)你需要做的任何事情，“他繼續(xù)說道。

所有根據(jù)合同構(gòu)建的嵌入式技術(shù)，可能是舊的，或者是定制開發(fā)的，沒有一致的安全補(bǔ)丁，都可以通過SDN進(jìn)行保護(hù)。Moreau 解釋說：“您可以圍繞這些定制開發(fā)的功能（無論是設(shè)備、傳感器還是系統(tǒng)）包裝邏輯網(wǎng)絡(luò)，在網(wǎng)絡(luò)和入侵防御系統(tǒng) （IPS） 功能方面為其提供最先進(jìn)的保護(hù)。

他說，SDN提供了“可能為每個(gè)自定義系統(tǒng)提供自己的網(wǎng)絡(luò)，然后可以對(duì)其進(jìn)行適當(dāng)?shù)谋Ｗo(hù)，而無需在幕后更改底層系統(tǒng)”的靈活性。“您可以為其提供自己的保護(hù)策略，允許您決定哪些內(nèi)容應(yīng)該進(jìn)入和退出應(yīng)用程序，將控件放在其邊界上。因此，您可以延長其中一些舊技術(shù)或定制技術(shù)的安全運(yùn)行壽命。

例如，您可以為海軍艦艇上的嵌入式雷達(dá)系統(tǒng)提供自己的網(wǎng)絡(luò)、保護(hù)和策略，以便這些策略將成為一組簡(jiǎn)潔的策略，與該系統(tǒng)上發(fā)生的任何變化以及隨時(shí)間推移發(fā)現(xiàn)的漏洞保持一致?！盁o需改變五到十年前可能建立的系統(tǒng)，”莫羅說。“‘軟件定義’的許多方面也在企業(yè)中得到利用，這些方面使國防，軍事和嵌入式場(chǎng)景中的安全性更好。

另一個(gè)好處是，引人注目的可持續(xù)成本來自SDN，因?yàn)樗试S用戶基本上在現(xiàn)代技術(shù)上托管遺留功能?！按送?，通過降低復(fù)雜性，可以托管Linux的同一系統(tǒng)也可以托管Windows和非常舊的Windows，并通過擁有現(xiàn)代防火墻，IPS，Web應(yīng)用程序防火墻（WAF），沙盒為其提供最先進(jìn)的保護(hù)。..。..坐在舊操作系統(tǒng)上的舊應(yīng)用程序的舊版本前面，“莫羅補(bǔ)充道。

SDN 可見性

SDN的最大優(yōu)勢(shì)之一是，當(dāng)防火墻放置在東西向流量上時(shí)，它提供了精細(xì)的可見性。

“嘗試使用硬件執(zhí)行此操作，您最終會(huì)將數(shù)據(jù)中心的流量發(fā)夾到外部的某個(gè)設(shè)備上，然后再返回。我們所做的延遲、復(fù)雜性和選擇性確實(shí)限制了您的可見性，“莫羅解釋道?！暗?，如果我可以將防火墻放在應(yīng)用程序、虛擬機(jī)或嵌入式系統(tǒng)的邏輯邊界上，那么我的可見性是固有的，并且會(huì)隨著工作負(fù)載的數(shù)量而擴(kuò)展。更多工作負(fù)載、更多保護(hù)、更多可見性。因此，一旦發(fā)生初始感染，四處摸索受害者并在環(huán)境中橫向移動(dòng)的能力不再是在黑暗中發(fā)生的事情。

還有工作要做，因?yàn)镾DN需要有效的分析來關(guān)注這些環(huán)境中所有新傳感器的實(shí)例和邊界，并“然后使我們所看到的可用，再次利用網(wǎng)絡(luò)的靈活性來幫助保護(hù)它，”他說。

展望未來，SDN甚至支持移動(dòng)目標(biāo)防御（MTD）等高級(jí)保護(hù)。Moreau 說：“由于‘軟件定義性’，尤其是 SDN，MTD 變得越來越容易實(shí)現(xiàn)，我們可以主動(dòng)配置系統(tǒng)，以便在看到異常時(shí)可以重新配置它?！拔覀兛梢話仐壱粋€(gè)全新的網(wǎng)絡(luò)，一臺(tái)全新的機(jī)器，并從可靠的來源提供應(yīng)用程序，以便可以推出受感染的應(yīng)用程序［進(jìn)行調(diào)查］并推出新的應(yīng)用程序。所有這些都可以通過使用你從‘軟件定義性’中獲得的動(dòng)態(tài)作為保護(hù)機(jī)制來實(shí)現(xiàn)。

讓 SDN 發(fā)揮作用

如果您只是采用現(xiàn)有的網(wǎng)絡(luò)拓?fù)洳⒃凇败浖x”技術(shù)上實(shí)施它，并且根本不更改邏輯拓?fù)?，那么您將無法將網(wǎng)絡(luò)包裹在這些傳統(tǒng)或自定義解決方案周圍，或者獲得更精細(xì)的保護(hù)、可見性和它提供的額外靈活性，Moreau 說。

利用SDN需要投資細(xì)粒度安全態(tài)勢(shì)的定義，您希望將這些策略放置在這些應(yīng)用程序和系統(tǒng)的邊界上，以獲得更嚴(yán)格的“最小特權(quán)保護(hù)，防止臨時(shí)濫用松散的權(quán)限和訪問控制，”他補(bǔ)充道。

它涉及表征所有系統(tǒng)，包括舊系統(tǒng)和當(dāng)前系統(tǒng)，以決定它們應(yīng)該如何和不應(yīng)該如何行為（例如，決定其邊界上的防火墻規(guī)則應(yīng)該是什么）;SNORT ［一種網(wǎng)絡(luò)入侵防御系統(tǒng)］ 在其邊界上的 IPS 上應(yīng)該是什么規(guī)則;MSRI 在 WAF 上的規(guī)則應(yīng)該是停止跨站點(diǎn)腳本。

“這需要知道系統(tǒng)應(yīng)該做什么，”莫羅警告說?！耙虼?，您需要完成這項(xiàng)工作和文檔，以便它處于最新狀態(tài)并得到維護(hù)，以便能夠利用SDN的成本和功能優(yōu)勢(shì)。

這一切都不是偶然發(fā)生的?！斑@需要努力并涉及成本 - 但成本在效率，生命周期成本和更有效的保護(hù)方面得到了回報(bào)，”莫羅斷言。

對(duì) SDN 控制器/虛擬機(jī)管理程序的攻擊

人們對(duì)SDN表達(dá)的兩個(gè)安全問題是其控制器和虛擬機(jī)管理程序可能受到攻擊。知道是什么幾乎立即停止了對(duì)話嗎？“幾十年來，我們一直擁有基于硬件的網(wǎng)絡(luò)保護(hù)和控制，它似乎并沒有阻止大規(guī)模的違規(guī)行為，”莫羅說。

使用軟件定義的控制器，如果您發(fā)現(xiàn)缺陷，當(dāng)某些東西的行為不符合您的要求時(shí)，您可以快速解決它?！耙欢逊稚⒃谌虿⒁圆煌绞酵降挠布O(shè)備并非如此，使用專門設(shè)計(jì)用于運(yùn)行路由器和防火墻的操作系統(tǒng)。這些在安全方面面臨挑戰(zhàn)的歷史由來已久，“他解釋道?！皬膩頉]有一個(gè)軟件工件是完美的。問題是：它是否具有發(fā)生漏洞或漏洞的彈性，以及繼續(xù)誠信運(yùn)營的能力？這就是‘軟件定義性’發(fā)揮作用的地方。

虛擬機(jī)管理程序也是如此，因?yàn)闆]有底層處理器是完美的?！拔覀円呀?jīng)看到了問題，例如，在TMP固件中的IOMMU ［輸入輸出內(nèi)存管理單元］尋址，控制流，使用DMA的控制器中，等等，”Moreau指出?！巴瑯拥膯栴}可能會(huì)導(dǎo)致硬件ISP和防火墻的問題，或任何其他用于隔離或保護(hù)的問題。最大的優(yōu)勢(shì)是，有了SDN，我們可以做點(diǎn)什么。

敏捷性和彈性

Moreau說，SDN培養(yǎng)態(tài)勢(shì)感知的能力以“可操作的上下文和靈活的響應(yīng)——我們可以移動(dòng)的工作負(fù)載、我們可以逐步降低安全態(tài)勢(shì)或自適應(yīng)地改變隔離邊界的網(wǎng)絡(luò)”的形式出現(xiàn)。

他繼續(xù)說，這種敏捷性“產(chǎn)生了彈性，使我們能夠在缺陷出現(xiàn)時(shí)對(duì)它們做一些事情?！耙虼?，這不是一個(gè)在防火墻（物理或虛擬）中沒有漏洞的虛擬機(jī)管理程序，網(wǎng)絡(luò)控制器或底層硬件中沒有缺陷的問題。這一切都是為了能夠看到何時(shí)出現(xiàn)問題并能夠有效地做出反應(yīng)。莫羅總結(jié)說，能夠靈活地糾正問題并適應(yīng)問題，同時(shí)繼續(xù)利用系統(tǒng)來做你需要做的事情，這就是“彈性的真正意義所在”。

審核編輯：郭婷