SE-Floodlight：一个面向更智能的安全控制器的模型

Porras说：“我们正在寻找方法约束SDN应用，从而保证一些特定的策略一定会执行。这些OpenFlow应用并不一定是恶意应用。它们可能只是完全不知道有哪些安全策略。”

Porras已经开发出SE-Floodlight，它是基于开源Floodlight OpenFlow控制器修改的版本，专门用于保证安全应用程序的完整性。

Porras说：“SE-Floodlight引入了一个概念，即OpenFlow应用可以运行在分级角色上。这些角色将由数字认证技术指派。”

他指出，通过使用SE-Floodlight，工程师就可以给安全应用程序指定高于其他应用程序的优先级。当有一个负载均衡应用给控制器发送的流量规则与安全应用程序策略发生冲突时，这个控制器就可能拒绝这个规则。此外，它还会给负载均衡应用程序发送反馈，使它知道必须寻找其他方法来转发流量。

Porras说：“我认为，如果我们准备在金融服务网络、医疗网络或政府网络中使用OpenFlow，那么必须用到现在SE-Floodlight所做的工作。我们需要使用一个强力的安全模型，保证添加SDN不会消弱一些组件的安全性。我认为，SDN供应商和标准委员会都应该更认真地审视OpenFlow的安全架构。我接触的许多供应商都很关注这个问题。”

南向接口安全性

ONF还发现控制器与数据转发设备之间的南向通信也容易受到攻击。OpenFlow等南向接口协议有一个基础身份认证技术，它可以防止黑客从控制器向交换机发送欺骗性的流命令。然而，Palmer指出，工程师应该要求SDN供应商验证他们已经在控制器和SDN交换机之间实现了正确的身份验证证书。

但是，黑客可能不会试图劫持南向接口，因为还有更简单方法可以破坏它。黑客可能会针对控制器、交换机或虚拟交换机等发起拒绝服务攻击。

Porras说：“有人可能会让控制面板保持高负载，或者让控制面板与数据面板之间的接口保持高负载，这样可能降低整个网络的运行速度。我们会看到一些对抗模型，其中‘攻击目标’并不会试图让网络彻底崩溃，而是通过发送大量的数据包来让数据面板和控制面板发生过量交互。”

我们应该如何处理SDN安全问题？

工程师没有必要因为安全问题而放弃SDN。每一种环境都有不同程度的风险容忍力。而且，现在大多数SDN部署都处于试用或概念验证阶段。然而，如果注意这些问题，工程师就可以自行采取一些措施来保护SDN软件堆栈。

Buraglio说：“要尽力锁定控制器。不要让任何没有正当理由通过的东西进出控制器。要保持控制器的更新。要给它设置基线。要记录CPU使用率、内存使用率和接口统计信息。要收集所有的数据，然后在设备上设置临界值和警报。”

Shackleford指出，工程师需要在SDN控制器上应用与敏感数据服务器相同级别的安全性，如信用卡号和知识产权等。

他说：“我们必须关注于完整性监控，格外警惕日志报告，对访问实施多重身份验证。我们必须保证所有这些方面都有分层次访问。”

但是，在SDN技术的安全性和完整性得到验证之前，它还不会用于主流生产部署。控制器供应商尤其需要向潜在客户证明这一点。

Palmer说：“这并不是一个安全问题。这是一个合规性问题。除非他们可以向合规性团队证明SDN在安全性方面能够和遗留系统做得一样好，否则他们是不会同意部署的。”

Palmer预计供应商将会在2015年开始证明SDN软件堆栈的安全性。他说：“2014年是SDN的概念验证之年。人们都在试用这项技术。我认为，一些重要的安全功能将会浮出水面。但是，我们仍然需要等待一年或一年半时间，这些安全特性才会真正进入控制器和其他SDN产品中。”

请阅读SDN安全：SDN软件堆栈是否安全？（一）