SDN已经逐渐应用于一些超大型企业,因为这种类型的企业需要不惜任何代价来获取高性能,但是,在其它普通的大中型企业中,情况就不一样了。
虽然厂商正在积极生产SDN,但是分析师预测,到2016年之前SDN不会被正式采纳,大多数企业的网络工程师都表示,他们还不准备投资SDN,因为它还有几个关键问题没有解决。
受访的IT负责人对于SDN的顾虑也不尽相同,有的认为其削弱了安全性,有的则认为是缺乏SDN标准,不管是因为什么原因,都导致他们不建议企业现在投资SDN,至少在短期内是这样。
IT管理人员首先也是最担心的,就是当SDN堆栈同时遇到虚拟机管理程序和物理基础设施时的安全监控问题。
Biotechnology Center of Oslo的高级系统工程师George Magklaras表示:“在SDN应用于关键任务和安全环境之前,厂商需要努力研究SDN软件堆栈是如何与云环境和虚拟层中的虚拟机管理程序联系的。”
如今,当IT管理人员使用Juniper公司的设备向网络路径发送一系列字节时,会进行静态检查,这样可以防止攻击者运行恶意软件来创建信息漏洞。“但是,使用云堆栈和虚拟机管理程序时,就不是这样了。” Magklaras表示。
SDN环境下,IDS/IPS有用吗?
Magklaras也是Steelcyber Scientific安全咨询公司的首席顾问,他曾在该公司对一个大型金融机构实施了一个SDN试点,只是为了证明其安全性能会受到影响,尤其是遇到IDS/IPS(入侵检测系统/入侵防御系统)。
Magklaras的团队在思科和惠普硬件配置的环境中放置了一个基于OpenDaylight的SDN控制器。Magklaras说:“我们的责任是监督这60个VLAN利用OpenStack私有云模式向OpenDayLight控制器迁移。”
Magklaras表示,问题出现在对入站和出站IDS/IPS系统的网络监控上。IDS/IPS是通过窃听一组端口或一个特定端口来复制整个用来窃听的VLAN或网络分段的流量。传统的交换机硬件和软件会复制这个流量,然后再把它提供给IDS/IPS系统。相反,SDN是利用虚拟机管理程序和通用OS程序来复制该流量的。
Magklaras说:“我们对IDS/IPS系统所进行的各种测试表明,SDN可能会丢失大约25%到30%的攻击事件。我们认为导致这种结果的原因是SDN软件堆栈在复制端口流量时比较慢,同时会损失以太网帧或流量。”
MAC地址追踪问题
Magklaras的团队还发现在追踪连接到有线和无线网络的设备的MAC地址有问题。Magklaras说:“根据在SDN软件中的故障而记录的MAC地址并不正确。SDN软件在网段较拥挤的情况下会丢弃MAC地址(由于PXE引导问题),SDN甚至会破坏其软件注册表中的MAC地址。”
虚拟机管理程序安全弱点
在测试过程中,Magklaras还发现,在某些情况下,攻击者甚至可以看到本不应该暴漏的网络流量。
他解释说,一旦虚拟机管理程序的安全被攻破了,未授权的用户就可以利用root管理权限来进入VLAN。
包括VMware在内的很多企业都在努力解决安全问题,但是,这个漏洞仍然存在,Magklaras解释说。这也是为什么我们不向金融机构和其他客户推荐SDN堆栈的原因。其实我们知道SDN最终会帮助企业节省成本,而且这也是一条必经之路,但是对于现在,我们必须谨慎。
关于SDN比较吸引人的地方是它可以把基于策略的流量决策转为基于源或目标的集中控制点。
但是,SDN还可以实现自动化和动态配置,这是网络专业人士非常顾虑的问题。具体来说就是,网络工程师希望可以利用SDN来进行DevOps,并且利用可以自动关闭客户服务的机器来创建一个可以将异构厂商的硬件联系在一起的框架。所以,在SDN被证明可以完全实现之前,他们不太可能会投资SDN,Christian Teeft这样表示,他是云提供商Latisys公司的CTO。
Teeft说:“Latisys公司已经利用Arista网络的性能做了一些前期的编排和自动化配置。很多企业不这样做是因为他们缺乏DevOps资源来把他们现有的配置系统提升到这个水平。”
网络专业人员阅读了大量的关于SDN的优势的资料,但是却从来没有看到过实际的动态基础架构。同时,他们现有的环境已经可以了,工程师也建立了完成各种网络任务的方法。那些方法可能很耗时,但确实可以解决问题。
Magklaras说:“现在,网络工程师需要利用SDN来做他们以前利用熟悉的硬件和软件所做的同样的事情。”
所以,在他们熟练掌握SDN技术并在SDN可以实现他们的个性化需求工作之前,网络专业人员是不会投资SDN的。
Force3的客户解决方案副总裁Jason Parry说:“我们的网络工程师需要真正了解SDN是如何满足他们的客户的特定需求。” Jason Parry曾经还是SafeNet公司的网络工程部经理。
他还说:“SDN还很新。它也许会改变我们部署、管理、支持以及配置网络的方式。SDN可以实现的是网络自动化、业务流程和效率的提升。我们的网络工程师需要看到SDN在引领这种‘时尚’中真正的价值。”
网络工程师如果想深入了解SDN,他们需要新的技能,但是他们不知道从哪里开始,因为目前我们并不知道哪种SDN策略会奏效。
Parry说:“网络工程师最想知道的是SDN是如何影响他们现有的技能的。”
工程师们希望看到实现SDN的一些标准,这样他们就能知道如何链接到一个清晰的技能集,然后他们就知道如何适应SDN 了。两年前,人们还认为OpenFlow是SDN的核心,但是现在对于很多厂商和行业组织来说,OpenFlow已经“失宠”了。
Parry表示,从这一点来说,工程师多少也要对SDN有所了解,包括OpenFlow。
无论网络专业人员和IT管理人员如何喜欢SDN和它的优势,他们还是要在投资之前说服他们的上级领导,但并不容易。
一家知名国际酒店的信息安全经理Ben Rothke表示:“目前SDN还没有普及,这是因为它需要大量时间、金钱和硬件支持。触及到这一长期远景,很多CIO们还没有做好准备。”
SDN是一个巨大的基础设施重组工作。他说:“很多CIO们根本没有时间、人员和资金来支持它。”他还表示,它给人一种处理“另一种网络方法”的感觉,这会吓退很多人。
如果有很多实际可用的SDN使用案例,这个技术也许就会更好卖一些。
“SDN被定义为新兴的架构。这里的关键词是新兴。也就是说它正在发展、趋向成熟,但是却没有大量的成功案例。” Rothke表示。
Rothke表示,当很多同行告诉他SDN可行的时候再考虑SDN投资,感觉可能会更放心一点。
他说:“我不需要企业白皮书、网络座谈会或者研讨会之类的。如果我们的同事和同行因为SDN而争论起来,这也是了解该技术比较不错的一种方式。”