SDN控制层主要提供哪些安全功能
SDN控制层主要提供以下安全功能:
认证:SDN控制器对SDN应用程序进行身份认证,以确保SDN应用程序是真实的,不是伪造的;SDN控制器对SDN交换机进行身份认证,以确保SDN交换机是真实的,不是伪造的;SDN控制器对管理员进行身份认证,以确保管理员身份是真实的。常用的身份认证机制包括但不限于基于用户名/密码的身份验证、基于相移键控的身份验证、基于证书的身份验证。
授权:SDN应用程序和管理员访问SDN控制器时需要遵守访问控制策略。常用的访问控制机制包括但不限于白名单/黑名单、访问控制列表、基于角色的访问控制。
数据保密性:SDN控制层应具备数据加密功能,并在必要时对通过南向接口向交换机下发的流规则进行加密,以防止攻击者窃听。敏感信息(如配置信息、用户信息)应加密存储在SDN控制器,防止信息被窃取。
数据完整性:SDN应用程序下发的网络策略(包括安全策略和QoS策略)在被解释为流规则前,需要先由SDN控制器进行数据完整性验证;SDN控制器在利用南向接口向交换机下发流规则时,应对该流规则进行完整性保护,以防止攻击者篡改;SDN控制器在接收SDN交换机的流规则查询请求时,应先对该请求进行完整性验证,再查询相应的流规则。管理控制平台下发的配置信息,应先由SDN控制器进行完整性验证,再执行相应的配置更新;应为存储在SDN控制器上的敏感信息(如配置信息、用户信息)提供完整性保护功能,防止其被攻击者篡改。常用的数据完整性保护技术包括但不限于散列值、MAC、HMAC和数字签名。
密钥/证书管理:密钥/证书管理中的密钥管理同ITU-T X.800中所定义的一致,证书管理同IETF RFC 4210中所定义的一致。
流规则推送机制:表项被推送至SDN交换机的方式分为实时推送和周期性推送。对于由安全防护系统/应用(如防火墙、DPI、IDP)产生的用于缓解或阻断攻击行为的表项,必须采用实时推送机制;对于可容忍延缓执行的表项,可采用周期性推送机制。
防止流规则冲突:目前,SDN控制层无法对流规则加以区分,新生成的流规则可能会与原有的流规则发生冲突,导致原有流规则或预先部署的安全防护措施失效。因此,SDN控制层应具备判断一个应用程序是否具备插入/更新/删除流表中的流规则的权限,从而避免流规则冲突。
安全监测:为管理员提供整个网络的安全监测功能。
操作系统加固:操作系统加固能够最大限度地消除安全风险,使操作系统更加安全。操作系统加固涉及一系列操作,如正确配置系统和网络组件、删除无用的文件、删除所有不必要的软件程序、更新补丁、格式化硬盘、只安装服务器必需的功能、禁用来宾账户、重命名管理员账户等。
软件漏洞检测:软件漏洞检测技术分为静态检测(如模式匹配和数据流分析)和动态检测(如故障注入、Fuzzing测试)两类,通常需要两类技术配合使用。
硬件管理:硬件管理系统可以使管理员及时发现硬件故障,并定位受影响的网元,从而可以更快、更早地恢复系统,增强网络的可用性。
安全管理:安全管理是指对系统平台、资源进行访问控制,避免非授权使用或修改相关安全策略。安全管理可以对用户进行审计、控制错误密码尝试次数、最小化系统平台需要的配置、强制执行操作系统的安全策略。安全管理还可以对网络中的各类信息数据进行整合分析,用来支撑相应攻击检测等功能。