上一篇跟大家介紹了 NFV 技術，可以先去複習一下～
這篇接著來介紹與 NFV 關係密不可分的 SDN 吧！

網路已經成為我們生活和工作的核心，隨著網路服務與巨量資料的需求日漸增加，傳統的網路架構已經難以滿足現代網路的需求了。
為了能改善網路的不足（例如：路由表越來越複雜）所產的問題，需要一種更加靈活和智能的方法來管理網路，也就是 SDN（軟體定義網路）的優勢所在。

本篇大綱
一、什麼是 SDN？
二、SDN 的架構
三、SDN 的應用
四、SDN 的安全性
五、關於 SDN 的資安危機
六、學習資源分享

一、什麼是 SDN？

軟體定義網路（SDN，Software Defined Networking）是一種網路架構，它將網路的 control plane（控制平面）和 data plane（數據平面）分開，並使用 Controller（中央控制器）來管理和控制網路流量。
傳統的網路中，網路設備（例如：交換機、路由器）通常負責同時處理控制和數據流量，這導致難以調整網路設置。
相比之下，SDN 允許網路管理員根據實際需求靈活地配置和控制網路，實現了更高的自動化和智能。

二、SDN 的架構

以下是 SDN 之架構圖：

基礎架構層

1. Network Devices（網路設備）：
   • 就是常見的交換器、路由器、虛擬交換器，或抽象的轉接面（Forwarding / Data Plane）。所有的轉發規則，都儲存在網路設備裡；使用者資料封包會在這被處理、轉發。網路設備透過 Southbound Interface（南向介面）接收控制器發過來的指令，同時也透過 Southbound Interface 主動上報事件給 Controller（控制器）。

控制層

2. Southbound Interface（南向介面）：
   • 是指控制面跟資料轉發層之間的介面，傳統網路的 Southbound Interface 存在各個設備商的私有程式碼中，並未標準化；在 SDN 架構中，希望 Southbound Interface 是標準化的，例如 Openflow 標準介面。
3. Controller（控制器）：
   • SDN 網路中的核心元素，向上提供應用程式的程式設計介面，向下控制硬體設備。通常運行在一台獨立的伺服器上，例如：x86 的 Linux 伺服器或 Windows 伺服器。
4. Northbound Interface（北向介面）：
   • 傳統網路裡面，Northbound Interface 是指交換器控制面與網管軟體之間的介面；在 SDN 架構中，是指控制器與應用程式之間的介面。

應用服務層

5. Service（應用服務）：
   • 以軟體應用程式的方式，對網路進行控制及管理，例如：Load Balancing（負載平衡）、Security（安全）、Monitoring（包括擁塞、延時等網路性能的管理及檢測）、LLDP（拓撲偵測）等功能。
6. Automation（自動化）：
   • 自動化是對應用程式的封裝及整合。通常與 Orchestration 一同出現，如在一個系統管理框架裡面包含多個應用及服務，透過控制器定期蒐集設備線路負載情況。

三、SDN 的應用

SDN 適用於變革網路架構，常用在複雜、需要協調大量資源、自動化商業部署高要求的網路，例如：

1. 資料中心
2. 企業網路
3. 電信網路
4. 校園網路
5. 無線網路
6. 安全領域

四、SDN 的安全性

• 透過 SDN 提供的集中式智慧功能，讓系統管理員能夠快速輕鬆地設定和維護安全策略，提供不同級別的安全保護。
• SDN 在軟體和硬體之間建立了一個抽象層，允許開發團隊繞過專屬裝置，只需開始開發安全工具，即可在整合網路上進行實施。因此，在發生安全漏洞的情況下，可以更透明地收集洞見和可能的威脅資訊。
• SDN 也提供了可擴充的安全性，讓開發團隊不需購買昂貴的專屬硬體和安全控制，而是可以隨著軟體的增長、新的雲端和應用程式的佈建或業務需求的變化，以任意規模來建立、控制和部署安全策略。資安方面，如果某個分段關閉或產生安全漏洞，SDN 的透明度讓系統管理員能即時檢測惡意軟體。

五、關於 SDN 的資安危機

SDN 在提供網路靈活性和可管理性方面具有巨大的潛力，但也引入了一些資安危機，需要仔細管理和解決。

以下是與 SDN 相關的資安危機：

• 中央控制器的攻擊：
  • SDN 的核心是中央控制器，攻擊者可能會嘗試入侵或干擾控制器。如果成功，攻擊者可以控制整個網路，修改流量規則，甚至將網路帶離線。
• 控制平面和數據平面的通信安全：
  • 剛剛有提到在 SDN 中的控制平面和數據平面之間的通信需要保持安全，未經授權的存取或通信中的漏洞可能被利用來干擾網路操作。
• 第三方應用程式的安全性：
  • 因為 SDN 允許第三方開發應用程式，若這些應用程式具有安全漏洞，攻擊者可能利用這些漏洞來入侵網路。
• 流量分析和監控的隱私問題：
  • 若裝置被允許網路流量的詳細分析和監控，可能會引發隱私問題。
• DDoS攻擊：
  • SDN 網路可能面臨 DDoS 攻擊，攻擊者可以利用 SDN 的可編程性來增強攻擊的規模和效果。

DDoS（分散式阻斷服務）攻擊是一種惡意嘗試，它利用大量的網路流量使目標伺服器或其周圍的基礎設施不堪重負，從而阻斷目標伺服器、服務或網路的正常流量。

為了應對這些資安危機，組織需要實施嚴格的安全措施，包括加密通信、訪問控制、安全策略的設置和管理，以及對第三方應用程式的安全審查。此外，SDN 環境需要定期更新和升級，以解決已知的安全漏洞，並保持網路的安全性。

六、學習資源分享

這裡分享給大家3支影片，可以快速入門 SDN 跟它的相關觀念：

1. 軟體定義網路 SDN
2. SDN網路架構以Controller及控制軟體為核心
3. Chalk Talk: What is Software-Defined Networking (SDN)?

下一篇就來比較 NFV 與 SDN 吧～並研究它們在資安的應用與危機。
也歡迎大神們留言指教orz

參考/圖片來源：
https://www.taifex.com.tw/file/taifex/CHINESE/10/moth/P18-21%20%E9%97%9C%E9%8D%B5%E7%9C%8B%E6%B3%95(3).pdf
https://www.nutanix.com/tw/info/software-defined-networking