iT邦幫忙

2023 iThome 鐵人賽

DAY 3
1
Security

由淺入深,探索 NFV 與入侵偵測系統在其中的應用系列 第 3

[Day03] 軟體定義網路 SDN 技術:提升網路資源控管與效率的集中式管理網路

  • 分享至 

  • xImage
  •  

上一篇跟大家介紹了 NFV 技術,可以先去複習一下~
這篇接著來介紹與 NFV 關係密不可分的 SDN 吧!

網路已經成為我們生活和工作的核心,隨著網路服務與巨量資料的需求日漸增加,傳統的網路架構已經難以滿足現代網路的需求了。
為了能改善網路的不足(例如:路由表越來越複雜)所產的問題,需要一種更加靈活和智能的方法來管理網路,也就是 SDN(軟體定義網路)的優勢所在。


本篇大綱
一、什麼是 SDN?
二、SDN 的架構
三、SDN 的應用
四、SDN 的安全性
五、關於 SDN 的資安危機
六、學習資源分享


一、什麼是 SDN?

軟體定義網路(SDN,Software Defined Networking)是一種網路架構,它將網路的 control plane(控制平面)和 data plane(數據平面)分開,並使用 Controller(中央控制器)來管理和控制網路流量。
傳統的網路中,網路設備(例如:交換機、路由器)通常負責同時處理控制和數據流量,這導致難以調整網路設置。
相比之下,SDN 允許網路管理員根據實際需求靈活地配置和控制網路,實現了更高的自動化和智能。

二、SDN 的架構

以下是 SDN 之架構圖:
https://ithelp.ithome.com.tw/upload/images/20230918/20156517qrLNuMAXQc.jpg

基礎架構層

  1. Network Devices(網路設備):
    • 就是常見的交換器、路由器、虛擬交換器,或抽象的轉接面(Forwarding / Data Plane)。所有的轉發規則,都儲存在網路設備裡;使用者資料封包會在這被處理、轉發。網路設備透過 Southbound Interface(南向介面)接收控制器發過來的指令,同時也透過 Southbound Interface 主動上報事件給 Controller(控制器)。

控制層

  1. Southbound Interface(南向介面):
    • 是指控制面跟資料轉發層之間的介面,傳統網路的 Southbound Interface 存在各個設備商的私有程式碼中,並未標準化;在 SDN 架構中,希望 Southbound Interface 是標準化的,例如 Openflow 標準介面。
  2. Controller(控制器):
    • SDN 網路中的核心元素,向上提供應用程式的程式設計介面,向下控制硬體設備。通常運行在一台獨立的伺服器上,例如:x86 的 Linux 伺服器或 Windows 伺服器。
  3. Northbound Interface(北向介面):
    • 傳統網路裡面,Northbound Interface 是指交換器控制面與網管軟體之間的介面;在 SDN 架構中,是指控制器與應用程式之間的介面。

應用服務層

  1. Service(應用服務):
    • 以軟體應用程式的方式,對網路進行控制及管理,例如:Load Balancing(負載平衡)、Security(安全)、Monitoring(包括擁塞、延時等網路性能的管理及檢測)、LLDP(拓撲偵測)等功能。
  2. Automation(自動化):
    • 自動化是對應用程式的封裝及整合。通常與 Orchestration 一同出現,如在一個系統管理框架裡面包含多個應用及服務,透過控制器定期蒐集設備線路負載情況。

三、SDN 的應用

SDN 適用於變革網路架構,常用在複雜、需要協調大量資源、自動化商業部署高要求的網路,例如:

  1. 資料中心
  2. 企業網路
  3. 電信網路
  4. 校園網路
  5. 無線網路
  6. 安全領域

四、SDN 的安全性

  • 透過 SDN 提供的集中式智慧功能,讓系統管理員能夠快速輕鬆地設定和維護安全策略,提供不同級別的安全保護。
  • SDN 在軟體和硬體之間建立了一個抽象層,允許開發團隊繞過專屬裝置,只需開始開發安全工具,即可在整合網路上進行實施。因此,在發生安全漏洞的情況下,可以更透明地收集洞見和可能的威脅資訊。
  • SDN 也提供了可擴充的安全性,讓開發團隊不需購買昂貴的專屬硬體和安全控制,而是可以隨著軟體的增長、新的雲端和應用程式的佈建或業務需求的變化,以任意規模來建立、控制和部署安全策略。資安方面,如果某個分段關閉或產生安全漏洞,SDN 的透明度讓系統管理員能即時檢測惡意軟體

五、關於 SDN 的資安危機

SDN 在提供網路靈活性和可管理性方面具有巨大的潛力,但也引入了一些資安危機,需要仔細管理和解決。

以下是與 SDN 相關的資安危機:

  • 中央控制器的攻擊:
    • SDN 的核心是中央控制器,攻擊者可能會嘗試入侵或干擾控制器。如果成功,攻擊者可以控制整個網路,修改流量規則,甚至將網路帶離線。
  • 控制平面和數據平面的通信安全:
    • 剛剛有提到在 SDN 中的控制平面和數據平面之間的通信需要保持安全,未經授權的存取或通信中的漏洞可能被利用來干擾網路操作。
  • 第三方應用程式的安全性:
    • 因為 SDN 允許第三方開發應用程式,若這些應用程式具有安全漏洞,攻擊者可能利用這些漏洞來入侵網路。
  • 流量分析和監控的隱私問題:
    • 若裝置被允許網路流量的詳細分析和監控,可能會引發隱私問題。
  • DDoS攻擊:
    • SDN 網路可能面臨 DDoS 攻擊,攻擊者可以利用 SDN 的可編程性來增強攻擊的規模和效果。

DDoS(分散式阻斷服務)攻擊是一種惡意嘗試,它利用大量的網路流量使目標伺服器或其周圍的基礎設施不堪重負,從而阻斷目標伺服器、服務或網路的正常流量。

為了應對這些資安危機,組織需要實施嚴格的安全措施,包括加密通信、訪問控制、安全策略的設置和管理,以及對第三方應用程式的安全審查。此外,SDN 環境需要定期更新和升級,以解決已知的安全漏洞,並保持網路的安全性。

六、學習資源分享

這裡分享給大家3支影片,可以快速入門 SDN 跟它的相關觀念:

  1. 軟體定義網路 SDN
  2. SDN網路架構以Controller及控制軟體為核心
  3. Chalk Talk: What is Software-Defined Networking (SDN)?

下一篇就來比較 NFV 與 SDN 吧~並研究它們在資安的應用與危機。
也歡迎大神們留言指教orz


參考/圖片來源:
https://www.taifex.com.tw/file/taifex/CHINESE/10/moth/P18-21%20%E9%97%9C%E9%8D%B5%E7%9C%8B%E6%B3%95(3).pdf
https://www.nutanix.com/tw/info/software-defined-networking


上一篇
[Day02] 探索 NFV 技術:現代網路的革新之路
下一篇
[Day04] NFV 與 SDN 之間的關係,以及在資安中的疑慮
系列文
由淺入深,探索 NFV 與入侵偵測系統在其中的應用31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言