《OpenFlow与SDN的杀手级利用》中觉得集中节制和大年夜范围主动化将是软件定义收集的核心功能——最终实现适应性主动化收集安然。这个愿景正开端变成实际。由SDN实现的集中节制最终将带来安然定义路由及其他SDN安然策略,它们可能完全改变我们定义收集及其利用或数据的编制。
甚么是安然定义路由?
德克萨斯州A&M博士生Seungwon Shin的科研工作是阐发SDN将若何改变收集安然性。Shin在大年夜学期间颁发了两篇关于SDN收集安然策略的文章。第一篇是“CloudWatcher:在动态云收集中利用OpenFlow实现收集安然监控”,介绍了一种在云环境中利用SDN节制平台(如NOX和Beacon——最初由斯坦福大年夜学开辟的OpenFlow SDN节制器)履行安然监控的编制。
Shin与其博士生同窗Guofei Gu一路设计了一种新的策略说话,它可用于辨认收集设备及其特别的监控功能集。经由过程利用这类说话,节制器便可以直接监控指定设备之间的流量。它们还可以主动将云环境中的虚拟机迁徙流量及其他动态事务的流量转发到其他收集位置。这意味着它们可以将流量传输到进侵防御系统(IDS),承诺安然团队按照需要监控超动态环境的事务。在这类模型中,Shin和Gu实际上设计了安然定义路由与流量节制的根本——即便仍然利用传统收集安然节制。
OpenFlow节制的SDN安然利用
在Shin的第二篇论文“FRESCO:模块化可组合的软件定义收集安然办事”中,Shin与同窗们一路切磋了SDN(出格是OpenFlow)所贫乏的决定性安然利用,并且提出一个面向SDN安然用例的新开辟框架FRESCO。这个框架的脚本功能承诺安然人员成立新的模块化库,整合和扩大安然功能,从而利用OpenFlow节制器和硬件进行节制和治理流量。FRESCO包含16个模块,此中每个都有5个接口:输进、输出、事务、参数和把持。经由过程将这些值分派给这些接口,便可以实现良多通用收集安然平台和功能,从而替代防火墙、IDS和流量治理东西。
SDN和主动化收集安然的实践利用
当然这些概念仍然在学术研究阶段,可是供给商和尺度组织已有良多实现基于SDN安然策略的实际例子。例如,sflow.com网站上有一篇博客“sFlow Packet Broker”,它介绍了一个简单的Python脚本,它可以将inMon的Flow-RT节制器利用建设为监控所有流量,专门查找通向TCP端口22(SSH)的通用路由封装(Generic Route Encapsulation)通道的流量。一旦检测有标题问题标流量,它就会生成一个警报,从而触发阐发捕获到的数据包。这些警报还会产生更多高级响应,如用于流量节制的防火墙集成API、开放或封锁的端口、将流量移到其他网段或VLAN,等等。
同时,虚拟防火墙也已可利用开放API将安然功能整合到收集中。Netuitive公司产品治理主管Richard Park写过一篇博客,此中他介绍了如安在Perl代码中利用一个RESTful API查询和更新VMware vShield的防火墙法则, 而这只是冰山之一角。在呈现新的SDN东西和编制平台以后,大年夜大都收集安然检测和响应功能很快都变得愈来愈主动化,撑持加倍快速的不测措置,并且在报复打击产生时阐扬像“辅助呼吸室”一样的感化。
跟着愈来愈多像FRESCO如许的东西呈现,收集和虚拟化供给商推出了面向主动化和编制的新型API,并且对一些和谈(如OpenFlow)和尺度(如sFlow)的撑持也愈来愈好,我们将最终看到更好地集成到收集中的适应性安然产品。