軟件定義網絡(SDN)旨在將現代網絡和數據中心變成可以根據不斷變化的業務需求進行快速重新配置的高度敏捷的框架結構。盡管SDN對于公眾來講還比較陌生，但實際上幾乎所有的組織都在制定這方面的計劃，以適應這個號稱可以通過對包括帶寬分配在內的每個網絡服務實現按需供應，將服務器虛擬化和云計算效率擴展到前所未有高度的最終架構的轉變。

不過，許多的組織也認識到，高度移動的工作負載和自動配置的應用程序以及服務，意味著通訊能見度的損失，并且還在損失了性能優化功能的同時，削弱了安全性。然而，在謹慎中進步總是必要的，因為前所未有的效率和規模效應，云計算和向SDN的遷移一定是大勢所趨。要實現盡可能的平滑遷移，并確保安全不被弱化，最重要的是要采取一些基本的步驟，其中設備對于網絡通訊總體可持續的能見度是重中之重。

那么究竟什么是SDN?

SDN架構實現了將控制層和數據層的分離或分隔。由此產生的是一種可以查看控制框架并且提供單一邏輯抽象網絡的高度可編程和可伸縮的架構。

在這種架構中，編排和提供的服務更容易通過一致而自動應用的預期配置進行管理。這種新型的網絡架構使底層硬件基礎設施的規模、靈活性以及可選擇性都達到了前所未有的全新水平。除了顯著節省了資產成本和運營成本，SDN架構還在幾乎沒有任何破壞和開銷的情況下刺激了創新，適應了迅速變化的需要。

 開放網絡基金會推出的SDN架構圖

那么又該如何區分云安全和SDN安全呢?

在實際中，人們常常把云安全問題和SDN安全問題相提并論，那是因為云計算框架的關鍵支撐，即服務器和存儲的虛擬化，與SDN使用了一些相同的概念。而事實上對于云來講，有著與SDN完全不同的安全挑戰，在此有必要做一下總結說明。

云安全問題

首先，非常重要的一點是，云經常會以虛擬化計算和存儲為核心。在虛擬化設計中，虛擬化工作負載或虛擬機取代物理服務器，只須點點鼠標就可以進行服務器的分配、設置和操作。威睿公司(VMWare)的ESX、思杰公司(Citrix)的XEN和微軟公司的Hyper V都是支撐服務器虛擬化的虛擬機監控程序。云計算框架有三種不同的配置形態：私有云、公共云和混合云。

私有云全部是部署在組織內部及可控范圍內的服務器和存儲虛擬化。這意味著組織或公司對云框架擁有所有權，對其安全負責。這里的安全問題一般是一個虛擬機感染了惡意軟件，而當該虛擬機在數據中心中進行移動、變更或重新分配時，造成共享相同主機的其他虛擬機被感染。

傳統安全設備無法“看到”惡意軟件在虛擬機之間的傳播，因為虛擬機之間的通訊主要都是在虛擬網段進行的。在這種情況下，就要使地面網絡上的安全設備實現虛擬化通訊的可視化，以及在建立訪問控制時實現特定的或有目的的虛擬化。

公共云歸提供云訪問共享框架租賃服務的企業所有，如亞馬遜AWS、微軟Azure等。這里的安全問題一般是用戶隔離方面的問題。因為眾多組織的工作負載和資產都托管給了云服務提供商，任何疏忽造成的用戶訪問界限不清、用戶訪問權限交叉都會構成風險。

這里的安全控制主要就是針對兩件事：對云服務提供商托管的工作負載進行訪問控制，并要求供應商服務平面協議提供通訊能見度和托管資源的安全控制。

混合云或許是最常見的框架。大多數組織和企業有一些工作負載是以虛擬機的形式承載和實現的，同時，還會有一些工作負載會放在公共云上，這就形成了一種公共云和私有云同時存在的“混合云”框架結構。

混合云的安全機制當然也要遵守上述建議，不過也要密切關注市場選擇，因為市場瞬息萬變。目前混合云的可見性和安全控制框架還需要拼湊一些技術，但這么大的一個市場需求，必定會出現一些統一的和專業的供應商。有趣的是，在新興領域還有一些采用疊加的技術。混合云的利益相關者需要對市場動向保持警惕，尤其是在向到SDN遷移的時候。

SDN安全問題

前面我們說過，SDN不僅僅是對服務器的虛擬化，而且對網絡基礎設施和管理的方方面面都進行了虛擬化。SDN所涉及到的安全問題除了網絡基礎設施，還擴展到了包括控制平面和數據平面在內的很多方面。

舉例來說，如果攻擊者能夠接管控制平面或SDN控制器，從本質上講，他們將會擁有整個網絡及其所有包含在內的基礎設施的所有權，可以說是擁有了無限大的權限。感染了數據平面理論上能夠以更快的速度進行傳播，因為SDN比服務器虛擬化的部署更普遍。控制平面和數據平面之間的通訊困難和混亂也有可能為攻擊者使用新方法攻破網絡外圍創造漏洞。

說到如何構建安全的SDN，早就有了詳細的架構指南，部分原因是現有的供應商和開源組織有許多不同的方法來實現SDN。這里的關鍵是確保所有網絡的可見性，包括傳統網絡、虛擬化網絡和軟件定義網絡。理解這些網絡類型之間的通訊流，將確保盲點得到糾正，瓶頸得以最迅速的方式解決。

這種“可見性”跨越所有網絡和工作負載類型，以確保可見視圖的普遍性和持續性。這就是為什么可見性所提供的不是一個點解決方案，而是一套可以和虛擬化相提并論的架構層。

可見性在SDN中的作用

網絡的可見性是在地面網絡中的一個基本元素，并且在高度動態的SDN架構中變得更加重要。然而，SDN失去網絡可見性并不會阻礙公司的前進步伐。提供可見性構造的公司已經與標準社區和主要的SDN架構供應商走在了一起，以確保應用程序在SDN遷移過程中及遷移完成后的性能和安全得到維護。

加速SDN可見性構造

可見性構造實質上使網絡(包括SDN)實現可見，作為一個普遍的層，將通信流的視圖結合在物理和虛擬網絡段。具體地講，網絡可見性提供通訊流的詳細信息和在這些網絡至關重要的數據包：

監控SDN網絡本身的狀態

監控SDN可用的應用程序

確保維護安全

 私有云或SDN環境安全交付平臺的可見性架構實現

無論選擇的SDN架構是建立在OpenFlow，還是建立在類似VMWare的NSX和思科ACI或是某個其他框架的網絡虛擬化上，上面的關鍵需求依然存在。在SDN中，控制和轉發層雖然實現了獨立管理，但還需要功能的結合。由于網絡延遲或供應商網絡基礎設施差異會引起的這些層之間的同步問題，會造成瓶頸和破壞。

當談到SDN應用程序和服務，按需供應的好處是不可否認的。但這種動態配置會導致不可預測的通訊模式，使得通過將性能管理工具放置在網絡中可預見的地方的傳統方法很難解決。

SDN當中的通訊可見性需要常數化，并且要將工具集中，以便得到通所有的通訊流和數據包。類似的邏輯也同樣適用于對安全的需求。而安全設備可以放在傳統網絡的重要網段，在SDN中是站不住腳的。對于所有內部SDN通訊的集中布置和總體訪問，給安全和性能管理技術提供了最好的統計嵌入惡意軟件和異常模式出現的機會。