在保護國防部的大規模網絡方面，軟件定義網絡 （SDN） 可以幫助保護易受攻擊的傳統和定制開發的網絡基礎設施。

美國國防部 （DoD） 運營著地球上最大、最復雜的網絡之一，這帶來了獨特的安全挑戰。

保護國防部網絡的大部分內容都是機密的，但嵌入式系統肯定是其最大的安全挑戰之一。“國防部網絡的范圍是全球性的，支持絕對關鍵的運營，”位于加利福尼亞州帕洛阿爾托的VMware網絡和安全高級工程架構師Dennis Moreau博士說。“當他們不工作時，人們處于危險之中。這些網絡包含許多根據合同開發的設備，例如專用信號處理和專用通信。..。..從嵌入式傳感器、現場可編程門陣列（FPGA）到各種‘邊緣’的新電子設備。

這些龐大的網絡帶來的問題之一是，“當端點是特殊的、定制的或根據合同開發的時，很難為大約 10 年前構建的東西找到補丁，但后來已成為網絡基礎設施的絕對必要部分，”莫羅補充道。

國防部的龐大網絡已經發展了很長時間，因此這需要匯集許多獨特的端點。“如果我們考慮帶有嵌入式系統的軍事網絡，我不確定還有什么更復雜的 - 從配置管理，安全管理的角度來看，有點‘跨資產演變的防御’，”莫羅說。

如果您認為嘗試保護所有這些網絡和設備將是一場徹頭徹尾的噩夢，那么您是對的。“它的復雜性也是由于軍方在人員配備方面面臨的獨特挑戰，”莫羅指出。“人們進入并非常擅長某件事，然后繼續前進，因為它在晉升方面是‘上升或退出’。

第三方或承包商提供了一定程度的連續性，但他們的角色和合同也會隨著時間的推移而變化，因此當你擁有所有這些動態和具有全球影響力的非常進化的系統時，可能很難明確、長期地定義他們的角色是什么、他們的組織權利是什么以及正常行為是什么。“你可以看到承包商獲得太多訪問權限并能夠做一些原本看起來很不尋常的事情的情況 - 例如泄露千兆字節的數據 - 如何在這種環境中發生，”莫羅指出。

SDN在網絡安全中可以發揮什么作用？

同樣，國防部在網絡安全方面所做的大部分工作都是秘密或機密的，但陸軍，海軍和國防信息系統局（DISA）的2017年預算都提到了軟件定義網絡（SDN）。

“我們看到國防部內部正在采取重大舉措來培養‘軟件定義’，”莫羅說。“其中最大的一個是迪砂決定將軍事間分支網絡轉移到軟件定義的基礎上。

SDN本質上是一種以安全性為基礎設計的堆棧架構，它將網絡控制平面與數據轉發平面分開，并將其集中在控制器中，控制器通過更高級別的策略定義轉發行為。北向應用程序編程接口 （API） 位于控制器頂部，向應用程序和管理層提供網絡抽象接口，而南向 API 允許控制器在 SDN 堆棧底部定義交換機的行為。SDN的關鍵是數據平面和控制平面的分離。

“迪砂和各個軍事部門一直在努力認識到這里真的沒有‘終點線’，因為SDN正在發展，”莫羅說。這意味著他們需要一個基礎設施，為他們提供一定程度的敏捷性來響應他們所看到的正在發生的事情。

“網絡和‘管道’的‘軟件定義’——甚至是提供戰場前線連接的軟件定義無線電和系統——都認識到這樣一個事實，即在你需要做之前，你需要做的事情往往沒有很好地定義，所以你需要能夠敏捷地塑造你的基礎設施以適應你需要做的任何事情，“他繼續說道。

所有根據合同構建的嵌入式技術，可能是舊的，或者是定制開發的，沒有一致的安全補丁，都可以通過SDN進行保護。Moreau 解釋說：“您可以圍繞這些定制開發的功能（無論是設備、傳感器還是系統）包裝邏輯網絡，在網絡和入侵防御系統 （IPS） 功能方面為其提供最先進的保護。

他說，SDN提供了“可能為每個自定義系統提供自己的網絡，然后可以對其進行適當的保護，而無需在幕后更改底層系統”的靈活性。“您可以為其提供自己的保護策略，允許您決定哪些內容應該進入和退出應用程序，將控件放在其邊界上。因此，您可以延長其中一些舊技術或定制技術的安全運行壽命。

例如，您可以為海軍艦艇上的嵌入式雷達系統提供自己的網絡、保護和策略，以便這些策略將成為一組簡潔的策略，與該系統上發生的任何變化以及隨時間推移發現的漏洞保持一致。“無需改變五到十年前可能建立的系統，”莫羅說。“‘軟件定義’的許多方面也在企業中得到利用，這些方面使國防，軍事和嵌入式場景中的安全性更好。

另一個好處是，引人注目的可持續成本來自SDN，因為它允許用戶基本上在現代技術上托管遺留功能。“此外，通過降低復雜性，可以托管Linux的同一系統也可以托管Windows和非常舊的Windows，并通過擁有現代防火墻，IPS，Web應用程序防火墻（WAF），沙盒為其提供最先進的保護。..。..坐在舊操作系統上的舊應用程序的舊版本前面，“莫羅補充道。

SDN 可見性

SDN的最大優勢之一是，當防火墻放置在東西向流量上時，它提供了精細的可見性。

“嘗試使用硬件執行此操作，您最終會將數據中心的流量發夾到外部的某個設備上，然后再返回。我們所做的延遲、復雜性和選擇性確實限制了您的可見性，“莫羅解釋道。“但是，如果我可以將防火墻放在應用程序、虛擬機或嵌入式系統的邏輯邊界上，那么我的可見性是固有的，并且會隨著工作負載的數量而擴展。更多工作負載、更多保護、更多可見性。因此，一旦發生初始感染，四處摸索受害者并在環境中橫向移動的能力不再是在黑暗中發生的事情。

還有工作要做，因為SDN需要有效的分析來關注這些環境中所有新傳感器的實例和邊界，并“然后使我們所看到的可用，再次利用網絡的靈活性來幫助保護它，”他說。

展望未來，SDN甚至支持移動目標防御（MTD）等高級保護。Moreau 說：“由于‘軟件定義性’，尤其是 SDN，MTD 變得越來越容易實現，我們可以主動配置系統，以便在看到異常時可以重新配置它。“我們可以拋棄一個全新的網絡，一臺全新的機器，并從可靠的來源提供應用程序，以便可以推出受感染的應用程序［進行調查］并推出新的應用程序。所有這些都可以通過使用你從‘軟件定義性’中獲得的動態作為保護機制來實現。

讓 SDN 發揮作用

如果您只是采用現有的網絡拓撲并在“軟件定義”技術上實施它，并且根本不更改邏輯拓撲，那么您將無法將網絡包裹在這些傳統或自定義解決方案周圍，或者獲得更精細的保護、可見性和它提供的額外靈活性，Moreau 說。

利用SDN需要投資細粒度安全態勢的定義，您希望將這些策略放置在這些應用程序和系統的邊界上，以獲得更嚴格的“最小特權保護，防止臨時濫用松散的權限和訪問控制，”他補充道。

它涉及表征所有系統，包括舊系統和當前系統，以決定它們應該如何和不應該如何行為（例如，決定其邊界上的防火墻規則應該是什么）;SNORT ［一種網絡入侵防御系統］ 在其邊界上的 IPS 上應該是什么規則;MSRI 在 WAF 上的規則應該是停止跨站點腳本。

“這需要知道系統應該做什么，”莫羅警告說。“因此，您需要完成這項工作和文檔，以便它處于最新狀態并得到維護，以便能夠利用SDN的成本和功能優勢。

這一切都不是偶然發生的。“這需要努力并涉及成本 - 但成本在效率，生命周期成本和更有效的保護方面得到了回報，”莫羅斷言。

對 SDN 控制器/虛擬機管理程序的攻擊

人們對SDN表達的兩個安全問題是其控制器和虛擬機管理程序可能受到攻擊。知道是什么幾乎立即停止了對話嗎？“幾十年來，我們一直擁有基于硬件的網絡保護和控制，它似乎并沒有阻止大規模的違規行為，”莫羅說。

使用軟件定義的控制器，如果您發現缺陷，當某些東西的行為不符合您的要求時，您可以快速解決它。“一堆分散在全球并以不同方式同步的硬件設備并非如此，使用專門設計用于運行路由器和防火墻的操作系統。這些在安全方面面臨挑戰的歷史由來已久，“他解釋道。“從來沒有一個軟件工件是完美的。問題是：它是否具有發生漏洞或漏洞的彈性，以及繼續誠信運營的能力？這就是‘軟件定義性’發揮作用的地方。

虛擬機管理程序也是如此，因為沒有底層處理器是完美的。“我們已經看到了問題，例如，在TMP固件中的IOMMU ［輸入輸出內存管理單元］尋址，控制流，使用DMA的控制器中，等等，”Moreau指出。“同樣的問題可能會導致硬件ISP和防火墻的問題，或任何其他用于隔離或保護的問題。最大的優勢是，有了SDN，我們可以做點什么。

敏捷性和彈性

Moreau說，SDN培養態勢感知的能力以“可操作的上下文和靈活的響應——我們可以移動的工作負載、我們可以逐步降低安全態勢或自適應地改變隔離邊界的網絡”的形式出現。

他繼續說，這種敏捷性“產生了彈性，使我們能夠在缺陷出現時對它們做一些事情。“因此，這不是一個在防火墻（物理或虛擬）中沒有漏洞的虛擬機管理程序，網絡控制器或底層硬件中沒有缺陷的問題。這一切都是為了能夠看到何時出現問題并能夠有效地做出反應。莫羅總結說，能夠靈活地糾正問題并適應問題，同時繼續利用系統來做你需要做的事情，這就是“彈性的真正意義所在”。

審核編輯：郭婷