對話嘉賓：

　　上海貝爾戰(zhàn)略部高級經理 陳端
　　中興通訊SDN首席架構師 薛育紅
　　Strategy Analytics無線運營商戰(zhàn)略高級分析師 楊光

　　目前，云計算的時代已經到來，云計算要求網絡系統(tǒng)應用和服務具有極高的彈性和靈活性。傳統(tǒng)網絡繁冗的架構已成為云計算的絆腳石，而SDN所具有的網絡設備“控制與轉發(fā)分離”、“軟件與硬件解耦”、“虛擬化接入”等技術優(yōu)勢可有效解決傳統(tǒng)網絡難題。SDN的出現，打破了網絡領域多年來的沉寂，成為幾乎每個專業(yè)領域的熱門議題。作為一種嶄新的網絡架構，SDN使得網絡系統(tǒng)面臨數十年未有之變局。不過，SDN擁有眾多優(yōu)勢的同時，其嶄新的架構也不可避免地帶來諸多安全問題。

　　嶄新架構伴隨安全威脅

　　筆者：SDN這一嶄新的架構正席卷而來，每一項創(chuàng)新技術解決傳統(tǒng)網絡問題的同時，勢必帶來新的威脅。SDN畢竟還是新興技術，在當今各種安全威脅無處不在的情況下，SDN網絡架構的控制器集中化管控是否會帶來新的安全威脅？

　　楊光：從長遠來看，一個更加開放、更加靈活的網絡架構不可避免地會引入新的安全風險。SDN架構確實可能會帶來額外的安全風險，這一問題也已經引起了產業(yè)界的廣泛關注，比如ONF組織就已經成立了專門的安全工作組，對SDN的安全風險和解決方案進行評估和研究。

　　陳端：傳統(tǒng)的網絡安全與業(yè)務安全相互分離。網絡安全包括防火墻、IDPS、流量清洗等設備，業(yè)務安全包括身份認證、鑒權、審計等。對于業(yè)務系統(tǒng)而言，很難調用傳統(tǒng)網絡的能力；反過來，傳統(tǒng)網絡也很難感知上層業(yè)務，從而做出有針對性的安全防護。

　　在SDN網絡架構下，業(yè)務安全系統(tǒng)能夠從網絡中獲取更加豐富的信息，甚至直接采取安全操作，對網絡流量鏡像、阻斷和過濾等，因此SDN架構也可以增強網絡安全。然而新的功能實體、協(xié)議、接口可能成為新的攻擊面，傳統(tǒng)安全威脅的形式也會發(fā)生改變，如業(yè)務可能直接通過北向接口對網絡資源進行非法操作、來自南向接口的DoS攻擊帶來的影響會變得更加顯著。

　　薛玉紅：作為網絡集中化控制的控制器是SDN網絡的核心，其可靠性和安全性非常重要，其可能存在的負載過大、單點失效、易受網絡攻擊等一直是亟待解決的問題。

　　中興通訊很早就認識到SDN網絡的安全性、可靠性問題，尤其是SDN網絡的大腦——SDN控制器的安全性問題。在中興ElasticNet彈性網絡戰(zhàn)略中，有專門的安全性子方案、可靠性子方案。早在2014年9月，中興通訊就升級了SDN控制器，助力產業(yè)加速大規(guī)模商用部署，其中的重點就是增強安全性和可靠性。

　　控制器安全成重中之重

　　筆者：SDN采取集中控制的架構，控制器和應用容易受到攻擊，SDN嶄新架構下，也不可避免地帶來了安全威脅，企業(yè)或運營商部署SDN時，網絡安全該如何保障？

　　楊光：如何在網絡的成本、收益和安全性之間尋求平衡將是產業(yè)界面臨的長期課題，SDN安全問題的解決方案有賴于業(yè)界多方的緊密合作，從而共同推動相關安全技術的研發(fā)和標準化。

　　陳端：SDN控制器相當于網絡操作系統(tǒng)。在網絡設計上，網絡控制器可以采用集群、備份和帶外管理等方式解決自身的安全問題；運營商能通過網絡應用的方式實現虛擬化的安全功能，監(jiān)控全網中與安全事件相關的流量，進而對全網進行統(tǒng)一安全策略部署，以達到保障網絡安全的目的。由于業(yè)務可能直接通過北向接口API對網絡資源進行操作，因此必須防止業(yè)務和應用對網絡發(fā)起的有意和無意攻擊。通過將客戶區(qū)分為不同等級，并將相關客戶的網絡資源進行邏輯隔離和切分，網絡虛擬化技術可以防止用戶業(yè)務之間的相互干擾，并能在網絡出現問題之后，迅速對其進行隔離。在企業(yè)和運營商部署SDN網絡時，預計虛擬化技術將在網絡安全中發(fā)揮重要作用。

　　薛玉紅：SDN控制器是SDN解決方案中的核心部件之一，SDN控制器對不同轉發(fā)面的兼容控制能力、對不同應用場景的支持能力、可編程能力以及可擴展性能力，決定了其核心的客戶價值。

　　中興通訊彈性網絡控制器采用多進程隔離、分布式集群設計，系統(tǒng)的可用性達到99.999%，保證可分布式架構下的最佳負載均衡和最小復制開銷。針對控制器實際部署中越來越突出的安全性問題，中興通訊彈性網絡控制器可以實現身份認證、授權以及用戶訪問審計功能。同時，新版本在安全方面有了很大的增強，可以確保客戶商用部署的需求。中興將努力提供一個可裁剪、可擴展、多廠家互通兼容的開放SDN解決方案。