美國服務(wù)器的用戶對于系統(tǒng)的安全性的關(guān)注，都是非常重視的，畢竟保障美國服務(wù)器的安全穩(wěn)定的運行，才能保證業(yè)務(wù)的良好運營。今天美聯(lián)科技小編就來介紹一項會對美國服務(wù)器產(chǎn)生安全問題的方式，就是SDN控制層的非法接入方式。

攻擊者可以通過傳統(tǒng)的網(wǎng)絡(luò)監(jiān)聽、蠕蟲病毒、美國服務(wù)器被注入惡意程序等方式，竊取SDN網(wǎng)絡(luò)管理員的賬號和密碼，偽造合法身份登錄控制器，并進(jìn)行非法操作。也可以利用SDN控制器自身的軟硬件漏洞，通過惡意應(yīng)用進(jìn)行滲透攻擊提升操作權(quán)限，獲取對控制器的非授權(quán)操作。

美國服務(wù)器一旦控制器被攻擊者非法控制，則可以通過控制SDN數(shù)據(jù)平面的交換機等設(shè)備，進(jìn)一步實施數(shù)據(jù)平面的攻擊，或通過滲透終端設(shè)備建立僵尸網(wǎng)絡(luò)。另外，假冒控制器也是一種SDN控制層的非法接入方式。以下兩個措施可以應(yīng)對上訴的安全威脅。

1、美國服務(wù)器需要建立安全通道，執(zhí)行嚴(yán)格的身份認(rèn)證

強制通過加密信道訪問控制器，有助于防止竊聽控制器管理員的賬號和口令。引入認(rèn)證中心對網(wǎng)絡(luò)設(shè)備和控制器進(jìn)行認(rèn)證，并頒發(fā)證書，且要求交換機和控制器之間通過TLS協(xié)議通信，可以防止假冒控制器非法控制交換機等設(shè)備。雖然Openflow1.0強制使用TLS，但1.0版本后，由于廠家考慮認(rèn)證成本，并不強制要求控制器和交換機之間通過TLS通信。

2、美國服務(wù)器的應(yīng)用軟件的安全測試、應(yīng)用隔離和權(quán)限管理

SDN中的應(yīng)用程序能夠通過北向接口與控制層和底層資源交互，通過安全測試提高控制器上應(yīng)用軟件的安全性，或要求應(yīng)用軟件通過第三方安全評測，將有助于防止應(yīng)用被植入惡意代碼。理論上，模型檢查和符號執(zhí)行等技術(shù)可實現(xiàn)對軟件預(yù)設(shè)的屬性進(jìn)行驗證，從而對第三方應(yīng)用進(jìn)行安全檢測。然而在工程應(yīng)用中，這種驗證無法進(jìn)行運行狀態(tài)的即時檢測。

在控制層提供應(yīng)用隔離和權(quán)限管理機制，限制應(yīng)用程序?qū)Φ讓淤Y源的訪問權(quán)限也是有效的安全措施。在控制層上對不同用戶的控制邏輯進(jìn)行了切片分區(qū)，從而對不同用戶之間的控制邏輯進(jìn)行隔離。

在控制器上擴展出對應(yīng)用程序的角色認(rèn)證、規(guī)則沖突檢測和安全規(guī)則轉(zhuǎn)換等功能，構(gòu)建了一個強制安全的控制器內(nèi)核。對應(yīng)用層能夠調(diào)用的相關(guān)命令進(jìn)行了權(quán)限分配，實現(xiàn)了應(yīng)用程序和控制層內(nèi)核的隔離，從而保證了應(yīng)用程序無法對底層網(wǎng)絡(luò)進(jìn)行破壞。

關(guān)注美聯(lián)科技，了解更多IDC資訊！