Với sự phát triển ngày càng mạnh mẽ và mở rộng của SDN, các vấn đề về
bảo mật trong mạng SDN ngày càng được quan tâm và nhiều câu hỏi được đặt ra liệu các giải pháp bảo mật hiện tại có đủ bảo vệ hệ thống mạng SDN.
Dữ liệu CNTT đang di chuyển sang cloud, tạo ra sựthay đổi lớn trong các Trung tâm dữ liệu. Mạng lưới hoạt động được chuyển đổi từ quản lý điều hành chuyên sâu sang tự động hóa cao. Các trung tân dữ liệu trong tương lai là một
môi trường ảo phải giải quyết đa dạng tập hợp các nhu cầu của người sử dụng,
Vấn đề bảo mật Lớp/Giao diện SDN bịảnh hưởng App North Intf Ctrl South Intf Data a) Truy cập trái phép
Truy cập trái phép bộđiều khiển / Cướp bộ
điều khiển
Ứng dụng trái phép / chưa được xác thực
b) Rò rỉ dữ liệu
Khám phá quy tắc luồng (Tấn công kênh bên
trên bộđệm đầu vào)
Quản lý thông tin xác thực (Chìa khóa, Chứng
chỉ cho mỗi Mạng lôgic)
Khám phá chính sách chuyển tiếp (Phân tích
thời gian xử lý gói)
c) Thay đổi dữ liệu
Sửa đổi quy tắc luồng để sửa đổi gói
d) Ứng dụng độc hại
Chèn quy tắc gian lận
e) Từ chối dịch vụ DOS/DDOS
Tràn truyền thông bộđiều khiển và chuyển
mạch
Tràn flow table
f) Các vấn đề cấu hình
Thiếu giao thức bảo mật TLS (hoặc Kỹ thuật
xác thực khác)
Thực thi chính sách
25
bất cứ lúc nào, bất cứ nơi nào truy cập vào dữ liệu của họ. Vấn đề bảo mật luôn là một mối quan tâm lớn trong các trung tâm dữ liệu. Trong khi đó dữ liệu người dùng là hết sức quan trọng phải luôn được đảm bảo. Trong doanh nghiệp, các thiết bị đầu cuối, các tài nguyên trung tâm dữ liệu bao gồm các thiết bị lưu trữ, máy chủ, switch và các bộđịnh tuyến phải được đảm bảo.
Các mối nguy hiểm đe dọa rất đa dạng, việc ảo hóa mạng dẫn đến nhiều mối nguy hiểm mới cần phải được tìm hiểu và có các chiến lược bảo mật phù hợp để hạn chế tối đa những rủi ro bảo mật có thể xảy ra.
Hiện nay các giải pháp bảo mật là sẵn có, tuy nhiên, rất khó khăn để triển khai, quản lý, quy mô và an toàn. Chính sách được kết chặt chẽ với các nguồn lực vật chất như với các dịch vụ và ứng dụng. Giải pháp an ninh nỗ lực để cung cấp nhanh chóng một giải pháp giảm thiểu mối đe dọa và phải tựđộng trên thiết bị từ nhiều nhà cung cấp khác nhau. Chính sách bảo mật phù hợp rất khó để quản
lý qua tính toán, lưu trữ và mạng lưới tên miền và nhiều trung tâm dữ liệu. Không có giải pháp nào hiện nay cho phép bảo mật hoàn toàn cho các mạng doanh nghiệp hay trung tâm dữ liệu.
26
Hình 2.2 mô tả các nhóm giải pháp chung cho vấn đề bảo mật mạng hiện nay. Cụ thểnhư sau:
• Tường lửa cho phòng thủ và kiểm soát vùng miền nội bộ
• Hệ thống phát hiện xâm nhập (IDS) và hệ thống ngăn chặn xâm nhập (IPS) khỏi các họat động giám sát mạng, hoạt động độc hại hoặc vi phạm chính sách và cố gắng đểngăn chặn các cuộc tấn công .
• Secure Sockets Layer (SSL) kết hợp mạng riêng ảo (SSL VPN) cung cấp các giải pháp an toàn cho khách hàng và các miền riêng biệt khi truy cập từ xa.
• Các giải pháp quản lý mạng cố gắng để quản lý tập trung rất nhiều các chức năng bảo mật thông qua một giao diện điều khiển.
• IEEE 802.1X xác thực dựa trên port và kiểm soát truy cập.
• IPsec để xác thực end-to-end và mã hóa các gói dữ liệu IP trong một phiên truyền thông.
• Transport Layer Security (TLS) cho lớp ứng dụng mã hóa thông tin liên lạc bảo mật ở tầng Transport.
• Các truy cập từ xa sử dụng dịch vụ RADIUS, trong đó cung cấp chứng thực tập trung, ủy quyền và xác thực (AAA) quản lý cho các thiết bị cuối
để sử dụng một dịch vụ mạng.