美國(guó)服務(wù)器用戶只有保障美國(guó)服務(wù)器的安全穩(wěn)定的運(yùn)行，才能保證網(wǎng)絡(luò)業(yè)務(wù)的良好運(yùn)營(yíng)，因此對(duì)于網(wǎng)絡(luò)的安全性都是非常關(guān)注的，而今天美聯(lián)科技小編就來(lái)介紹一項(xiàng)會(huì)對(duì)美國(guó)服務(wù)器產(chǎn)生安全問(wèn)題的方式，就是SDN控制層的非法接入方式。

黑客可以通過(guò)傳統(tǒng)的網(wǎng)絡(luò)監(jiān)聽(tīng)、蠕蟲(chóng)病毒、注入惡意程序等方式，竊取美國(guó)服務(wù)器SDN網(wǎng)絡(luò)管理員的賬號(hào)和密碼，偽造合法身份登錄控制器，并進(jìn)行非法操作。也可以利用SDN控制器自身的軟硬件漏洞，通過(guò)惡意應(yīng)用進(jìn)行滲透攻擊提升操作權(quán)限，獲取對(duì)控制器的非授權(quán)操作。

美國(guó)服務(wù)器一旦控制器被黑客非法控制，則可以通過(guò)控制SDN數(shù)據(jù)平面的交換機(jī)等設(shè)備，進(jìn)一步實(shí)施數(shù)據(jù)平面的攻擊，或通過(guò)滲透終端設(shè)備建立僵尸網(wǎng)絡(luò)。另外，假冒控制器也是一種SDN控制層的非法接入方式。以下兩個(gè)措施可以應(yīng)對(duì)上訴的安全威脅。

1、建立安全通道，執(zhí)行嚴(yán)格的身份認(rèn)證

強(qiáng)制通過(guò)加密信道訪問(wèn)控制器，有助于防止竊聽(tīng)控制器管理員的賬號(hào)和口令。引入認(rèn)證中心對(duì)美國(guó)服務(wù)器網(wǎng)絡(luò)設(shè)備和控制器進(jìn)行認(rèn)證，并頒發(fā)證書(shū)，且要求交換機(jī)和控制器之間通過(guò)TLS協(xié)議通信，可以防止假冒控制器非法控制交換機(jī)等設(shè)備。雖然Openflow1.0強(qiáng)制使用TLS，但1.0版本后，由于廠家考慮認(rèn)證成本，并不強(qiáng)制要求控制器和交換機(jī)之間通過(guò)TLS通信。

2、應(yīng)用軟件的安全測(cè)試、應(yīng)用隔離和權(quán)限管理

SDN中的應(yīng)用程序能夠通過(guò)北向接口與控制層和底層資源交互，通過(guò)安全測(cè)試提高控制器上應(yīng)用軟件的安全性，或要求美國(guó)服務(wù)器應(yīng)用軟件通過(guò)第三方安全評(píng)測(cè)，將有助于防止應(yīng)用被植入惡意代碼。理論上，模型檢查和符號(hào)執(zhí)行等技術(shù)可實(shí)現(xiàn)對(duì)軟件預(yù)設(shè)的屬性進(jìn)行驗(yàn)證，從而對(duì)第三方的應(yīng)用進(jìn)行安全檢測(cè)。然而在工程應(yīng)用中，這種驗(yàn)證無(wú)法進(jìn)行運(yùn)行狀態(tài)的即時(shí)檢測(cè)。

在美國(guó)服務(wù)器控制層提供應(yīng)用隔離和權(quán)限管理機(jī)制，限制應(yīng)用程序?qū)Φ讓淤Y源的訪問(wèn)權(quán)限也是有效的安全措施，在控制層上對(duì)不同用戶的控制邏輯進(jìn)行了切片分區(qū)，從而對(duì)不同用戶之間的控制邏輯進(jìn)行隔離。

在控制器上擴(kuò)展出對(duì)應(yīng)用程序的角色認(rèn)證、規(guī)則沖突檢測(cè)和安全規(guī)則轉(zhuǎn)換等功能，構(gòu)建了一個(gè)強(qiáng)制安全的控制器內(nèi)核。對(duì)美國(guó)服務(wù)器應(yīng)用層能夠調(diào)用的相關(guān)命令進(jìn)行了權(quán)限分配，實(shí)現(xiàn)了應(yīng)用程序和控制層內(nèi)核的隔離，從而保證了應(yīng)用程序無(wú)法對(duì)底層網(wǎng)絡(luò)進(jìn)行破壞。

關(guān)注美聯(lián)科技，了解更多IDC資訊！