多廠(chǎng)商軟件定義網(wǎng)絡(luò )(SDN)項目OpenDaylight去年八月在其平臺發(fā)現一個(gè)關(guān)鍵漏洞后,開(kāi)始意識到安全的重要性。
直到12月,這個(gè)被稱(chēng)為Netdump的漏洞才得到修復,這種時(shí)間長(cháng)度充分說(shuō)明該項目還沒(méi)有專(zhuān)門(mén)的安全小組。漏洞發(fā)現者Gregory Pickett在嘗試而未能與OpenDaylight聯(lián)系后,他將漏洞張貼在一個(gè)流行的安全漏洞郵件列表Bugtraq中。
雖然OpenDaylight仍處于早期階段,通常不會(huì )用于生產(chǎn)環(huán)境,但這個(gè)漏洞的出現說(shuō)明,該項目必須部署安全響應流程。
“對于開(kāi)源項目而言,這實(shí)際上是非常普遍的問(wèn)題,”IIX產(chǎn)品安全工程師David Jorm,同時(shí)他也構建了OpenDaylight的安全響應團隊,“如果沒(méi)有具有較強安全背景的人員,他們通常就不會(huì )想到提供一種機制來(lái)報告漏洞。”
OpenDaylight項目于2013年4月推出,得到思科、IBM、微軟、愛(ài)立信和VMware等供應商的支持。該項目的目標的開(kāi)發(fā)網(wǎng)絡(luò )產(chǎn)品來(lái)消除管理員需要對控制器和交換機進(jìn)行的一些手動(dòng)操作。
讓這些產(chǎn)品具有共同基礎可以有助于提高兼容性,因為企業(yè)往往會(huì )使用來(lái)自很多廠(chǎng)商的各種網(wǎng)絡(luò )設備。
安全將是SDN的重要組成部分,因為漏洞可能造成災難性的的后果。通過(guò)感染SDN控制器(高速度交換機數據包應該如何轉發(fā)的關(guān)鍵組件),攻擊者可以獲得對整個(gè)網(wǎng)絡(luò )的控制。
Jorm稱(chēng):“這真的是非常高價(jià)值的攻擊目標。”
這個(gè)Netdump漏洞讓OpenDaylight開(kāi)始采取行動(dòng),現在OpenDaylight有一個(gè)安全團隊,團隊成員來(lái)自不同供應商。OpenDaylight的技術(shù)指導委員會(huì )最近也批準了一個(gè)詳細的安全響應流程(+微信關(guān)注網(wǎng)絡(luò )世界),基于OpenStack基金會(huì )使用的模型。
如果漏洞沒(méi)有公開(kāi)報道披露,有些OpenDaylight利益相關(guān)者(甚至那些在安全團隊沒(méi)有成員的利益相關(guān)者)都將會(huì )獲得預先通知,讓他們有機會(huì )開(kāi)發(fā)修復程序。這種類(lèi)型的漏洞披露很少見(jiàn),但在開(kāi)源項目正變得越來(lái)越普遍。
這里的想法是,在漏洞被披露后,供應商們一般都會(huì )統一行動(dòng),幾乎在同時(shí)發(fā)出修復程序。
Jorm稱(chēng),OpenDaylight的安全響應程序現在運行很不錯。
