网络安全性和sdwan:密钥

2020-12-14 15:05:54 云杰通信 102

网络安全性和sdwan:密钥

  安全贯穿着SDWAN的方方面面。提到过CPE需要有一个唯一的标识,可以在出厂时配好也可以固化在硬件中,VNF在拉起的时候会生成并注入序列号,控制器的标识使用IP和FQDN通常就可以了。

  有了标识之后,系统中的各个组件间需要进行相互认证,防止非法CPE和控制器的接入,这块的实现可以通过外接LDAP/RADIUS来做,也可以通过PKI体系来做,SD-WAN自身也应该提供认证服务器或者PKI服务器,如果企业自己有认证服务器或者PKI服务器,需要能够与其进行对接。

  IPSec的实现需要两套密钥,第一套是IKE身份认证的密钥,第二套是数据流加密的密钥。第二套密钥在传统方案中是通过DH来分布式计算的,在一些SD-WAN方案中会直接由控制器来进行同步,并周期性地进行更新这个密钥,以提高密钥的安全性。

  实际上,如果使用控制器去分发第二套密钥,就相当于替代掉了IKE的作用,那么第一套密钥就不必再作用于CPE之间了,而是用于CPE和控制器之间的身份认证,这同样也可以通过PKI来搞定,省去了维护预共享密钥的麻烦。另外,考虑到对于NAT穿越的需求,IPSec一般都会采用ESP+隧道的模式。

  数据转发的安全通常就是over在IPSec之上,控制信道的加密则取决于使用何种南向协议。如果是私有的协议的话over在SSL/TLS/DTLS上面就可以,Netconf和OpenFlow也都是原生over在TLS上面。

  BGP最好也是over在IPSec上,区别于传统方案中IGP需要通过GRE逻辑口来进行组播,BGP使用TCP做单播并不依赖于GRE。同时,原生BGP无法穿越NAT的问题,通过IPSec也可以得到解决。

  另外,还要防止CPE主控和控制器的DoS,通过一些策略来限制报文的上送速率。