Applications

SD-WAN

SD-WAN은 SDN의 원칙이 사용되어 관리되는 Wide Area Network(WAN)망을 말한다. SD-WAN의 메인 드라이버는 누출되는 비싼 라인들에 사용되는 비용을 줄이고 비싼 MPLS 라인들을 부분적으로나 전체적으로 대체함으로써 WAN의 비용을 줄이는 것이다. 하드웨어로부터 통제 관리가 분리되고, 중앙 컨트롤러들은 환경설정과 권한설정이 더욱 쉽다.

Security using the SDN paradigm

SDN 구조는 컨트롤러의 네트워크 뷰 때문에 네트워크와 관련된 보안 응용프로그램의 기능이 있거나 강화 될 수 있다. 이 기능은 언제든지 data 계층을 다시 프로그래밍 할수 있다. 아래의 설명들은 SDN을 사용하여 가능하거나 재 방문하는 보안 응용프로그램에 대해 살펴보도록 하자

SDN에서 소속된 몇몇 연구기관들은 SDN 컨트럴로에 보안 응용프로그램에 투자해 왔다. DDoS 감지와 완화 뿐만 아니라 봇넷과 웜 전파, 이러한 응용프로그램의 몇가지 구체적인 사용 사례이다. 기본적으로 이 방법은 OpenFlow 등 표준화된 방법으로 네트워크 전달 계층으로부터 정기적인 네트워크 통계의 수집으로 구성되고, 네트워크 이상현상을 감지하기 위해 통계 분류 알고리즘이 적용된다. 만약 네트웍에 이상이 감지되면 응용 프로그램은 컨트롤러에게 이상현상을 완화시키기 위해 어떻게 데이터 계층을 재 프로그래밍 해야하는지 알려준다.

다른 종류의 보안 어플리케이션들은 MTD(Moving Target Defense) 를 구현하기 위해 SDN컨트롤러를 활용한다. MTD 알고리즘은 시스템이나 네트워크의 키 프로퍼티를 규칙적으로 감추거나 바꿈으로서 주어진 시스템이나 네트워크에 대한 공격을 좀더 어렵게 하는 전형적인 알고리즘이다. 전통적인 네트워크들에서는 MTD 알고리즘을 구현하는 것이 키 프로퍼티를 감추거나 바꾸는 결정 권한을 만드는데 어려움 때문에 손쉬운 작업이 아니었다. SDN 네트워크 에서는 어떤 작업들은 컨트롤의 중앙 집중 덕분에 곧바로 적용할 수 있다. 하나의 응용프로그램이 네트워크네에 호스트에게 가상 IP를 정기적으로 할당할 수도 있고 가상 컨트롤러에 적용할 수도 있다. 다른 어플리케이션은 공격자에 의해 수행되는 감지 동안 중요한 노이즈를 추가하기 위해 네트워크 내의 임의의 호스트에 가짜 opened\/closed\/filtered 포트를 시뮬레이션 할 수 있다.

SDN에서 보안에 관한 추가적인 값은 FlowVisor나 FlowChecker 을 통해 획득할 수 있다. 이전의 시도에서는 다중으로 구분된 논리적 네트워크를 공유하는 하나의 하드웨어 전달을 사용한다. 이 접근법에 따르면 같은 하드웨어 자원은 생산과 개발의 목적뿐만 아니라 모니터링과 환경설정, Slice라 불리는 자신의 논리적 토폴로지를 갖는 각각의 시나리오 인터넷 트래픽을 분산하는데 사용될 수 있다. FlowChecker와의 결합은 사용자들이 자신의 Slice에서 사용함으로써 배포되는 새로운 OpenFlow 정책 들의 유효성을 알게 해준다.

SDN 네트워크를 위한 배포 응용 프로그램은 프로그래밍 에러에 대한 포괄적인 감지가 필요하다. 왜냐하면 SDN 컨틀롤러 응용프로그램은 확장성이 필요한 규모가 큰 프로그래밍 체킹 솔루션 시나리오에 대부분 배포되기 때문이다. 이 기능은 NICE를 통해 제공된다.

대단히 중요한 보안 구조의 도입은 종합적이고 지속되는 SDN에 대한 접근법이 필요하다. SDN이 적용되고 나서부터 설계자들은 확장성을 지원하지 않는 SDN보안을 위한 가능한 방법을 찾고있다. 그 구조느SN_SECA 보안 구조라고 불린다.