Software-defined networking (sdn) lijkt de heilige graal van de it-wereld. Als je alles op software baseert, is het mogelijk om de flexibiliteit en schaalbaarheid te vergroten en allerlei processen te automatiseren. Daarmee is – zo stellen de pleitbezorgers van sdn – beter in te spelen op de dynamiek, waarmee organisaties tegenwoordig te maken hebben.
De programmeerbare infrastructuur heeft onmiskenbaar belangrijke voordelen. Zo is DevOps gemakkelijker te ondersteunen. Bij organisaties met veel dagelijkse updates – zoals Facebook, dat dertig updates per dag doorvoert – is sdn eigenlijk al een eis. Het is immers onmogelijk om die aantallen updates in een op hardware gebaseerde omgeving door te voeren.
Bedreigingen
Niettemin is het ook van belang goed te kijken naar de risico’s van sdn. Juist omdat deze ontwikkeling aan het begin van zijn levenscyclus is, is er in de branche nog maar weinig inzicht in de bedreigingen. Sterker nog: sdn als brede beweging heeft zich vanaf de start niet erg veel bekommerd om beveiliging.
In de traditionele beveiligingswereld is het beveiligen van de infrastructuur relatief overzichtelijk. Je sluit gewoon netwerkpoorten af en weet dat je zo beschermd bent tegen bedreigingen. In een sdn-omgeving is de software leidend. Omdat applicatietoegang de sleutel is voor het zakendoen, moet je de infrastructuur open zetten. Dit kan een beveiligingsprobleem opleveren, omdat de omgeving ook openstaat voor ongeautoriseerde toegang.
Drie pijlers
Vraag is of de basisprincipes van beveiliging ook gelden voor sdn-omgevingen. Het antwoord is ja. Bij informatiebeveiliging gaat het uiteindelijk om de data. De drie pijlers van databeveiliging in dat verband zijn: vertrouwelijkheid, integriteit en beschikbaarheid. Deze drie zijn ook relevant bij het beveiligen van een programmeerbare infrastructuur. Beleid is de eerste stap.
Wie overweegt een programmeerbare infrastructuur in te zetten, moet allereerst zijn beveiligingsbeleid updaten. Daarna is het zaak om de juiste beveiligingsmiddelen te kiezen voor het beschermen van de infrastructuur. In een software-defined omgeving zijn deze middelen softwaregeoriënteerd. Dat betekent dat de aanvalsmogelijkheden toenemen. Software-gebaseerde systemen zijn immers op afstand te configureren. Je moet dus meer beveiliging implementeren rond de toegang tot software om bijvoorbeeld het toevoegen van niet-geautoriseerde of kwaadaardige code te voorkomen.
Virtualisatie
Hoe dat precies moet, staat nog niet vast. Duidelijk is wel dat sdn interessante mogelijkheden biedt voor beveiliging. Er zijn al firewall- en intrusion detection-oplossingen, volledig in de vorm van software. Daarmee kun je tools op een optimale manier programmeren, inrichten, installeren en automatiseren. Dat is belangrijk als je bedenkt dat de virtual machine de belangrijkste bouwsteen is van moderne computingomgevingen.
Er is op dit moment nog geen echt eenvoudige manier om een virtual machine goed te beveiligen. Je kunt het hele netwerk beveiligen of segmenten van het datacenter, maar fijnmazige beveiliging voor een virtual machine is niet zo gemakkelijk. Wanneer de beveiligingstechnologie is opgenomen in de software, is per virtual machine een beveiligingspolicy toe te passen waardoor deze direct beschermd is.
Dan kun je de beveiligingsinstellingen ook meeverhuizen met de virtual machine, of deze nu in of uit het datacenter gaat of naar de cloud. Er zijn verschillende beveiligingsleveranciers die deze aanpak kiezen. Dat is goed nieuws, omdat het beveiligen van zo’n snel bewegende dynamische omgeving in het verleden moeilijk is gebleken.
On-demand
Een ander voordeel van op software gebaseerde beveiliging is de mogelijkheid om on-demand en op basis van een policy zeer gevoelige datastromen dynamisch te beveiligen. Denk aan creditcardgegevens of gevoelige persoonsgegevens. Je kunt dan verschillende encryptiemogelijkheden toepassen om een deel van het verkeer te beschermen, terwijl je het andere deel in clear text laat stromen. Je zou dat deel van data zelfs over een aparte netwerklink kunnen laten lopen. Op deze manier is het netwerkverkeer te controleren en pas je policy’s effectiever en efficiënter toe. Duidelijk is dat sdn allerlei kansen biedt, maar ook moet kunnen voorzien in afdoende beveiliging.
Mohamed Al Ayachi, line of business manager network integration & security bij Dimension Data
Veiligheid en dynamiek staan altijd op gespannen voet met elkaar als ik kijk naar de beveiligingsproblemen die door OSI laag 8 gemaakt worden. Vraag is dan ook waar je de beveiliging in stack plaatst als we over dynamiek van SDN gaan praten, de firewall lijkt mij de minst logische keus omdat je daarmee een lock-down aanbrengt die wringt met de dynamiek van SDN.
Beter is het dus om endpoint zelf te beschermen door NIC-driver aan te passen om zo te verzekeren dat de beveiliging niet gecorrumpeerd wordt als de data link laag wijzigt doordat je workload naar de cloud burst. Unisys levert met Stealth een secure parser die tussen laag 2 en 3 zit en ook te gebruiken is voor Amazon Web Services:
http://www.unisys.com/offerings/security-solutions/unisys-stealth/stealth-for-amazon-web-services/Video/Unisys-Stealth-for-Amazon-Web-Services-id-493