Dieser Artikel ist Teil unseres Guides: Einführung in Software-defined Networking (SDN)

Sicherheit für das Software-defined Network (SDN): Der No-Touch-Ansatz

Automatisierte Sicherheit für das Software-defined Network (SDN) ist auf Basis eines No-Touch-Ansatzes für die Netzwerk-Administration möglich.

Software-defined Networking oder SDN ist ein eher loser und vielschichtiger Begriff, der unterschiedlich definiert wird. Die Definitionen reichen vom Fokus auf die Kontrolle des Datenflusses oder die Geräteverwaltung und -konfiguration bis hin zur Gleichsetzung mit Netzwerk-Virtualisierung und Network Functions Virtualization (NFV). NFV entkoppelt die einzelnen Netzwerkfunktionen von teurer und spezialisierter Hardware, so dass sie als Software betrieben werden können, die auf kostengünstigeren Standardservern läuft. Zu diesen Funktionen gehören etwa der Schutz durch Firewalls, Intrusion Detection, Caching oder WAN-Beschleunigung, Anwendungen zum Netzwerk-Management wie Monitoring-Tools, Traffic-Analyse oder Load Balancer sowie virtualisierte Anwendungen wie Cloud-Applikationen oder virtuelle Datenspeicher.

Sehr vielschichtig ist auch das Thema SDN-Sicherheit. VMware NSX beispielsweise erzeugte viel Aufmerksamkeit für den Schutz von Daten in virtualisierten Workloads. Kevin Beaver (IT-Berater und regelmäßiger Autor von Beiträgen für TechTarget) lieferte wichtige Anregungen mit seinem Ansatz, das Konzept des Zero Trust und der Netzwerksegmentierung mit Hilfe von Netzwerk-Virtualisierung zu verbessern.

In diesem Artikel beschreiben wir, wie Unternehmen Software-definierte Netzwerksicherheit erreichen können, indem sie die Rolle des SDN erweitern und nicht nur die besseren Netzwerkfunktionen betrachten. Lernen Sie einen neuen Ansatz kennen, wie man die Administration im SDN absichern kann.

Aktueller Stand der Sicherheit beim Netzwerk-Management

Sicherheits-Management hat sich in Rechenzentren in den letzten 20 Jahren stark verändert. Heute nutzen Netzwerk-Manager traditionelle Tools für Identity und Access Management (IAM) für die Steuerung und die Dokumentation des Zugangs zu Netzwerkgeräten. Dies ist in einem auf Geräte zentrierten Modell nicht allzu kompliziert.

In einem auf Geräte zentrierten Modell vergeben Sicherheits-Administratoren die Rechte auf Geräteebene über das Authentifizierungsprotokoll TACACS+ (Terminal Access Controller Access Control System), das mit Lightweight Directory Access Protocol (LDAP) für die Verbindung zu Verzeichnisdiensten verknüpft sein kann. Fortschrittlichere Umgebungen stellen rollenbasierte Sicherheit für die verschiedenen Schichten des Zugriffs auf Netzwerkfunktionen bereit. Die Herausforderung: Dieser Ansatz berücksichtigt nicht die Absichten der Nutzer. Es ist viel Aufwand notwendig, Rechte auf Geräteebene mit den entsprechenden Fähigkeiten bestimmter Administratoren zu verknüpfen. Ein Junior-Administrator hat beispielsweise das Recht, VLANs für eine allgemeine oder Mehrzweckanwendung zu erstellen. Allerdings sollten die Junior-Administratoren keine Rechte für das Routen des Datenverkehrs von nicht gesicherten Bereichen auf die PCI-Zone auf dem gleichen Switch erhalten.

SDN-Sicherheit

Eine Möglichkeit, die oben beschriebenen Sicherheitsprobleme zu beseitigen, ist ein No-Touch-Ansatz für Änderungen im Netzwerk, den große Internetunternehmen wie Facebook und Google bereits verfolgen. Bei Google & Co. melden sich die Techniker nicht mehr bei jedem einzelnen Netzwerkgerät an, um Änderungen vorzunehmen. Die Technologie geht bis hinunter zum unternehmensweiten Rechenzentrum. Ich sprach mit Matt Oswalt, der ein Open-Source-Projekt namens Testing on Demand Driven (TODD) leitet. Über TODD können Netzwerktechniker Änderungen der Netzwerkkonfiguration testen. Oswalt sieht TODD als Rädchen in der Maschine für SDN-fähige Automatisierung.

SDN-Controller, unterstützende Anwendungen und Tools erlauben künftig eine automatisierte, No-Touch-Konfiguration des Netzwerks. Eine Template-basierte Konfiguration ersetzt gerätebasierte Regeln und die Konfiguration der einzelnen Geräte. Die Validierung der Konfiguration erfolgt über zentrale Management- und Security-Audit-Tools. Anstatt Geräte über eine Kommandozeile (Command Line Interface, CLI) zu konfigurieren, nehmen Administratoren Änderungen über ein zentrales Orchestrierungs-Tool vor. Die Tools stellen sicher, dass die vorgeschlagenen Änderungen den Datensicherheitsrichtlinien des Unternehmens entsprechen.

Es ist noch viel Arbeit erforderlich, bevor wir eine Zukunft erreichen, in der No-Touch-Technologie und softwaredefinierte Netzwerksicherheit weit verbreitet sind. Neben der Technologieherausforderung müssen die aktuellen Netzwerk-Manager und -Techniker ihre Mentalität ändern. Unternehmen müssen ihre Sicherheitskonzepte und ihr Netzwerk-Change-Management ändern, und nicht nur Automatisierung, sondern auch den modernen, höheren Sicherheitsstandard unterstützen.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im Juni 2016 aktualisiert

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close