Software-defined Networks müssen abgesichert sein

Auch Software-defined Networks müssen gegen Angriffe abgesichert sein, doch sind Sicherheitslösungen nicht immer einfach einzusetzen und zu verwalten.

Software-defined Networking (SDN) ist eine der interessantesten Networking-Entwicklungen des vergangenen Jahrzehnts. Die Möglichkeit, die Infrastruktur zu vereinfachen und Software zur dynamischen Änderung bestehender Flow-Eigenschaften zu nutzen, adressiert viele Herausforderungen hinsichtlich Hardwarekosten, schnellerer Service-Provisionierung und mehr Konfigurierungskontrolle in gemischten Netzwerken. Allerdings sind Bedenken respektive fehlende Informationen bezüglich der Sicherheit ein Stolperstein auf dem Weg zur breiten Akzeptanz für SDN in heutigen Rechenzentren und angeschlossenen Wide Area Network-Umgebungen. 

Und das aus gutem Grund. Fast jeden Tag gibt’s eine Meldung über eine neue Datensicherheitslücke oder -verletzung. Allein 2014 führten 1.500 Datensicherheitsverletzungen zu einer Milliarde betroffenen Datensätzen. Das entspricht einer 49-prozentigen Steigerung bei den Verletzungen und einer 78-prozentigen bei der Anzahl der gestohlenen oder verlorenen Datensätzen im Vergleich zu 2013. Es ist zwar einfach, sich auf die Security-Lücken in einem offenen System zu fokussieren, SDN kann aber einige Sicherheitsvorteile mit sich bringen.

Eugen Gebhard, Ciena

Aktuell verfügbare Sicherheitslösungen sind schwierig einzusetzen, zu verwalten, zu programmieren, zu skalieren und abzusichern. Richtlinien sind eng mit physischen Ressourcen verbunden – statt mit Services und Anwendungen. Security-Lösungen haben Schwierigkeiten damit, eine schnelle und automatisierte Bedrohungsminderung für Geräte mehrerer Hersteller umzusetzen.

Einheitliche Sicherheitsrichtlinien lassen sich nur schwer über Rechen-, Speicher- und Netzwerkdomäne sowie mehrere Rechenzentren administrieren.

SDN bietet ein zentrales Intelligenz- und Kontrollmodell, das für Flexibilität bei der Netzwerksicherheit sorgt sowie die Bereitstellung einer hoch sicheren und verwaltbaren Umgebung ermöglicht. Dazu gehören die folgenden Eigenschaften.

Ein flow-basiertes Paradigma, das Richtlinien vom physikalischen Perimeter trennt. Die für die Perimetersicherheit typische Strategie, die vorsieht, die Bösen aus dem Netzwerk fernzuhalten, funktioniert in der dynamischen Cloud- und Mobile-Welt nicht mehr. Netzwerke und Server werden trotz hervorragender Inspection-, Tunneling- und Überwachungstechnologien weiterhin angegriffen. Das Flow-Paradigma eignet sich optimal für die Sicherheitsverarbeitung, da es ein umfangreiches, Service-orientiertes Connectivity-Modell darstellt, das nicht durch herkömmliche Routing-Bedingungen eingeschränkt wird.

Sehr granulare Verwaltung und Durchsetzung von Richtlinien in heterogenen Multi-Tenant-Umgebungen. Das Richtlinienmanagement lässt sich granular nach Applikation, Service, Organisation oder Standort statt nach physikalischer Konfiguration einrichten. Damit kann der Administrator festlegen, wer kontrollbezogene Informationen aktualisieren darf, und unautorisierte Personen oder Gruppen sperren. Der aktuelle Zustand der Plattform lässt sich jederzeit prüfen. Außerdem ist es möglich, zu sehen, welche Änderungen wann und von wem gemacht wurden.

Logisch zentralisierte Kontrolle sorgt für hohe Performance und effektive Bedrohungsüberwachung im ganzen Netzwerk.  In SDN-Architekturen ist die Netzwerkintelligenz zentralisiert. Entscheidungen werden auf der Basis einer globalen oder Domäne-bezogenen Sicht des Netzwerks getroffen. Das steht im starken Kontrast zu heutigen Netzwerken, die auf einer autonomen Systemansicht basieren, in der einzelne Knoten den aktuellen Gesamtzustand des Netzwerkes nicht kennen. Mit SDN können Administratoren Bedrohungen effizienter erkennen und isolieren.

Programmierbarkeit verbessert die Sicherheitsverarbeitung. SDN-Netzwerke werden von Haus aus von der Software-Funktionalität kontrolliert. Diese stellen entweder die Hersteller oder die Netzwerkbetreiber zur Verfügung. Diese Programmierbarkeit sorgt für eine automatisierte und angepasste Risikominderung sowie eine dynamische und flexible Anpassung der Sicherheitsrichtlinien.

Dank der Kombination historischer und Echtzeitdaten hinsichtlich des Zustands und der Performance des Netzwerks sorgt SDN für intelligente Entscheidungsfindung, mehr Flexibilität, vereinfachten Betrieb und höhere Sicherheit in einer gemeinsamen Infrastruktur. Mit der richtigen Konfigurierung und Integration lässt sich eine SDN-Umgebung absichern ohne die Vorteile und Funktionalität zu beeinträchtigen. Somit kann eine der häufigsten Sicherheitsbemängelungen adressiert werden – nämlich, dass Security-Funktionalität hinzugefügt statt integriert wird. Mit SDN wird Sicherheit von Anfang an als zentraler Bestandteil der Netzwerklösung eingebaut. Das vereinfacht sowohl die Umsetzung als auch das Management bewährter Security-Mechanismen.

Über den Autor:
Eugen Gebhard ist Regional Director Germany & Pan-European Carrier Accounts bei Ciena.

Folgen Sie SearchNetworking.de auch auf Facebook, Twitter und Google+!

Erfahren Sie mehr über Software-defined Networking

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close