De vraag is beantwoord: SDN is veilig

  1. 19 aug 2015
  2. 0 reacties
Photo RJWilts

Software Defined Networking (SDN) is een van de meest interessante ontwikkelingen op netwerkgebied van de afgelopen tien jaar. De mogelijkheid om een vereenvoudigde netwerkinfrastructuur in te richten en gebruik te maken van software om aspecten van de netwerkstroom dynamisch aan te passen biedt een potentiële oplossing voor verschillende pijnpunten van operators. SDN kan de hardwarekosten terugdringen, een snellere levering van netwerkdiensten faciliteren en meer grip bieden op de configuratie van uiteenlopende netwerken. Zorgen rond de beveiliging en/of een gebrek aan informatie hierover oefenen helaas een remmende werking uit op de toepassing van SDN binnen de snel veranderende datacenters en verbonden WAN-omgevingen van vandaag.

En daar is een goede reden voor. Er verschijnen vrijwel dagelijks nieuwsberichten over nieuwe gevallen van wereldwijde gegevensdiefstal. Alleen al in 2014 was er sprake van meer dan 1500 van dit soort incidenten. Hierbij werden in totaal 1 miljard gegevensbestanden gestolen. Dit betekent een toename van het aantal incidenten met 49% en een stijging met 78% van het aantal gestolen of verloren gegevensbestanden ten opzichte van 2013. Mensen staren zich al snel blind op alle kwetsbaarheden in de beveiliging van een open systeem (reëel dan wel ingebeeld). Het is echter belangrijk om oog te hebben voor het feit dat SDN ook belangrijke voordelen naar de beveiliging van netwerken kan brengen.

Huidige beveiligingsoplossingen en beleidsregels die nauw verweven zijn met fysieke middelen (in tegenstelling tot applicaties en diensten), zijn lastig te installeren, beheren, programmeren, schalen en beveiligen. Deze beveiligingsoplossingen hebben grote moeite om snelle en geautomatiseerde bescherming tegen bedreigingen te bieden voor apparatuur van verschillende leveranciers. Het is bovendien moeilijk om consistente beleidsregels op te stellen voor ICT-, opslag- en netwerkdomeinen, en verschillende datacenters.

SDN biedt een centraal model voor netwerkintelligentie en –beheer dat uiterst geschikt is om de broodnodige flexibiliteit naar implementaties van oplossingen voor netwerkbeveiliging te brengen. SDN heeft daarnaast nog andere voordelen die van pas komen bij het inrichten van een uiterst veilige en beheerbare omgeving:

  • Een op de netwerkstroom gebaseerd paradigma dat beleidsregels loskoppelt van de fysieke netwerkgrens. Traditionele modellen voor het beveiligen van de grenzen van het netwerk die ten doel hebben slechteriken uit het bedrijfsnetwerk te weren, zijn niet langer effectief in de dynamische wereld van mobiliteit en cloud computing. De realiteit is dat netwerken en servers voortdurend zullen worden aangevallen, ondanks de inzet van de beste technologieën voor contentinspectie, tunneling en voortdurende netwerkbewaking. Het ‘flow-paradigma’ leent zich bij uitstek voor het verwerken van beveiligingsinformatie, omdat het voorziet in een integraal, servicegeoriënteerd connectiviteitsmodel dat niet wordt gehinderd door de traditionele routeringsbeperkingen.
  • Fijnmazig beheer en afdwinging van beleidsregels voor multi-gebruikersomgevingen. SDN biedt de mogelijkheid van fijnmazig beheer van beleidsregels die niet zijn gebaseerd op de fysieke configuratie, maar op geografische, organisatorische, applicatie- en servicecriteria. Operators kunnen zo bepalen wie beheerinformatie mag bijwerken en onbevoegde personen of groepen uitsluiten. Ze kunnen op elk gewenst moment de status van hun netwerk raadplegen en zien welke wijzigingen zijn aangebracht, door wie en wanneer.
  • Logisch gecentraliseerd beheer voor een effectieve en integrale bewaking van de netwerkprestaties en -bedreigingen. Binnen SDN-architecturen wordt alle netwerkinformatie ondergebracht op een centrale locatie, zodat het besluitvormingsproces kan worden gebaseerd op een globaal of domeinspecifiek netwerkoverzicht. Deze mate van overzicht ontbreekt in de huidige netwerken, waar sprake is van een autonoom systeemoverzicht en waar de nodes geen weet hebben van de algehele netwerkstatus. SDN biedt operators daarmee een efficiëntere manier om bedreigingen te detecteren en isoleren.
  • Programmeerbaarheid maakt een veel geavanceerdere verwerking van beveiligingsinformatie mogelijk. SDN-netwerken worden inherent aangestuurd door softwarefunctionaliteit die leveranciers of de operators zelf aanleveren. De resulterende programmeerbaarheid biedt mogelijkheden voor automatisering, het aanbrengen van wijzigingen voor risicoreductie en een flexibele en dynamische aanpassing van beveiligingsregels.

SDN combineert historische en real-time informatie over de netwerkstatus en –prestaties voor een gefundeerde besluitvorming, flexibiliteit, operationele eenvoud en verbeterde beveiliging binnen een gemeenschappelijke infrastructuur. Met de juiste configuratie en mate van integratie kunt u uw SDN-omgeving beveiligen zonder de voordelen van deze technologie mis te lopen. Dit maakt meteen een einde aan één van de meest gehoorde punten van kritiek vanuit beveiligingsoogpunt: dat de beveiliging als het ware op het netwerk wordt geschroefd in plaats van met het netwerk te worden geïntegreerd. Met SDN kan de beveiliging van meet af aan fungeren als kerncomponent van uw netwerk. Dit maakt het eenvoudiger om in de praktijk bewezen beveiligingsmechanismen te implementeren en beheren.

Rob Wilts is senior director regional service providers Europe & Africa bij Ciena