Intelligente Netzwerk-Topologien per Software
Sicherheitsaspekte des Software-defined Networking
von Anna Kobylinska - 22.03.2016
Mit dem verstärkten Einsatz von SDNs rücken Sicherheitsaspekte in den Vordergrund. Ein durchdacht implementiertes SDN kann gegenüber konventioneller Netzwerktechnik eine deutlich höhere Sicherheit bieten. So lassen sich etwa OpenFlow-basierte Access-Switches nutzen, um vorab alle Datenpakete zu filtern, die ins Netzwerk gelangen sollen.
Außerdem lässt sich die Ressourcenzuordnung auf der Basis von Rollen einrichten und via SDN-Controller überwachen. SDN-Controller können zudem DDoS-Attacken abwehren. Sicherheitsdienstleister, die sich auf die Verteidigung von Datencentern gegen DDoS-Attacken spezialisiert haben, setzen ebenfalls auf SDNs.
Mit SDNs lassen sich zwar sicherere Netzwerke einrichten, aber bisher sind bei Weitem nicht alle Lösungen automatisch abgesichert. SDN-Administratoren kommen daher nicht darum herum, sich mit dem Thema Sicherheit von SDNs auseinanderzusetzen.
Mittlerweile gibt es Implementierungen von Overlay-SDNs, die mit mehreren intelligenteren Controllern aufwarten können. Dennoch ist diese Konfiguration längst nicht der Standardfall.
Ein einzelner zentralisierter SDN-Controller eines Overlay-SDNs kann als ein potenzieller „Single Point of Attack“ schnell zum ersten Opfer werden. Sollte der SDN-Controller im Fall eines Angriffs temporär offline gehen, muss er in der Lage sein, sich bei der Wiederverfügbarkeit umgehend um die Synchronisierung der Daten zu kümmern.
Das Southbound-Interface zwischen dem SDN-Controller und den darunter befindlichen Netzwerkgeräten ist potenziellen Angriffen ausgesetzt. Es sind Schutzmechanismen vonnöten, um die Verfügbarkeit, die Leistungsbereitschaft und die Integrität des Netzes zu gewährleisten.
Die Hardware in einem SDN muss in der Lage sein, trotz des Ausfalls des (letzten) SDN-Controllers gelegentliche Angriffe zu überstehen und trotzdem neue Netzwerkdatenflüsse umgehend synchronisieren können, sobald die betroffenen SDN-Controller ihre Betriebsbereitschaft wiederherstellen.
Um Schwachstellen zu minimieren, gilt es, das System des SDN-Controllers und des Host-Betriebssystems beim Einsatz von virtuellen Maschinen zu härten. Darüber hinaus sollten Authentifizierungs- und Autorisierungs-Prozeduren implementiert werden, die den Zugriff auf SDN-Controller beschränken.
Fazit
Die SDN-Ära bringt einen Paradigmenwechsel mit sich: Anstatt die bloße Übertragung von Datenpaketen von Schnittstelle zu Schnittstelle zu verwalten, wird verteilte Software eingesetzt, die komplette Datenflüsse intelligent optimiert.
Im Markt für SDN-Lösungen dominieren derzeit drei Ansätze: Overlay-SDN (Northbound-APIs), Underlay-SDNs (Southbound-APIs) und hybride SDNs (Northbound- und Southbound-APIs).
Unter den IT-Entscheidungsträgern setzt sich schrittweise die Überzeugung durch, dass SDN-Technologie nicht nur die Provisionierung und Auslastung physikalischer Infrastruktur verbessert, sondern auch die Netzwerksicherheit erhöhen kann. Eine fachgerecht umgesetzte SDN-Architektur zählt unter anderem zu den bewährten Lösungen, wenn es darum geht, verteilte DoS-Attacken abzuwehren, die neue Plage aus der Cloud.
Weitere Infos
- www.arista.com/en
Anbieter hybrider Switches für Underlay- und Overlay-SDNs
- www.bigswitch.com
Unterstützt SDN auf der Basis von Open-Source-Projekten
- http://saisei.com
SDN-Lösung zur Analyse des Datenflusses in Echtzeit
- www.opendaylight.org
Konsortium, das einen SDN-Standard etablieren will