Как обстоят дела с безопасностью в SDN и NFV на самом деле.

Адаптировано отсюда: http://blog.cimicorp.com/?p=2561

Кажется, нет проблемы в новых технологиях, которая привлекала бы внимание больше, чем безопасность. В любой технологии практически всегда считается (и часто небезосновательно), что безопасности в ней недостаточно. Всегда можно найти повод для критики любой технологии, решения, продукта, вендора из-за «недостаточной безопасности» и получить признание и внимание к собственной персоне. То же самое можно сказать про SDN/NFV, которые многими экспертами объявляются «черными дырами» в безопасности.

Так ли это на самом деле? Можно сказать лишь то, что ещё рано делать выводы. Посмотрим, как на самом деле обстоят дела с безопасностью в SDN/NFV.

Безопасность – довольно обширное понятие, и чтобы конкретизировать его относительно технологий программируемых сетей и виртуализации, прежде всего «отделим мух от котлет». Начнём с того, что разделим понятие безопасность на две основных категории – безопасность контента (вредоносное ПО, вирусы, различные файлы, которые при загрузке наносят вред компьютеру пользователя) и безопасность соединения, под которым понимается способность сети подключать тех, кого надо, и не подключать тех, кого не надо.

Проблемы с безопасностью контента могут возникать отовсюду, но самый большой их источник – Интернет. Поскольку Интернет никогда не был, и, видимо, никогда не будет безопасным источником, любой контент, полученный через Интернет, по умолчанию считается небезопасным. И технологии SDN/NFV с этим ничего поделать не могут.

Некоторые вендоры продвигают идею, что виртуальные функции интеллектуального анализа способны «на лету» распознавать угрозу в контенте, однако вряд ли это будет когда-либо реализовано на практике. Инструменты, которые могут отслеживать вредоносные сайты, действительно существуют, но вряд ли они когда-либо смогут «на лету» распознавать вредоносный контент, от источника, который обычно считался доверительным.

Таким образом, остается рассмотреть безопасность соединений, заключающуюся в предоставлении услуг авторизованным пользователям, и блокировке всех остальных. В безопасности соединений можно рассмотреть три основных области:

  1. Управление доступом к сети, заключающееся в том, чтобы только авторизованные пользователи могли подключаться к сети.
  2. Предотвращение влияния на сеть, означающее способность останавливать тех, кто пытается сделать что-то деструктивное в отношении услуг данной сети, изнутри неё, или извне её.
  3. Предотвращение несанкционированного перехвата данных, то есть способность предотвращать пассивный перехват сетевого трафика.

 

Управление доступом к сети – это, в первую очередь, процесс администрирования услуг в современных сетях. При заказе или изменении услуг, они могут добавляться на сайт (или удаляться с сайта), или, в некоторых случаях, к реквизитам пользователя. Если услуга позволяет подключение plug-and-play, то этот процесс может быть автоматизирован и основан на подтвержденных данных доверенного пользователя (credentials). Риски, которые SDN или NFV могут здесь привнести, относятся к порталам самообслуживания, где процесс управления доступом (admission-control) считается менее безопасным.

Предотвращение влияния на сеть также распадается на две категории. Первая (и наиболее часто обсуждаемая) – это противодействие атакам типа «отказ в обслуживании» (denial-of-service). Вторая – отзыв доступа у т.н. «отклонившихся конечных точек» (maverick endpoints), например, у тех пользователей, которые совершают в сети рискованные действия, или чем-то нарушают установленные в данной сети правила безопасности. Для сетей, кроме публичных, таких как Интернет, или сетей с разделяемой между разными предприятиями инфраструктурой, обе эти задачи сводятся к использованию механизма определения источника риска (“finger-pointing”) и механизма отключения. SDN и NFV могут играть здесь как положительную, так и отрицательную роль.

Предотвращение несанкционированного перехвата данных, если не рассматривать задачу перехвата на физических линиях в сети доступа (ни SDN, ни NFV здесь ни на что повлиять не могут), то задача также сводится либо к администрированию, либо к оперативному управлению и контролю. Существуют некоторые способы перехвата при помощи пассивных съёмников (passive taps), которые используют некоторые возможности SDN или NFV, способные создать дополнительные риски.

Как и все риски, риски безопасности необходимо устранять поэтапно. Если SDN или NFV содержат те же факторы рисков, которыми уже существуют на традиционных сетях, то эти новые технологии вряд ли что-либо меняют в имеющихся методах обеспечения безопасности. Если они привносят новые риски, их нужно рассматривать отдельно.

SDN – это, по сути, централизованно управляемая структура передачи пакетов по сети, в которой исключен процесс адаптивной маршрутизации на каждом аппаратном сетевом узле. Если центральный SDN-контроллер и система администрирования сети в целом скомпрометированы, то скомпрометированной оказывается вся сеть. С этим трудно спорить, но такой сценарий весьма маловероятен.

Самая большая уязвимость в сети SDN кроется в линке от сетевого элемента, лишенного маршрутизации, к контроллеру SDN. Это главная проблема всех систем виртуализации вообще: должен быть действительно внеполосный канал управления для плоскости передачи данных. Просто зашифровать его – недостаточно, поскольку он может быть подвергнут атаке «отказ в обслуживании» (DoS).

С другой стороны, централизованное управление сетью передачи пакетов, которое не знает топологии соединения сетевых устройств, существенно усложняет задачу захвата всей сети со скомпрометированного устройства. Это означает, что линки между доменами SDN для коммутаторов, ориентированных на соединения, являются безопасными. То есть, безопасность легче обеспечить чем защищать сети от «отклонившихся устройств» (maverick devices).

Существенным преимуществом SDN является её способность разделять сети разных арендаторов так, что они совершенно невидимы друг для друга. Правила передачи пакетов, устанавливаемые централизованно, создают явно определённые маршруты и изменяются они тоже явно. Сами сетевые устройства (без внутренней маршрутизации) не могут изменять маршруты, и, вследствие того, что сети арендаторов не передают внутри себя никаких общих команд управления (т.е. по отношению к управлению, они являются «внеполосными» — “out of band”), они не могут оказывать никакого влияния на ресурсы друг друга. Поэтому, сети SDN могут быть существенно более безопасными.

Для NFV все намного сложнее. То, что, было сконцентрировано внутри одного аппаратного устройства в традиционной сети, теперь распределено по пулу ресурсов совместного использования. Виртуальные функции, входящие в состав виртуального «устройства» теперь могут быть расположены на разных хостах и взаимосоединены через сеть. Это создает риски в двух измерениях.

Одно измерение – это горизонтальные сетевые соединения между виртуальными функциями. Что представляет собой сеть, через которую они проходят? Если предположить самый забавный вариант, что это – сеть общего пользования, то становится возможным взломать каждый функциональный компонент. Даже в том случае, если это – сама сеть передачи данных сервисов, то и здесь отдельные функции открыты для внешних соединений, для которых нужно создавать защиту. Даже если она есть, все равно остается риск атак типа «отказ в обслуживании» со стороны плоскости передачи данных.

Другое измерение – вертикальные связи между функциями и ресурсами, на которых они работают. Самая большая сложность в NFV – это обеспечение SLA, и в модели ETSI этим занимается “VNF Manager”, в котором по крайней сере один компонент должен быть входить в состав VNF и работать вместе с ней. Поскольку менеджер VNF в принципе должен работать с учётом состояния выделенных для VNF ресурсов, то должен быть канал от ПО арендатора (VNF/VNFM) к общим ресурсам. Тут возможны значительные риски для безопасности и стабильности.

Оба этих измерения рисков могут усугубляться тем фактом, что NFV привносит риск встраивания злонамеренного ПО в сеть. То есть, источником атаки может быть сама VNF, которая может влиять на приложения и данные пользователей в общем пуле ресурсов. Любая уязвимость в VNF, если ей можно воспользоваться, может быть настоящей катастрофой.

В NFV может быть несколько разный плоскостей управления или сети на разных независимых пулах ресурсов. При этом будет лучше, если VNF будет иметь собственную IP-подсеть (subnet), в которой будут «жить» её компоненты.

В общем, можно сказать, что реальные проблемы безопасности в SDN и NFV находятся вне рамок традиционных структур сетевой и информационной безопасности, поскольку здесь нужно обеспечивать безопасность плоскости (плоскостей) управления, которые управляют виртуальными ресурсами и их отношениями с приложениями и сервисами. Риски здесь нарастают, поскольку растут и возможности «экспонирования» взаимосвязей функций и элементов через сеть. Тем не менее, «риски» SDN/NFV, до сих пор представляются так, как будто они являются «расширением» уже существующих рисков в традиционных сетях. На самом деле это не так, и риски SDN/NFV нельзя устранить простым масштабированием уже существующих стратегий безопасности. Старые риски остаются, но процессы виртуальной безопасности совершенно другие, и необходимо понимать, что нужно обеспечивать, прежде всего, безопасность самой виртуализации. Если этого не сделать, то традиционные риски мультиплицируются и к ним добавятся новые.

*  *  *

human-error-cartoon

— В этом углу у нас файерволлы, системы шифрования, антивирусы и прочее, а в этом углу у нас — ДЭЙВ!

(Надпись на майке Дэйва — «Человеческие ошибки»).

Об авторе Алексей Шалагинов

Независимый эксперт
Галерея | Запись опубликована в рубрике Записи с метками , , , , . Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

w

Connecting to %s