fbpx

Rolul securitatii in Software Defined Networking


Arhitectura traditionala de retea constand in dispozitive de securitate intercalate incepe sa imbatraneasca. In prezent, fiecare router si switch este considerat “inteligent” cu fiecare decizie de manipulare a retelei pe care o ia pe cont propriu. Planul de control care decide unde sa fie trimis traficul este pe acelasi echipament ca planul de date care transmite trafic catre destinatia finala.  Acest lucru se tranzlateaza printr-un pret scump pentru echipamentele de routare si switching intrucat fiecare echipament necesita cai putere de procesare pentru a se putea ocupa atat de control, cat si de deciziile legate de date. Odata cu aparitia masinilor virtuale, aplicatiile sunt distribuite acum pe mai multe dispozitive.

Flexibilitatea si manevrabilitatea retelei sufera. Schimbarile de politica in retelele complexe de intreprindere sau ale service provider-ilor ar putea necesita implementari de sute sau chiar mii de echipamente.

In ultimii ani, conceptul de Software Defined Networking (SDN) a inceput sa ocupe un loc in industria de networking. Intr-o retea de SDN, planul de control este separat de planul de date. Astfel controlul retelei apare separat de routerele si switchurile individuale. Controlerele SDN tranzlateaza dinamic reteaua logica definita de administrator catre fluxuri individuale aflate pe fiecare router sau switch in reteaua SDN. SDN-ul presupune mai mult decat panoul de control versus controlerul de retea. The Open Networking Foundation (www.opennetworking.org) vorbeste pe larg despre SDN.

In toate discutiile despre SDN si panourile de control si de retea, se vorbeste prea putin despre rolul tehnologiilor de securitate in cadrul acestei arhitecturi noi. 

Pe masura ce tehnologia SDN si standardele se maturizeaza, ne asteptam sa putem conecta echipamentele de securitate in orice port din retea, cu cai logice de securitate definite de controller. Se poate imagina un caz in care reteaua inregistreaza cel mai interesant trafic prin pachetul de captura event-based  via SDN API calls. Intr-un astfel de scenariu un echipament IPS poate detecta un flux si un semnal suspicios si sa-i semnaleze controllerului SDN sa inceapa sa captureze trafic. Controllerul asigneaza apoi interfetele corespunzatoare si filtrele si trimite traficul “interesant” catre o platforma Blue Coat Security Analytics.  Fluxurile si pachetele neinteresante nu sunt forwardate catre Security Analytics si traficul de backhaul este minimizat. Cam la fel se poate intampla si cu traficul criptat SSL. Decriptarea si captura  SSL-ului este disponibila prin apeluri SDN API. Sistemul va decripta si va inregistra numai traficul SSL “interesant”.  In cazul in care se inregistreaza fluxuri SSL suspicioase, ar putea semnala controller-ului SDN sa inceapa sa captureze trafic. Controllerul va re-directiona traficul si asigna interfetele si filtrele corespunzatoare. Aceste fluxuri SSL “interesante” vori fi trecute prin SSL Visibility Appliance. Apoi platforma Security Analytics primeste pachete curate spre analiza. Si, ca si in scenariile anterioare, fluxurile “neinteresante” nu vor fi forwardate, minimizand astfel traficul de backhaul si permitand o scalabilitate mai mare a aplicatiei SSL Visibility Appliance.

Blue Coat lucreaza cu furnizorul de solutii SDN Big Switch Networks pentru a usura procesul de migrare al organizatiilor catre o arhitectura de SDN. Scopul Blue Coat nu este doar sa construim securitate in implementarile SDN, dar sa folosim avantajele SDN-ului pentru a imbunatati securitatea si eficienta retelei.

https://www.bluecoat.com/company-blog/2014-07-28/role-security-software-defined-networking

Cautati informatii