Vormt SDN een securitynachtmerrie?

Eén van de grootste buzzwords in de zakelijke IT is Software-Defined Networking (SDN), wat kort gezegd inhoudt dat je fysieke netwerkapparaten kunt beheren via een softwaregebaseerde controller op een commodity server.

Er zijn veel voordelen aan SDN. In plaats van dat je met de hand iedere switch en router af hoeft te gaan, kan de controller overweg met policies die het OpenFlow protocol aansturen om de fysieke devices te beheren. OpenFlow maakt dat het niet langer noodzakelijk is hard- en software van dezelfde fabrikant te gebruiken.

Maar SDN is vanwege de securityrisico's niet voor iedereen geschikt, zegt Robert Hinden, Fellow bij Check Point. Hij merkt op dat als eenmaal de controle over het netwerk is gecentraliseerd op één server, wat er dan gebeurt als de server wordt aangevallen? Wat gebeurt er als een hacker de controle in handen krijgt over een SDN-controller?

In theorie kan de hacker verkeer rond de firewalls leiden, malware in het netwerk injecteren, man-in-the-middle aanvallen uitvoeren of traffic naar kwaadwaardige servers leiden.

Ook dien je jezelf af te vragen wat er gebeurd als er storingen of bugs optreden in het netwerk. Volgens Hinden is het nog veel te onduidelijk hoe een SDN-controller omgaat met netwerkstoringen die om reroutering van het verkeer vragen.

Routing werkt compleet anders

Hinden plaatst daarnaast vraagtekens bij de schaalbaarheid van SDN. Hij merkt op dat traditionele routing en switching gebaseerd is op de bestemming, waardoor fysieke devices erop ingesteld zijn dat ze pakketjes naar de bestemming kiezen. Bij het flow-gebaseerde SDN hoeft dat niet zo te zijn omdat netwerkbeheerders policies kunnen instellen. Die zogenaamde flow-entries moeten naar ieder device in het netwerk gestuurd worden. Hinden vraagt zich af of dit bij een groot netwerk niet onhandelbaar wordt.

Gelukkig ziet Hinden ook positieve kanten aan SDN in combinatie met security. De controller kan securitypolicies naar alle routers en switches op het netwerk pushen, wat maakt dat al het verkeer via een uniform beleid wordt afgehandeld. Als er een client computer wordt besmet, kan de controller dit device eenvoudig isoleren van de rest van het netwerk.

'Samenwerking benodigd'

Aangezien we nog erg vroeg in de adoptiecyclus van SDN zitten, adviseert Hinden dat netwerk- en securityprofessionals samen het topic SDN bij de horens vatten. In nabije toekomst "is namelijk ook het netwerkpersoneel verantwoordelijk voor security".

Related:

Copyright © 2014 IDG Communications, Inc.

Discover what your peers are reading. Sign up for our FREE email newsletters today!