Software-Defined Networking en security: SDN gaat netwerken veel veiliger maken

Markus Nispel
Markus Nispel is Vice President Software and Solutions Engineering bij Extreme Networks.

Software-Defined Networking (SDN) wordt al enkele jaren bejubeld als de nieuwe kijk op het design, de implementatie en het beheer van netwerken. Maar steeds vaker blijkt ook het verbeteren van de security voor zowel klanten, leveranciers als ontwerpers een belangrijke reden te zijn om SDN te omarmen.

Bij SDN wordt de intelligentie bij wijze van spreken uit de routers en switches gehaald en ondergebracht in een centrale controller. Op die manier is het mogelijk om routers en switches via software centraal en dynamisch aan te sturen en te beheren. Voor de communicatie tussen de ‘data plane’ en de ‘control plane’ – die met SDN dus uit elkaar worden getrokken – kan gebruik worden gemaakt van OpenFlow, een standaard die in 2010 is voortgekomen uit de Open Networking Foundation. De markt voor SDN groeit gestaag, mede met dank aan projecten zoals OpenDayLight waar meerdere leveranciers zich achter hebben geschaard (zie ook het kader). Zo voorspelt marktonderzoeker IDC dat de SDN-markt in 2016 een omvang zal hebben van 3,7 miljard dollar. De populariteit van SDN zou echter nog wel eens verder kunnen toenemen nu steeds duidelijker wordt dat SDN door zijn gecentraliseerde aanpak en focus op verkeersstromen uitermate geschikt is om de beveiliging van het netwerk op een hoger niveau te brengen. Tijdens een ‘IT Spending Priority Survey’ gaf 42 procent van de respondenten dan ook aan dat SDN’s hun netwerken enigszins of veel veiliger gaan maken. 44 procent verwacht dat SDN’s de complexiteit reduceren die is geïntroduceerd door de virtualisatie van servers en storage. We zullen hier laten zien hoe SDN en meer specifiek OpenFlow en het Group Based Policy-model bijdragen aan een betere beveiliging.

Hoe verbetert SDN security?
De netwerkintelligentie van traditionele switches beperkt zich tot een zichtbaarheid op de Lagen 2, 3 en 4 van het OSI-model. Hierdoor is het voor traditionele switches niet mogelijk om een onderscheid aan te brengen tussen de verschillende typen toepassingen op Laag 7, ofwel de applicatielaag. Dit zorgt voor een inefficiënt gebruik van zowel bandbreedte als computingcapaciteit. Om op Laag 7 te voorzien in aanvullende diensten moeten er immers specialistische systemen zoals nextgeneration firewalls, inbraakdetectiesystemen en application delivery controllers worden opgenomen in de specifieke verkeersstromen. De huidige en toekomstige releases van OpenDayLight bieden – met dank aan de inbreng van OpenDayLightleden zoals Radware, Plexxi en NEC – echter verschillende mogelijkheden voor security die van SDN een ‘straight forward’-technologie maken om ook op Laag 7 de veiligheid te bieden die nodig is. Dan kan worden gedacht aan het omleiden van verkeersstromen naar een IDS, Deep Packet Inspection (DPI)-oplossing of netwerkmonitoringsysteem voor nadere inspectie, detectie van Distributed Denial of Serviceaanvallen en netwerktoegangscontrole.

Beveiliging verbeteren met OpenFlow
Een OpenFlow-switch is in essentie een ‘flow’-tabel waarin staat aangegeven met welke prioriteit verkeer wordt doorgestuurd en welke acties daaraan vast zitten. Zo’n tabel wordt geconfigureerd door de controller en bevat informatie zoals het MAC-adres of de poort waar een pakketje vandaan komt, en de gewenste acties zoals ‘stuur pakketje afkomstig van poort X door naar poort Y’. Als een bepaalde frame niet matcht met een van de waardes in de tabel, dan wordt die doorgestuurd naar de controller.

OpenFlow biedt een mogelijkheid om de controller te gebruiken in een ‘reactieve modus’. In de reactieve modus van OpenFlow stuurt de controller de eerste pakketjes van een nieuwe en nog vast te stellen verkeersstroom (dus nog voordat de ‘flow’ wordt bijgeschreven in de switchingtabel) alvast ‘vooruit’ zodat deze pakketjes kunnen worden onderworpen aan een inspectie. Op deze manier kan met de bouwstenen van SDN een application firewall-oplossing worden gebouwd.

Group Based Policy-model
De nieuwste toevoeging aan de toolset die OpenDayLight beschikbaar stelt, komt voor uit het Group Based Policy (GBP)-project. Dit project definieert een applicatiecentrisch policymodel voor OpenDaylight dat informatie over de connectiviteitseisen van een applicatie scheidt van de informatie over de onderliggende details van de netwerkinfrastructuur. Een Group Based Policy-model biedt een aantal voordelen, waaronder de mogelijkheid om policy’s uit te drukken in een ‘declaratief model’ door policy’s te creëren die een weerspiegeling zijn van de semantiek van de applicatie. Ook biedt het een verbeterde automatisering. Door het groeperen van policy’s wordt het eenvoudiger om groepen van network endpoints te beheren in plaats van individuele endpoints of MAC- of IP-adressen. Een wijziging zoals de toevoeging van een endpoint, is eenvoudig door te voeren door het nieuwe endpoint toe te voegen aan de groep. Op die manier ‘erft’ de endpoint automatisch de policy’s en richtlijnen en de contracten van de groep. Dit is in vergelijking met de traditionele methode een veel eenvoudigere werkwijze. Het model kan bovendien eenvoudig worden uitgebreid met policy’s voor bijvoorbeeld toegangscontrole of het omleiden van verkeer voor nadere inspectie.

Conclusie
Het Group Based Policy-model is een van de technologische componenten van SDN en OpenDayLight dat in de markt breed zal worden omarmd. Het stelt netwerkbeheerders in ieder geval in staat om een set flexibele policy’s te definiëren die met behulp van SDN kan worden toegepast binnen multi-vendor netwerkongevingen. Met OpenDayLight en het Group Based Policy-model krijgen bedrijven de beschikking over een policygedreven SDN-oplossing die is gebaseerd op open standaarden en de flexibiliteit biedt om zaken als security en Network Functions Virtualization (NFV) efficiënt uit te rollen in een gemengde omgeving. Op die manier wordt de security aangescherpt, worden bestaande investeringen beschermd en een vendor lock-in voorkomen.

OpenDayLight
Het in 2013 opgerichte OpenDaylight Project is een samenwerkingsverband dat als open-sourceproject wordt gehost door de Linux Foundation. Het doel van het project is om de acceptatie van Software-Defined Networking (SDN) te versnellen en een solide basis te creëren voor Network Functions Virtualization (NFV). Een nieuwe release van OpenDayLight – ‘Beryllium’ – staat voor februari 2016 op de planning. De software is geschreven in Java.