Software-Defined Networking
Mit SDN mehr Sicherheit im Netz
Bei Software-Defined Networking (SDN) geht es darum, den traditionellen Netzwerk-Stack Control- und Data-Plane zu separieren, klassische Netzwerkfunktionen wie Routing, Load-Balancing etc. zu virtualisieren (Network Function Virtualization, NFV) und Network Virtualization Overlays (NVO) bereitzustellen. Zudem gilt es, diese Bereiche mittels zentraler Orchestrierung anhand standardisierter Schnittstellen zu verwalten. Dies soll das Netzwerk agiler, flexibler, besser nutzbar und nicht zuletzt sicherer machen.Die Möglichkeit, das Netzwerk von zentraler Stelle, herstellerübergreifend und mit einer standardisierten Softwareschnittstelle wie zum Beispiel RESTful API (Representational State Transfer Application Programming Interface) konfigurieren zu können, steht bereits seit einigen Jahren bei den Administratoren und Netzwerkverantwortlichen auf der Wunschliste. Denn vielerorts bekommt nach wie vor jeder einzelne Campus-Switch per Telnet oder SSH die Konfigurationsänderungen wie Anpassung von VLANs und ACLs im Tippakkord beigebracht. Hier verspricht SDN eine deutliche Vereinfachung durch zentralisierte Administration und Automatisierung. Gerade wenn im Hinblick auf Compliance- oder Sicherheitsanforderungen Veränderungen zeitnah durchzuführen sind, ist das zentrale Management ein wichtiges Instrument. Der Einzug von NFV ist die logische Folge der längst stattfindenden Virtualisierung von Servern. Über die letzten Jahre wurde die x86-Hardware immer leistungsstärker, sodass mittlerweile Routing-Protokolle wie BGP und VPN-Dienste wie IPSec und SSL auf einer Standard-Server-Hardware oder als virtuelle Appliance auf einem Hypervisor laufen können. Durch die Funktionsvirtualisierung sorgen virtuelle Router, Firewalls, VPN-Gateways und Lastverteiler für eine enorme Flexibilität. Wo in der Vergangenheit der Administrator pro Mandant eine eigene Router-, Firewall-, VPN- und Load-Balancer-Hardware in das RZ geschraubt hat, genügt heute der Klick zum Aufsetzen von Router, Firewall und VPN-Templates in der virtuellen Umgebung, um genau das gleiche Ziel zu erreichen. Allerdings erfolgt dieser Rollout nun wesentlich zeitnaher, flexibler und kostengünstiger: Ist die virtuelle Instanz nicht mehr erforderlich, kann der Administrator sie mit wenigen Klicks wieder löschen. Durch diese Neuerung haben sich bei den Anbietern von Infrastructure as a Service (IaaS) oder Cloud Hosting bereits neue Geschäftsfelder im Sinne von Firewall as a Service (FWaaS) und Load Balancing as a Service (LBaaS) ergeben. Die virtuell zur Verfügung gestellten Service-Instanzen werden in der Regel nach einem Pay-per-Use-Ansatz abgerechnet und bringen somit auch eine äußerst flexible Art der Finanzierung mit sich. Aber auch der Datensicherheitsaspekt steht bei SDN in der Betrachtung ganz weit oben. So denkt man zum einen daran, welche neuen Sicherheitslücken sich durch die neue Technik ergeben könnten. Es entsteht ein völlig normaler und wichtiger Zyklus, den auch andere verbreitete Techniken wie WLAN oder IPv6 durchlaufen haben. Insbesondere aber für Datensicherheitslösungen ergeben sich durch SDN neue und interessante Möglichkeiten zur Integration und Interaktion. Dabei geht es vor allem darum, sowohl die Dynamik als auch die Effizienz im Netzwerk zu steigern. Denn die sonst recht starren und zum Großteil auf einzelne Übergabepunkte beschränkten und ausgelegten Lösungen - wie Firewalls, Intrusion-Prevention/Detection-Systeme, Content- und Malware-Filter etc. - kann der Administrator dynamisch und ohne physische Veränderung in den Datenfluss einbinden. Security-Lösungen lassen sich durch verschiedene Verfahren in die SDN-Architektur integrieren. So kann man Overlay-Protokolle wie VXLAN (Virtual Extensible LAN) und NVGRE (Network Virtualization for Generic Routing Encapsulation) nutzen. Alternativ kann man Netzwerkdatenverkehr über das Protokoll Openflow selektiv an Intrusion-Detection-Systeme sowie Content- und Malware-Filter weiterleiten. Verzahnte Netzwerkschichten Entscheidend für eine erfolgreiche Integration der Netzwerk-Sicherheitsfunktionalität ist die Verzahnung zwischen Overlay- und Underlay-Netzwerk. Dabei geht es in erster Linie um die Frage, wie eng die Hardwareschicht (Switches/Router) mit der softwarebasierten Schicht zusammenarbeitet. Für einen erfolgreichen Start in das SDN-Zeitalter sollte eine IT-Organisation bei bevorstehender Neuanschaffung von Netzwerkausrüstung zwingend darauf achten, dass die neuen Router, Switches und Ethernet-Fabric-Lösungen alle Anforderungen und Standards wie zum Beispiel VXLAN, Openflow und eine RESTful API unterstützen. Die Standardisierung dieser Protokolle vermeidet Sackgassen, die durch proprietäre Tunneling-Protokolle entstehen. Wie SDN das Zusammenspiel zwischen Netzwerk und Security-Lösungen dynamischer und effizienter gestaltet, zeigt das folgende Beispiel der Erkennung und Abschwächung von DDoS-Angriffen (Distributed Denial of Service): In einem herkömmlichen Netzwerk- und Security-Design dient eine Inline-Appliance zur DDoS-Abwehr als Bindeglied zwischen dem ungeschützten Internet und dem per Firewall geschützten externen Unternehmensbereich (DMZ), in dem die E-Mail-, Web- und E-Commerce-Server laufen. Bei einem DDoS-Angriff gegen die Server in der DMZ des Unternehmens sorgt die Appliance für die Abschwächung des bösartigen Netzverkehrs, der die Server überlasten und damit ihren Betrieb stören würde. Die Abschwächung des Angriffs erfolgt in einer Form, dass sich die Dienstverfügbarkeit in der DMZ per QoS-Management (Quality of Service) und Bandbreitenlimitierung gewährleisten lässt. Die teuren Inline-Appliances müssen genau an das Anwendungsszenario und Einsatzgebiet angepasst sein. Hierzu gehört die realistische Einschätzung der Leistungsparameter wie des maximal zu erwartenden Datenverkehrs und der Sessions sowie die Funktionalität für die Ausfallssicherheit wie zum Beispiel NIC Failure Bypass. Dabei handelt es sich um eine Konfiguration der Netzwerkkarte, die bei Ausfall der Appliance den gesamten Netzwerkverkehr durchlässt. Das Praxisbeispiel DDoS Detection and Mitigation mittels SDN nutzt verteilte Funktionen und Ressourcen der Netzwerkinfrastruktur. In der Routing- und Switching-Infrastruktur werden per Sflow-Funktionalität Daten des DDoS-Angriffs aufgezeichnet und zur Analyse an einen Sflow Collector weitergeleitet. Dieser stellt in seiner Analyse einen unerwartet langen Datenverkehr (Large Flows) fest, den er in Folge als Anomalie wertet. Der Sflow Collector gibt diese Erkenntnis via API an eine SDN-fähige lokale DDoS-Abwehr-Appliance oder -Applikation weiter. Allerdings wäre hier auch die Einbeziehung eines externen auf DDoS spezialisierten Cloud-Providers möglich und könnte die Leistungsfähigkeit hinsichtlich Aktualität (Zero-Day-Angriffe) verbessern. Als dritte Interaktion gibt die DDoS-Abwehrlösung wiederum per Standard-API dem SDN Controller die Anweisung, für den Angriffsdatenverkehr ein Rate Limiting oder eine niedrig priorisiertes QoS Marking durchzuführen, das der SDN Controller an die verarbeitende Netzwerkinfrastruktur verteilt und konfiguriert. Hierbei wäre es für die Security-Lösungen schädlich, den Einblick in die Kommunikation zu verlieren. Gerade wenn es darum geht, per Overlay-Netzwerkprotokoll Datenpakete von A nach B und weiter nach C zu tunneln, kann sich eine Firewall beispielsweise mit VXLAN-Unterstützung hier gut integrieren und auch diese Transportebene absichern, sei es als Hardware oder als virtuelle Appliance. Orchestrierung für mehr Sicherheit Auch der Bereich Orchestrierung kann seinen Beitrag im Bereich Security leisten. Man sollte ihn definitiv genauer betrachten. Arbeitet die IT-Organisation bereits nach den PDCA-Prozessen (Plan-Do-Control-Act) Prozessen gemäß ITIL (IT Infrastructure Library) oder sind regulatorische Anforderungen für SOX, PCI-DSS etc. zu erfüllen, bietet die Orchestrierung eine Integration in bestehende Prozesse. Die SDN-Integration kann per Standard-API in den Bereichen Change-Management und CMDB (Configuration Management Database) stattfinden. Zudem bieten die Hersteller von ITIL-konformen Management-Tools bereits die Anbindung per RESTful API wie auch die Integration in Orchestrierungsplattformen wie Openstack an. Die Netzwerkkonfiguration innerhalb von Openstack erfolgt über das Neutron- (vormals Quantum-) und etwaige herstellerspezifische Plug-ins. Weitere Openstack-Plug-ins, darunter FWaaS oder LBaaS, befinden sich derzeit in der Entwicklung und werden hier noch weitere Möglichkeiten zur Verfügung stellen. Für die Zukunft bietet SDN zahlreiche neue Designelemente, um die Netzwerk- und vor allem auch Security-Architektur von morgen zu gestalten, zu erweitern und zu verbessern. Unabhängig davon, welcher SDN-Umfang in einer neuen Netzwerkarchitektur zum Einsatz kommt, sollte eine IT-Organisation immer darauf achten, dass sich durch den Einsatz die Dienstqualität und das Kosten/Nutzen-Verhältnis verbessert.
Lesen Sie mehr zum Thema
