Suchen

SDN und NVO – warum wir Sicherheit neu erfinden müssen Software-Defined Networking verlangt nach neuen Security-Konzepten

| Autor / Redakteur: Rob McNutt / Dipl.-Ing. (FH) Andreas Donner

In Zeiten herkömmlicher Netzwerke war der Ansatz- bzw. Integrationspunkt von Security-Devices wie Firewalls & Co sowie von Monitoring-Systemen klar vorgegeben. Mit zunehmender (Netzwerk)Virtualisierung und SDN verschwimmt diese Klarheit mehr und mehr und neue Integrationskonzepte für die Themen Sicherheit und Monitoring müssen her.

Neue Netzwerkkonzepte wie SDN erfordern auch ein Umdenken im Bereich Security
Neue Netzwerkkonzepte wie SDN erfordern auch ein Umdenken im Bereich Security
(Bild: agsandrew - Fotolia.com)

Software-Defined Networking (SDN), Networking Virtualization Overlays (NVO) und OpenFlow sind die neuesten Schlagwörter, die in den Netzwerk-, Sicherheits- und Virtualisierungs-Communities umherschwirren. Diese „technologischen Theorien“ liegen den Kernstrategien vieler Switch- und Virtualisierungs-Anbietern zugrunde. Sie versuchen, einen speziellen Standard zu verfestigen, in der Hoffnung, auf den nächsten Technologiezug aufspringen zu können.

In der Theorie klingt die Idee gut, den Aufbau unserer bestehenden Switching-Infrastruktur zu verwischen und eine große, weltweit unterschiedliche und flexible Switching-Umwelt zu schaffen. Sie ermöglicht Wachstum, Hochgeschwindigkeits-Datenübertragung und die Fähigkeit der Anpassung an eine sich verändernde Landschaft. Unberührt davon bleibt die Art und Weise, wie Sicherheit in diesen Netzwerken umgesetzt und gewährleistet wird. Die meisten dieser neuen Technologien haben zwar eine Kernstrategie, die sie einzigartig macht, dennoch sind sie herkömmlichen Netzwerken ähnlich.

Verschmelzung zu einem Riesen-Switch

Die erste Strategie ist die Trennung der Steuerungs- und Datenebenen und die Definition einer Steuerung, die quer durch ein großes Netzwerk miteinander verbundener Hardware Entscheidungen diktiert und trifft. Die Datenebene dient hierbei als Transportmittel, um Daten durch das Netzwerk von Punkt A zu Punkt B zu bewegen, während die Steuerungsebene die Konfiguration aufrecht erhält und Routing- und Zugriffsentscheidungen fällt.

Der Unterschied besteht darin, dass die Daten- und Switchebenen in einem normalen Switch-Netzwerk zusammengelegt sind, während sie in einem Software-definierten Netzwerk voneinander getrennt sind und der Switching Fabric ermöglichen, sich über viele physische und virtuelle Switches auszudehnen. So entsteht im Grunde ein einziger, sehr großer Switch.

VxLAN – das Über-Netzwerk

Die zweite Strategie baut darauf auf, Traffic in eine Network Bubble – bisweilen VxLAN genannt – zu verkapseln. Dieses VxLAN ist im Wesentlichen ein großes Netzwerk, das sich über unzählige bestehende Netzwerke erstreckt, um einen End-to-End-Link zu schaffen, der extrem schnell und vertraulich sein und in einer multi-mandatenfähigen Umgebung bestehen kann.

Sie Sicherheitssysteme im Blick

Bei all diesen Änderungen wird deutlich, dass man bei der Veränderung des Aufbaus der Netzwerke gleichzeitig die Netzwerksicherheitssysteme anpassen muss: welche werden eingeführt, wie passen diese mit den virtuellen Netzwerken zusammen und wo werden sie untergebracht?

Das Gute ist dass, auch wenn die Layer-1- und Layer-2-Kommunikationsinfrastruktur entfernt wird, immer noch Layer 3 und 4 zur Verfügung stehen, welche die wichtigsten Bestandteile einer Inter-Netzwerk-Kommunikation sind. Layer 3 und 4 sind zudem auch die am besten dazu geeigneten Bereiche, um Sicherheitskonzepte unterzubringen. Obwohl das End-Medium den Weg, wie Maschine A Maschine Z erreicht, geändert hat, kommuniziert – und das ist das Entscheidende – Maschine A immer wieder noch über das Internet-Protokoll mit Maschine Z, indem sie von ihrer jeweiligen IP-Adresse Mitteilungen an die Empfänger IP-Adresse sendet.

Traffic-Monitoring

Die einzige problematische Frage lautet, wo Funktionen wie das Traffic Monitoring platziert werden sollen. Denn der Traffic kann sowohl durch einen bestimmten Pfad laufen, über viele Pfade fragmentiert werden oder in einem verkapselten, unverständlichen oder verschlüsselten Frame laufen. Worauf in puncto Sicherheit geachtet werden muss ist, diese Kontroll-Mechanismen in strategischen Netzwerk-Locations oder in den virtuellen Umgebungen selbst unterzubringen, um Einblick in nützliche Informationen zu erhalten.

Viele Sicherheitsanbieter rüsten ihre Firewall- und Sicherheitsprodukte um, um diese mit unterschiedlichen Teilen der Netzwerke verbinden zu können oder um diese als virtuelle Appliance in eine Virtualisierungskonzept einbinden und im Hypervisor bereitstellen zu können. Aber gleich, welche Technologien es am Ende sein wird, man kann sich sicher sein, dass bei den sich schnell und ständig verändernden, sehr verschiedenen Netzwerken, eine Sicherheitsstrategie eingeführt werden muss, die in der Lage ist, sich an neue Kommunikationswege anzupassen und Kontrollen effektiv durchzusetzen.

Über den Autor

Von Rob McNutt, System Engineer bei ForeScout.

(ID:40530700)