Thought Leadership
Eine Vielzahl von miteinander verbundenen Geräten und das Cloud Computing haben traditionelle Netzwerke an ihre Grenzen gebracht. Das ist einer der Gründe für den aktuellen Übergangsprozess von traditionellen zu virtualisierten Netzwerkfunktionen und Controllern.
Telekommunikationsanbieter und Hoster nutzen zunehmend Technologien für Software Defined Networks (SDN) oder Network Functions Virtualisation (NFV). Ziel ist es, die Netzwerkleistung zu steigern sowie die Netze insgesamt elastischer und schneller zu machen. Und SDN hat tatsächlich das Potenzial Rechenzentren zu revolutionieren. Schlicht, weil sie flexibel genug sind, sich an die dynamische Natur aktueller Anwendungen und Arbeitserfordernisse anzupassen.
Beim Thema Sicherheit in der SDN-Welt allerdings fällt auf, dass zwar Dienste und Richtlinien verteilt sind, verwaltet wird das Ganze aber über einen zentralen SDN-Controller. Das ist Fluch und Segen zugleich. Wird solch ein zentraler Controller kompromittiert, hat das sehr schnell Einfluss auf das gesamte Netzwerk. Für einen Angreifer ist es zudem möglich auf diesem Weg die Kontrolle über das komplette Netzwerk zu erlangen. Was konkret DDoS-Angriffe anbelangt wird der SDN-Controller schnell selbst Teil des Problems. Denn er stoppt legitimen Traffic und dieser kann seinen Zustellungsort nicht erreichen.
Was sind virtualisierte Netzwerke und warum Unternehmen sich dafür entscheiden
Software Defined Networking ist ein Ansatz, der es Administratoren gestattet dynamische Netzwerke leichter und in kürzerer Zeit aufzubauen. Dabei helfen offene Schnittstellen und die Abstraktion von Funktionalitäten auf niedrigerem Level. Dazu trennt SDN die Intelligenz, die darüber entscheidet wo die Informationen hingeschickt werden sollen (die Steuerungsebene oder Control Plane wie etwa Ciscos IOS Betriebssystem) von der Hardware, die Daten tatsächlich weitertransportiert (die eigentliche Weiterleitungsebene, auch als Forwarding Plane bezeichnet).
Die Trennung der beiden Ebenen verlegt den Entscheidungsprozess in einen zentralen Software-basierten Controller, so dass nicht mehr jeder einzelne Knoten innerhalb des Netzwerks seine eigenen Entscheidungen trifft. Sämtliche Anwendungen richten ihre Anfragen an diesen Controller. Er hat Einsicht in das gesamte Netzwerk und übernimmt alle Entscheidungen auf der Weiterleitungsebene und für jeden Knoten. Das bedeutet aber gleichzeitig, dass sich die IT-Sicherheit darüber Gedanken machen muss wie sie diese empfindliche Steuerungsebene schützen kann. Sie ist als Single Point of Failure besonders anfällig und schon eine einzige Schwachstelle kann dazu führen, dass ein ganzes Netzwerk offen steht wie das sprichwörtliche Scheunentor.
SDN haben etliche Vorteile. Beispielsweise ist es möglich Sicherheitsrichtlinien über Netzwerkzugriffskontrollen sehr viel feinschichtiger abzustufen als dies in traditionellen Netzwerken der Fall ist. Trotzdem kommen bei SDNs neue Herausforderungen dazu, die so bei der Konfiguration traditioneller Netzwerkarchitekturen nicht auftreten.
SDN: In Sachen Sicherheit ein zweischneidiges Schwert?
In Sachen Sicherheit erlaubt SDN schlussendlich abgestufte Sicherheitsrichtlinien für maximale Sicherheit in virtualisierten Umgebungen. Und das automatisch auch dann, wenn sich die Arbeitslast innerhalb der Infrastruktur hin und her bewegt. Das Risiko dabei: Der SDN-Controller wird zu einem Single Point of Failure, über den potenziell ein ganzes Netzwerk kompromittiert werden kann. Unabhängig ob das Motiv darin besteht, die betreffenden Daten zu stehlen oder mithilfe einer DDoS-Attacke den Ausfall des Netzwerks zu provozieren.
Vergleicht man SDNs mit einer Wasserleitung, dann hat ein einzelnes Leck signifikanten Einfluss auf den Wasserdruck innerhalb des Gesamtsystems – und damit auf eventuelle Schäden im gesamten Gebäude. Wenn man sich die riesigen mit SDN-Bereitstellungen assoziierten Bandbreiten vor Augen hält, vergrößert sich damit ganz natürlich die Angriffsfläche. Selbst Multi-Gigabit-Angriffe mit einem vergleichsweise niedrigen Bandbreitenvolumen (aber handwerklich klug ausgearbeitet) können ein Rechenzentrum quasi stilllegen. Etwa indem man mittels einer DDoS-Attacke die Steuerungsebene mit einer hohen Dichte an Sessions überflutet. Letztlich reicht schon eine einzige niedrig-volumige Attacke um ernsthaften Schaden anzurichten bis hin zum vollständigen Ausfall der Online-Präsenz für einen bestimmten Zeitraum.
Best Practices
Will man eine belastbare und sichere Umgebung mit SDN und NFV schaffen, kommt man um einen automatisierten Schutz vor DDoS-Angriffen an der Netzwerkgrenze des Rechenzentrums nicht herum. Traditionelle Lösungen reichen in aller Regel nicht aus. Sie liefern nicht die nötige Transparenz und bieten keine Optionen an, um in Echtzeit auf eventuelle Vorfälle zu reagieren. Indem man die Schnittstellen zwischen SDN-Controller und DDoS-Abwehr miteinander verbindet, verhindert man, dass der Controller kompromittiert wird. Gleichzeitig lassen sich DDoS-Angriffe abwehren, wenn sie auftauchen. Im Falle einer Überflutung mit schädlichem Traffic signalisiert die DDoS-Abwehr das unmittelbar und der Angriff wird eingedämmt beziehungsweise nur der bereinigte Datenstrom weiter geleitet.
Fazit
Alles in allem bieten beide, SDN und NFV, große Vorteile, was kritische Netzwerkfunktionalitäten anbelangt. Unternehmen profitieren von diesen Vorteilen und können auf spezielle physische Appliances verzichten. Konkret helfen SDN und NFV die Kosten zu senken und die Komplexität von Netzwerkinfrastrukturen zu senken. Gleichzeitig sind die betreffenden Umgebungen leichter zu skalieren, elastischer und die Bereitstellung etwa von Software nimmt weniger Zeit in Anspruch. Ungeachtet dieser Vorteile ist es Netzwerkinfrastrukturen dieser Art inhärent, dass sie anfällig für Angriffe sind und entsprechende Schwachstellen aufweisen. Wollen Firmen von den unbestreitbaren Vorteilen profitieren, sollte die Umgebung vollständig transparent sein, um auftauchende Risiken erkennen und darauf reagieren zu können. Ein tauglicher Ansatz sollte bei der Integration der DDoS-Abwehr direkt ins Herz des SDN-Controllers beginnen und die Schnittstellen innerhalb des Systems miteinander verbinden. Es empfiehlt sich in jedem Fall die Zuleitungen in einer virtualisierten Umgebung sehr genau zu beobachten, um die Sicherheit von Prozessen und Daten dauerhaft zu gewährleisten.
Autor: Sean Newman, Director of Product Management bei Corero Network Security
