理論的には、Software-Defined Networkingテクノロジーはより安全なネットワークにつながるはずです。なぜなら、ネットワークをプログラマブル・スタックに仮想化することで、ネットワークはより柔軟になり、オペレーションはより自動化され、「ファットフィンガー」による災害は減少するはずだからです。
しかし、相互接続されたシステムでは、基本的な操作をソフトウェアに割り当てる際に、新たなリスクも発生します。サーバをネットワーク化するとき、あるものが攻撃されることを知っていれば、このリスクを最小化するためにあらゆる努力が払われます。しかし、ネットワーク自体が攻撃された場合はどうなるのでしょうか?包括的で効果的な SDN セキュリティとはどのようなものでしょうか?SDN の脆弱性を避けるには?
SDN は Stuxnet の夢の揺りかご?
SDN はネットワークプログラマビリティの新しい頭字語になりました。それが標準ベースのソリューションであろうと単一ベンダーのプロプライエタリなテクノロジーであろうと、それらは全て同じジレンマを提示します。その「ソリューション」は、範囲がはるかに広くなり、上級管理者の手に余るほどの権限と能力を持つようになります。また、ウェブログの現状を支配することになるでしょう。
しかし、事態はそれほど悪くはありません。しかし、組織は SDN セキュリティがいくつかの意味合い、あるいはもっと悪いことにゼロデイ脆弱性の悪用をもたらすことを考慮する必要があります。Stuxnet が作成するのが非常に困難だった理由の一つは、様々なプロトコルとアプリケーションプログラミングインタフェースを使用する複数のバージョンの産業用コントローラとオペレーティングシステムを扱い、克服する必要があった多種多様な課題でした。しかし、SDN 環境では事情が異なります。
SDN は新たなサイバーセキュリティの問題をもたらします。
プログラマブルネットワークでは、ワームはもはや既存のネットワーククラックを悪用する必要はありません。Stuxnet とは異なり、SDN ワームは何百もの異なる攻撃ベクトルを管理する必要はありません。プロプライエタリなベンダーのデプロイメントであっても、SDN ワームは十分に文書化され、ナビゲートしやすい API を通してコントロールを提供することができます。
CLI や SNMP や他の "古い世界 "のインターフェースから離れるとき、SDN アーキテクチャを通してパフォーマンスモニタリングやセキュリティポリシースキャンシステムを接続するという更なる脅威があります。つまり、もし攻撃者が SDN コントロールレイヤーを侵害すれば、監視やセキュリティシステムからその痕跡を隠すことができるようになります。テクノロジーが成熟し、ますます自動化に依存するようになるにつれて、特に中小企業に関しては、システムで発生する管理者設定の同じような変化も予想されます。結局のところ、小規模で経験の浅いチームは、グリーンスクリーンの管理者に代わってセキュリティの問題を発見できる可能性は低いのです。
SDN セキュリティの悪夢を回避する方法
SDN の未来は明るく、SDN が NSA へのバックドアにつながるという結論に飛びつくべきではありません。しかし、それらはサーバのような他のプログラマブルなプラットフォームで得た豊富な経験を活用することで解決できます。ベンダと話をするにしても、独自の SDN ソリューションを構築しようとするにしても、セキュアな SDN をデプロイする際に以下のことを考慮するようにしてください:
セキュリティに関する文書の割合は?セキュリティはオプションですか、それともソリューションアーキテクチャの一部ですか?
このソリューションは、ファイアウォールの内側にセキュリティを提供する必要がないことを前提としていますか?インターネットに面したシステムには魔法のようなセキュリティ保護はないと思い込んでいる製品が多すぎます。
連携 SDN のような複合ソリューションの場合、連携ネットワークはコントローラ間で割り当てられた信頼関係をどのように管理しますか?マルチレイヤアロケーションの変更範囲を制限するために分界点をどこに配置しますか?
ソリューションはどのように分散ポリシーを管理しますか?すべての制御対象デバイスは、任意に長いコマンドラインからの変更要求を信頼しますか?継承、エミュレーション、または要求者の役割を認識していますか?
どうやって信頼したり検証したりするのですか?そのソリューションには少なくとも、そのコントロール下にない SDN コントローラを監視する石器時代の技術が少しは含まれていますか?
どんな新しい技術でもそうですが、ネットワーク・プログラマビリティにも初期にはいくつかの問題があります。しかし、それ以上に目を向け、疑問を投げかけ、研究室の顕微鏡の下に置くことは良いことだと思います。
