Software-Defined Networking (SDN) scheint vielversprechende Lösungen für mehr Flexibilität und Agilität im Netz bereitzu-stellen. Doch es gilt, auch die mit einer Umstellung des Netzes verbundenen Risiken zu kennen, um eine sichere SDN-Umge-bung schaffen zu können.

Der Virtualisierung der IT-Infrastruktur wird zukünftig eine immer größere Bedeutung zukommen. Während ein Softwareprodukt durchschnittlich sechs Monate Entwicklungszeit benötigt, sind für ein vergleichbares, in Hardware umgesetztes Produkt oft mehrere Jahre erforderlich. Der Vorteil der kürzeren Entwicklungszeit beeinflusst Entscheidungsträger bei der Wahl der Mittel und wird so die Virtualisierung weiter vorantreiben. Nach der mittlerweile etablierten Server-, Desktop- und Storage-Virtualisierung wird nun wohl demnächst der Schritt hin zur Virtualisierung der Netzwerkinfrastruktur folgen.
Die Trennung von Daten- und Kontrollebene ermöglicht es, eine übergeordnete Instanz (den SDN-Controller) zu schaffen, der die Schalt- und Entscheidungsprozesse für alle sich im Netzwerk befindlichen aktiven Komponenten übernimmt. Die Trennung zwischen der Netzwerk- und der Applikationsebene wird mithilfe der sogenannten North- und Southbound-APIs erreicht. Die zukunftsträchtigen Vorteile der SDN-Architektur sind Agilität, Sicherheit, Stabilität und Skalierbarkeit. Wie bei jeder neuen Technologie gibt es allerdings nicht nur positive Aspekte, sondern auch Risiken und Gefahren, die Beachtung ?nden müssen.
Für den Schutzbedarf eines IT-Netzwerks sind bekanntlich die drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit genau zu beachten. Zusätzlich zu herkömmlichen Absicherungen wie Firewalls, Virenscanner usw. muss natürlich auch das SDN den Sicherheitsansprüchen eines Unternehmens genügen.
Der SDN-Controller stellt die zentrale Plattform für alle als Applikationen laufenden Netzwerkdienste dar. Nicht an eine bestimmte Form gebunden, kann ein SDN-Controller auf einem physischen Server, in einer VM (Virtual Machine) oder auf einem eigens zu diesem Zweck gebauten System laufen.
Schon hier ist darauf zu achten, dass auch das Host-System des Controllers eine zu schützende Instanz darstellt. Die Härtung des Systems und ein geregeltes Patch-Management sind dabei die unbedingt umzusetzenden Basismaßnahmen. Zur Schaffung von Redundanzen sollte man SDN-Controller immer parallel betreiben. Im sogenannten East-West-Betrieb wird so über einen Controller-Verbund Hochverfügbarkeit erreicht.
Aufgrund der immer noch geringen Erfahrung mit SDN sollten Anwender hier grundsätzlich mit Problemen rechnen und sich gegen auftretende Ausfälle zusätzlich absichern. Beim Betrieb von nur einem SDN-Controller existiert ein „Single Point of Failure“, der bei einem Controller-Ausfall das komplette Netzwerk lahmlegen könnte. Das Clustern mehrerer Controller erhöht wiederum die Komplexität der SDN-Programmierung, da der notwendige Austausch von Konfigurationsdaten unter den Controllern (Ost-West-Verbund) einer zusätzlichen Synchronisation bedarf. Die dadurch gesteigerte Systemkommunikation der redundanten Controller generiert einen beträchtlichen Overhead, der auch zusätzlichen Datenverkehr (Flows) erzeugt. Die übergeordnete Orchestrierung macht das Erstellen von netzwerkweit geltenden Regeln und Rollen nötig. Hierfür wird ein SDN-Controller zum Master erkoren, die übrigen laufen als Slaves. Im Fehlerfall des Masters übernimmt der rangniedere Slave-Controller die Funktion des Masters. Das Umschalten sollte hier möglichst schnell vonstatten gehen, um nicht bearbeitete Flows zu vermeiden.
Der SDN-Controller ist damit aus Sicherheitssicht der sensibelste Punkt in einem SDN-Konstrukt. Sollte dieser kompromittiert werden, ist die Integrität des kompletten Netzwerks in Gefahr. Über einen kompromittierten Controller kann ein Angreifer die sich im Netz be?ndlichen Router und Switches beliebig manipulieren. Um dies zu verhindern, muss eine IT-Organisation unbedingt die physische Sicherheit des Controllers gewährleisten. Ein SDN-Controller gehört immer hinter eine verschlossene Tür, zu der nur ausgewähltem Personal der Zugang möglich ist. Weiter ist für die Sicherheit beim Netzzugriff auf den Controller zu sorgen. Der Zugang muss mit starker Authentisierung versehen werden. Über Rollenkonzepte und ein umfassendes Logging sollte man jede Änderung der Kon?guration nachvollziehen und bei Problemen oder im Fehlerfall Ursachenforschung und Fehlerbehebung betreiben können.
Von Vorteil ist, dass ein Unternehmen zur Umsetzung eines SDNs in modernen Netzen die vorhandene herkömmliche Switching-Architektur nicht austauschen muss: SDN lässt sich als Overlay-Netzwerk auf der vorhandenen Hardware aufsetzen. So kann im bestehenden Netz auch eine hybride Architektur betrieben werden, die eine traditionelle und eine SDN-Architektur parallel bereitstellt. Das traditionelle Netz kann so beim Ausfall der SDN-Infrastruktur als Backup dienen und den Netzwerkbetrieb bis zu einem gewissen Grad aufrechterhalten.
Wichtig ist für den Overlay-Betrieb allerdings, dass sich der Betreiber bewusst ist, zum einen die primär betriebene Struktur des SDNs und zum anderen die darunter liegenden Backup-Systeme ständig auf einem aktuellen Patch-Level zu halten und die Geräte umfassend zu härten und abzusichern. Regelmäßige Überprüfungen der ordnungsgemäßen Konfigurationen und das Testen der Umschaltung in den traditionellen Netzwerkbetrieb sind hier genauso unerlässlich wie ein funktionierendes Change-Management.
 
SDN mit neuen Sicherheitsapplikationen
In einem traditionellen Netzwerk registriert ein angrenzender Server, Rechner oder Switch den Ausfall einer Netzwerkkomponente und leitet in der Regel Maßnahmen ein. In einem SDN ist man hier auf zusätzlich bereitgestellte Applikationen angewiesen, die ein komplettes Monitoring des Netzwerks vornehmen und damit beispielsweise den Ausfall eines SDN-Switchs anzeigen können.
An wichtigen Knotenpunkten im virtuellen wie auch im physischen Netzwerk sollten Sensoren des Intrusion-Detection- oder Intrusion-Prevention-Systems verteilt sein. So ist es automatisiert möglich, Angriffe auf das Netz zu erkennen und gegebenenfalls abzuwehren. Weiter lässt sich so die strikte Trennung der virtuellen LANs überwachen, um die Mandantenfähigkeit zu gewährleisten.
SDN gestaltet das Zusammenspiel zwischen Netzwerk und Sicherheitslösungen dynamischer und effzienter als bisher. So kann man zum Beispiel die Erkennung und Abschwächung von DDoS-Angriffen (Distributed Denial of Service) in einem SDN erheblich besser automatisieren als in traditionellen Netzwerken.
Bild 2 zeigt, welche Vorteile ein SDN gegenüber einem traditionellen Netzwerk bietet. Eine Sicherheitsapplikation des hier verwendeten Sflow-Protokolls sorgt dafür, dass man DDoS-Angriffe schnellstmöglich erkennen und abwehren kann. Identifizierte Pakete des Angreifers werden so umgehend geblockt. Je größer die Netzüberdeckung des SDNs ist, desto besser lassen sich solche Angriffe abwehren.
Das komplette Netz lässt sich mittels Monitoring-Applikationen visualisieren. So kann eine IT-Organsation zum Beispiel mit der Verwendung einer Ampeldarstellung schnell auf Ausfälle reagieren. SDN-Anwendungen können selbst komplexe Next-Generation-Firewall-Aufgaben übernehmen. Datenströme lassen sich automatisiert oder auf Knopfdruck umleiten. So kann die IT beispielsweise eine intelligente Netzwerksicherheit implementieren, die automatisch verdächtige Pakete einer Deep Packet Inspection unterzieht.
Eine Vielzahl von SDN-Funktionen wird sich in den nächsten Jahren als Sicherheitsapplikationen positionieren. Zu beachten ist dabei, dass es derzeit noch keine überprüfende Instanz für die erhältlichen Programme gibt. Betreiber sollten also strikt darauf achten, solche Applikationen nur von als vertrauenswürdig eingestuften Anbietern zu beziehen und einzusetzen.
 
Fazit
In Sachen Robustheit und Hochverfügbarkeit des Netzes ist im SDN-Umfeld noch erhebliche Entwicklungsarbeit zu leisten. Hier sind der sichere Betrieb von SDN-Controllern und die Minimierung des Overheads die wichtigsten Arbeitspunkte für kommende Lösungen. Vor der Umsetzung eines SDNs sollte immer die umfassende Konzeptionierung stehen. Um eine sichere SDN-Umgebung zu schaffen, ist es notwendig, dass die Betreiber zwingend mit dem IT-Sicherheitsverantwortlichen des Unternehmens zusammenarbeiten, um sicherheitsrelevante Punkte wie Patch- und Change-Management abzudecken. Die Pflege der Dokumentation ist gerade in einer agilen Netzwerkumgebung, wie man sie bei SDN antrifft, essentieller Bestandteil der Sicherheitsinfrastruktur.
Bei allem Komfort, den ein SDN zukünftig den Netzwerkadministratoren zu bieten vermag, darf man nicht außer Acht lassen, dass SDN nur ein Werkzeug darstellt, welches auch sicher gehandhabt sein will. Bestehende Sicherheitslösungen verschiedener Anbieter müssen miteinander harmonieren und verschachtelt laufen können, um mehrstufige Sicherheit zu schaffen. Letztlich werden die Robustheit und die Sicherheit der SDN-Lösungen darüber entscheiden, ob aus der jetzt vielversprechenden Zukunft einmal eine intensiv gelebte Gegenwart wird.

Bild 2. Abwehr eines DDoS-Angriffs in einem SDN. Bild: blog.sflow.com

Bild 1. Schnittstellen eines SDN-Controllers. Bild: GAI Netconsult