SDN podem ser pesadelo de segurança

Centralizar o controlo da rede num só servidor pode criar um vulnerabilidade estratégica com resultados devastadores, defende um especialista da Check Point, Robert Hinden. A empresa apresentou um novo modelo de arquitectura de segurança.

Robert Hinden-especialista da Check Point (DR)Antes de as empresas adoptarem redes definidas por software, ou Software Defined Networks, devem ter em conta os riscos de segurança inerentes diz um especialista da Check Point, Robert  Hinden. Durante a RSA Conference, realizada na semana passada, este veterano do sector colocou uma questão: depois de implantar o controlo centralizado da rede num servidor, o que acontece se esse servidor é atacado? E se um hacker assumir o controlo de um controlador de SDN?

Teoricamente, o hacker poderia direccionar o tráfego à volta das firewalls, evitando-as, inserir malware na rede, e executar ataques de intercepção ou  “man-in -the-middle”. Pode também enviar tráfego para nós comprometidos da rede.

Além disso, o que acontece quando as interrupções ou erros ocorrem na rede? Hoje não é claro como é que o controlador SDN lidaa com interrupções de rede capazes de exigir o redireccionamento de tráfego, diz Hinden.

Além das preocupações com a segurança, Hinden questionou o grau de qualidade com o qual as SDN poderão ganhar escala. Destaca por isso que o encaminhamento e comutação tradicionais é baseado no destino.

Os dispositivos físicos de lêem os cabeçalhos dos pacotes e usam tabelas de routing para enviá-los a determinado ponto. Mas as SDN são baseadas em fluxos, o que é bom, pois permitem aos gestores de rede para criarem políticas mais refinadas.

Por outro lado , todas as entradas de fluxo devem ser enviadas para todos os dispositivos na rede. Hinden teme que isso poderá ser demasiado complexo para gerir.

No entanto, Hinden aponta vários pontos positivos na segurança das  SDN. O controlador pode, por exemplo, disseminar as políticas de segurança para todos os routers e switches na rede, criando uma política uniforme de segurança SDN para todo o tráfego.

Além disso, se houver um dispositivo anfitrião comprometido, por exemplo, o controlador pode também facilmente isolar esse anfitrkião a partir do resto da rede, diz. Embora estejamos numa fase muito inicial  no ciclo de adopção das SDN, Hinden recomenda que as equipas de redes e segurança trabalhem em conjunto, por num mundo SDN ,” toda a equipa de redes será responsável pela segurança”.

SDP pode melhorar desenho da rede

Recentemente, a Check Point anunciou a sua nova arquitectura de segurança denominada Software-Defined Protection (SDP) e composta por três planos, de aplicações, de gestão e de controlo. Esta abordagem separa o plano de controlo, do plano das aplicações, o que resulta em pontos de aplicação mais  robustos e altamente fiáveis, defende o fabricante.

Outra das vantagens é permitem actualizações de protecção em tempo real desde o plano de controlo. “A SDP converte a inteligência acerca das ameaças numa protecção imediata, administrada por uma estrutura aberta e modular”, explica um comunicado.

“Ao oferecer uma arquitectura de segurança que opera em função das necessidades e ameaças, o modelo de arquitectura SDP da Check Point pode conseguir proporcionar um melhor redesenho da rede de segurança da empresa com o objectivo de adaptá-la tanto aos cenários TI abertos de hoje em dia, como ao dinâmico panorama das ameaças”, afirma Charles Kolodgy, vice-presidente de investigação da equipa de Produtos de Segurança da IDC.




Deixe um comentário

O seu email não será publicado