Identificación de los peligros de seguridad en SDN

Redaccion

Mientras que una red definida por software puede mejorar el rendimiento de las aplicaciones y ayudar a las tareas, también es cierto que se pueden crear nuevas vulnerabilidades

InfoWorld

Las redes definidas por software pueden ser de gran ayuda a las organizaciones inteligentes, ya que ofrecen oportunidades para reducir los costos administrativos al tiempo que aumentan la agilidad de la red. Pero la tecnología SDN también puede crear riesgos de seguridad, y la forma de gestionar estos riesgos puede significar la diferencia entre una implementación exitosa y una desastrosa.

Con el modelo de arquitectura SDN, el control de una red se desacopla de la infraestructura física, que permite a los administradores gestionar los servicios de red a través de diferentes tipos de equipos de múltiples proveedores. Las organizaciones pueden desacoplar el sistema que toma las decisiones acerca de dónde va el tráfico (plano de control) de los sistemas que reenvían el tráfico a destinos seleccionados (plano de datos).

SDN puede entregar aprovisionamiento automatizado, virtualización de redes y capacidad de programación de la red de centros de datos y redes empresariales. El aumento de la flexibilidad de la red puede ayudar a las organizaciones a medida que avanzan más en áreas como la computación en nube, la tecnología móvil y la Internet de las cosas.

SDN es la nueva arquitectura para la nueva era de la informática y procesamiento (fuera del establecimiento),” aseguró Daniel Mikulsky instructor de recuperación de desastres de TI en la recuperación de desastres del Instituto Internacional que ofrece certificaciones profesionales y programas de educación. “Con el aumento de servicios en la nube, los datos grandes y el consumo de TI a través de la computación móvil y la Internet de las cosas, la flexibilidad y la adaptabilidad de la red deben coincidir con otras innovaciones en la tecnología“.

Lo que se espera que la demanda de la tecnología para elevarse: IDC estima que el mercado mundial SDN llegará a US$8 mil millones en el 2018. Ese pronóstico incluye infraestructura de red física que ya está en uso, el controlador y el software de red de virtualización, servicios de red y de seguridad SDN y aplicaciones relacionadas, y SDN relacionada con los servicios profesionales.

Y a medida que crece la demanda de SDN, también lo hacen los temores de seguridad.

“Uno de los mayores problemas de seguridad es que esto sigue siendo una tecnología relativamente inmadura, por lo que no saben a ciencia cierta lo que son los posibles tipos de exposiciones”, mencionó Frank Cervone director de TI de la Escuela de Salud Pública de la Universidad de Illinois en Chicago.

Sin embargo, aunque todavía hay mucho que aprender sobre SDN, los expertos en seguridad que han comenzado a explorar los peligros ocultos de la tecnología dicen que hay maneras de proteger sus sistemas.

Le recomendamos: Cinco amenazas a las que toda empresa debería prestar atención

Una tecnología en capas

Si bien la tecnología es relativamente nueva, las vulnerabilidades específicas ya se han identificado dentro de la arquitectura SDN, sobre todo el plano de datos y las capas de controlador.

En la capa de plano de datos, muchos de los protocolos son todavía nuevos, “por lo que no sabemos cuán robustos son en realidad”, comentó Cervone. “Algunos de los protocolos no requieren autenticación o cifrado, por lo que es posible que un componente mal configurado en la red podría convertirse en un vector de ataque, lo que sin darse cuenta que el tráfico sea desviado o inspeccionado”.

La capa de plano de datos, al igual que con SDN en general, también puede ser vulnerable a la falta de cobertura en una catástrofe natural o de origen humano. “Teniendo en cuenta que la mayoría de los grandes desastres son regionales, lo que provocará la interrupción física de la infraestructura de red, SDN tendrá que ser configurado para satisfacer la capacidad normal”, según Mikulsky.

Sin embargo, debido a la recuperación de desastres es cada vez más dependiente de la red, “no podemos estar seguros de que la red reconfigurada puede hacer frente a las demandas adicionales sobre la capacidad”, mencionó.

Las empresas tienen que pedirle a sus proveedores de red que tengan planes de contingencia para añadir capacidad en el caso de un desastre. La virtualización es una forma de reorientar los recursos según Mikulsky, pero la capacidad física tiene queestar disponible y accesible.

También en el plano de datos, algunas tecnologías de acceso a los centros de datos más viejos se despliegan, incluyendo túneles, redes de área local virtuales extensibles y una variedad de protocolos de puente, dijo Chris Krueger director de la nube y la virtualización en Coal Fired, proveedor de servicios de gestión de riesgos y cumplimiento.

La orientación del plano de control

Los riesgos de seguridad se magnifican en el plano de control ya que “se convierte en un punto único de fallo en un entorno SDN y depende en gran medida de la automatización”, mencionó Stan Mesceda, gerente de productos de cifrado de alta velocidad de Gemalto, proveedor de tecnología de seguridad.

“Si se compromete el controlador existe el riesgo de denegación de servicio, el tráfico y mal dirección (exposición) de los datos en reposo o en tránsito”, citó Mesceda. “Además, los errores humanos dentro de un controlador de motor de orquestación o SDN pueden tener un efecto dominó en toda la red”.

Los controladores SDN probablemente demostrarán ser blancos de alto valor aunque, de nuevo, es demasiado pronto para saber qué tipo de empresas podrían sufrir ataques, comentó Brad Hibbert, director de tecnología de la empresa de seguridad de red de BeyondTrust.

Lea también: Evite caer en una falsa percepción de seguridad

“La mayoría de las vulnerabilidades que están apalancados en la naturaleza tienen parches, pero los parches no se han desplegado debido a las limitaciones de recursos, la falta de proceso y así sucesivamente”, mencionó Hibbert. “Cuando se habla de equipos de red e hipervisores, si se ve comprometida, puede tener un impacto devastador en la postura de riesgo de una organización, estos son elementos que deben ser de alta prioridad y se incluyen en su gestión de vulnerabilidades en curso y los programas de aplicación de parches”.

Otra importante vulnerabilidad sigue siendo el acceso excesivo y la falta de supervisión administrativa de los equipos de red e hipervisores, tanto en las instalaciones como en la nube.

“A medida que propios y extraños, a través de una cuenta comprometida, tienen acceso directo a gestionar este tipo de componentes de red y centros de datos, pueden no sólo afectar la disponibilidad, sino también los canales se abren para permitir el malware e información a deslizarse fuera a través de la organización”, aseguró Hibbert.

Con una red típica, el estado de privilegio mínimo es importante, añadió Cunningham, “Sin embargo, con un sistema de SDN, si cualquier usuario se le concede derechos a algo que deberían no tener acceso a toda la red, literalmente, todos los activos, artículo, la configuración y la base de datos estarán en peligro”.

Sólo se necesita una pequeña configuración incorrecta y un usuario malicioso. O una máquina infectada podría acceder y controlar o modificar artículos bien fuera del alcance de sus usos previstos, aseguró Cunningham.

“Malware puede detectar si se trata de un host virtual y trata de ‘salto’ al servidor de control real o entidad es también una preocupación”, dijo. “Eso podría ser un escenario de apocalipsis, como el malware podría teóricamente tener el mando y control de todo lo que se ejecuta en la SDN y todo el entorno virtual”.

Uno de los beneficios de la SDN es su capacidad para responder de forma adaptativa a un ataque distribuido de denegación de servicio, mencionó Cervone. “El software puede simplemente ajustar la estructura de la redpara eludir el ataque en vez de tratar de bloquear el ataque, que es una mejora significativa sobre las estrategias del pasado”, señaló.

Pero la pila de software SDN en sí también podría ser atacado, dijo Cervone. “Si alguien fuera a desarrollar un mecanismo que podría inundar la pila de modo que fue a toda marcha tratando de reconfigurar la red, pensando que un tipo diferente de ataque estaba pasando sin duda podría hacer la rutina de red a un alto”.

El bloqueo de los entornos SDN

He aquí algunas de las recomendaciones específicas para los expertos en seguridad que tienen las empresas y planean desplegar tecnologías SDN.

Sea proactivo acerca de la seguridad SDN. Como SDN se vuelve más común, los vectores de ataque probablemente aumentarán. Las organizaciones necesitan estar preparadas para las vulnerabilidades y tomar medidas para mitigarlas.

Usted debe tener un plan de seguridad predefinido listo cuando comience el diseño de una red, dijo Krueger. Incluir mandatos arquitectónicos, dispositivo de seguridad, directrices para la aplicación de dispositivos que han sido seleccionados por el jefe de seguridad de la información de su empresa y estar en armonía con las políticas.

“El uso de SDN se difundirá en un futuro próximo, y en virtud de los proveedores de nube se convertirán en la infraestructura actual con más cargas de trabajo y críticas para el negocio, este tema tendrá una mayor atención, el interés y la exposición en los próximos años”, dijo Krueger. “Hacer la seguridad en un diseño antes de construirlo. Romper el ciclo de la adición de la seguridad en el último momento, eso ha sido el modelo hasta ahora”.

Implementar una prácticas de seguridad estándar para mantener SDN seguros, Mikulsky añade. “Estos implican la aplicación de políticas rígidas y el control, supervisión, aplicación de parches y mantenimiento programado, así como la implementación de algoritmos de defensa de objetivo móvil”, mencionó.

Sin embargo, con la seguridad SDN, debe adoptar ejercicios y pruebas de escenarios que asumen que un ataque ha tenido éxito. Los procedimientos deben incluir la detección de la anomalía, aislando el problema desde el resto de la red, y luego la aplicación de auto curación automatizado dentro de la red.

Le recomendamos: ¿Quiere saber lo que hay en la mente de un hacker?

La vigilancia práctica con acceso a la red y la autenticación de usuario. “La cuestión más abierta con NEE es muy cuidadosa, gestionar la configuración y asegurar que sólo aquellos usuarios que necesitan acceder a determinados elementos o áreas de la red se les proporcione el acceso”, señaló Cunningham.

Cierren los permisos y vuelva a comprobar periódicamente que están configurados correctamente”, aconsejó Cunningham.

En cuanto a la autenticidad, asegúrese de que los usuarios son quienes dicen que son, pero también se autentican aplicaciones y virtualización de la función de red, dijo Mesceda. “A medida que nuevos circuitos o aplicaciones se hacen girar hacia arriba, asegúrese de que la arquitectura y las aplicaciones que montan en él son seguras y funcionando como se desea”.

Mantener la visibilidad de todas las capas. “Las mejores prácticas aplicadas a SDN deben seguir los relacionados con la seguridad en la nube informática y la infraestructura de la red“, comentó Chris Richter, vicepresidente senior de servicios de seguridad gestionados en el Nivel 3 Communications, operador global red de comunicaciones.

“El enfoque de Level 3 para hacer frente a estos problemas es un modelo basado en la red de múltiples niveles”, mencionó Richter.

Tener visibilidad de las capas individuales, cómo interactúan entre sí y qué sistemas tienen acceso a estas capas “es clave para detectar actividades anormales”, explicó. “Usted no puede defenderse contra algo que no se puede ver. Una vez que se puede ver lo que está pasando, se puede determinar la contramedida apropiada”.

Además, es imprescindible contar con una definición clara de quién administra la política para cada capa. “Un motor de organización fuerte puede ser diseñado para equilibrar las necesidades empresariales y de seguridad, pero las políticas de seguridad, que debe describir las funciones de seguridad se pueden automatizar”, dijo Mesceda.

Tome nota de los cambios a medida que se mueve a SDN. Cunningham aconseja establecer una línea de base del sistema firme y detallado como la migración a un entorno SDN se lleva a cabo. “Sin un buen conocimiento de lo que se está moviendo, ¿cómo se puede saber lo que podría ser cambiado?”, se preguntó Cunningham.

Mantener las imágenes de intervalos regulares y las instantáneas de todo, y estar preparado para destruir cualquier cosa que esté actuando de manera anormal. “Una manzana podrida echa a perder el cubo con NEE”, dijo Cunningham. “Asegúrese de que, incluso los elementos aparentemente benignos, tales como enrutadores virtuales y bases de datos, sólo estamos hablando de lo que necesitan para hablar de operaciones. No debe haber agujeros o puertos abiertos que no sean necesarios”.

Además: Cinco aspectos de seguridad que rodean a la nube

Tome ventaja de, inteligencia de amenazas

La seguridad inteligencia de amenazas puede ayudar a los gerentes de TI alerta sobre nuevas amenazas para entornos SDN. Este tipo de información está disponible a través de un gran y creciente número de fuentes que pueden estar incluidos con herramientas de seguridad o que están disponibles a través de servicios independientes.

Estos recursos pueden ayudar a mantener de forma proactiva las amenazas más recientes, sobre todo los más propenso a golpear a su empresa o industria.

“Utilizamos nuestra amplia vista del panorama de amenazas para establecer una línea de base para el tráfico normal”, mencionó Richter. “El área es incipiente pero en rápido desarrollo de la inteligencia de amenazas es clave para navegar el paisaje cibernético escalada que nos enfrentamos”.

Mantenga su programa de seguridad de la red hasta la fecha. La seguridad no es estática, y con NEE no habrá cambios en curso en las amenazas y vulnerabilidades y en las herramientas que utiliza para mantener los sistemas seguros.

“La seguridad es un negocio en marcha; no establecer y olvidarse de él”, dijo Mesceda. Por desgracia, no todo el mundo presta atención a ese consejo. “A menudo, los parches críticos no se implementan, los sistemas no son reevaluados con la suficiente frecuencia. Y la arquitectura puede convertirse rápidamente vulnerable sin un enfoque dedicado a la seguridad”, mencionó. “Muchas empresas utilizan un enfoque de ejecución por fases, pero fallan al volver a lanzamientos anteriores para asegurar que el sistema todavía se adhiere a las mejores prácticas de seguridad“.

Este artículo está clasificado como: , , , , , , , , , , , , ,

Comentarios

Para poder comentar debe iniciar su sesión:

INGRESAR