Identifique cuáles son los peligros de seguridad que hay en el SDN

Redaccion

Mientras que una red definida por software puede mejorar el rendimiento de las aplicaciones y ayudar a las tareas de administración, también puede crear nuevas vulnerabilidades

CIO

 

Las redes definidas por un software pueden ser de gran ayuda para las organizaciones inteligentes porque ofrecen oportunidades para reducir los costos administrativos al tiempo que aumentan la agilidad de la red. Pero la tecnología SDN también puede crear riesgos de seguridad, y la forma de gestionar estos riesgos puede significar la diferencia entre una implementación exitosa y una desastrosa.

 

Con el modelo de arquitectura SDN, el control de una red se desacopla de la infraestructura física, que permite a los administradores gestionar los servicios de red a través de diferentes tipos de equipos de múltiples proveedores. Las organizaciones pueden desacoplar el sistema que toma las decisiones acerca de dónde va el tráfico (plano de control) de los sistemas que reenvían el tráfico a destinos seleccionados (plano de datos).

 

SDN puede entregar aprovisionamiento automatizado, virtualización de redes y capacidad de programación de la red de centros de datos y redes empresariales. El aumento de la flexibilidad de la red puede ayudar a las organizaciones a medida que avanzan más en áreas como la computación en nube, la tecnología móvil y el Internet de las cosas.

 

“SDN es la nueva arquitectura para la nueva era de la informática y procesamiento (fuera del establecimiento)”, dijo Daniel Mikulsky, instructor de recuperación de desastres de TI en el Instituto Internacional para la Recuperación de Desastres, que ofrece certificaciones profesionales y programas de educación. “Con el aumento de servicios en la nube, los datos grandes y el consumo de TI a través de la computación móvil y el Internet de las cosas, la flexibilidad y la adaptabilidad de la red deben coincidir con otras innovaciones en la tecnología”.

Se espera que la demanda de la tecnología se eleve: IDC estima que el mercado mundial SDN llegará a US$8 mil millones en el 2018. Ese pronóstico incluye infraestructura de red física que ya está en uso, el controlador y el software de red de virtualización, servicios de red y de seguridad SDN y aplicaciones relacionadas, y SDN relacionada con los servicios profesionales.

Le recomendamos: Cinco aspectos de seguridad que rodean a la nube

Y a medida que crece la demanda de SDN, también lo hacen los temores de seguridad.

“Uno de los mayores problemas de seguridad es que sigue siendo una tecnología relativamente inmadura, por lo que no saben a ciencia cierta si son posibles tipos de exposiciones”, mencionó Frank Cervone, director de TI de la Escuela de Salud Pública de la Universidad de Illinois en Chicago.

Sin embargo, aunque todavía hay mucho que aprender sobre SDN, los expertos en seguridad que han comenzado a explorar los peligros ocultos de la tecnología dicen que hay maneras de proteger sus sistemas.

Una estrategia equilibrada: La productividad, el ahorro de costos, y la infraestructura de la oficina

Los CIO inteligentes saben que conservar el capital de explotación para financiar iniciativas de crecimiento estratégico tiene sentido. Sin embargo, encontrar maneras de conservar el capital ISN siempre es evidente. 

Una tecnología en capas

En la capa de plano de datos, muchos de los protocolos son todavía nuevos “por lo que no sabemos cuán robustos son en realidad”, señala Cervone. “Algunos de los protocolos no requieren autenticación o cifrado, por lo que es posible que un componente mal configurado en la red podría convertirse en un vector de ataque, lo que sin darse cuenta que el tráfico sea desviado o inspeccionado”.

La capa de plano de datos, al igual que con SDN en general, también puede ser vulnerable a la falta de cobertura en una catástrofe natural o de origen humano. “Teniendo en cuenta que la mayoría de los grandes desastres son regionales, lo que provocará la interrupción física de la infraestructura de red, SDN tendrá que ser configurado para satisfacer la capacidad normal”, mencionó Mikulsky. 

Sin embargo debido a que la recuperación de desastres es cada vez más dependiente de la red, “no podemos estar seguros de que la red reconfigurada puede hacer frente a las demandas adicionales sobre la capacidad”, afirmó.

Las empresas tienen que pedir a sus proveedores de la red si tienen planes de contingencia para añadir capacidad en el caso de un desastre. La virtualización es una forma de reorientar los recursos, afirmó Mikulsky, pero la capacidad física tiene que estar disponible y accesible.

También en el plano de datos, algunas tecnologías de acceso a los centros de datos más viejos se despliegan, incluyendo túneles, redes de área local virtuales extensibles y una variedad de protocolos de puentes, dijo Chris Krueger, director de la nube y la virtualización en Coalfire, un proveedor de servicios de gestión de riesgos y cumplimiento. 

“Los hackers de estas corrientes pueden obtener una perspectiva de la implementación de la red, como resultado de que sus cargas útiles están sin cifrar y, a menudo, mal segmentada o asegurados”, dijo Krueger. “Al monitorear y luego forjar el tráfico del enlace de interconexión del centro de datos, una variedad de eventos perturbadores e intrusivos puede ser perpetrados”. 

La orientación del plano de control

Los riesgos de seguridad se magnifican en el plano de control, ya que “se convierte en un punto único de fallo en un entorno SDN y depende en gran medida de la automatización”, dijo Stan Mesceda, gerente de productos de cifrado de alta velocidad de Gemalto, un proveedor de tecnología de seguridad.

“Si se compromete el controlador, existe el riesgo de denegación de servicio, el tráfico y mal dirigida exposición de los datos en reposo o en tránsito“, dijo Mesceda. “Además, los errores humanos dentro de un controlador de motor de orquestación o SDN pueden tener un efecto dominó en toda la red”.

Los controladores SDN probablemente demostrarán ser blancos de alto valor aunque, de nuevo, es demasiado pronto para saber qué tipo de empresas podrían sufrir ataques, dijo Brad Hibbert, director de tecnología de la empresa de seguridad de red de BeyondTrust.

También: Costa Rica seguirá los pasos de Corea en ciberseguridad

La mayoría de las vulnerabilidades que están apalancadas en la naturaleza tienen parches, pero los parches no se han desplegado debido a las limitaciones de recursos, la falta de proceso y así sucesivamente”, mencionó Hibbert. “Cuando se habla de equipos de red e hipervisores, que si se ve comprometida, puede tener un impacto devastador en la postura de riesgo de una organización, estos son elementos que deben ser de alta prioridad y se incluyen en su gestión de vulnerabilidades en curso y los programas de aplicación de parches”.

Otra importante vulnerabilidad sigue siendo el acceso excesivo y la falta de supervisión administrativa de los equipos de red e hipervisores, tanto en las instalaciones como en la nube.

“A medida que propios y extraños, a través de una cuenta comprometida, tienen acceso directo a gestionar este tipo de componentes de red y centros de datos, que pueden no sólo afectar a la disponibilidad, sino también los canales, se abren para permitir el malware e información a deslizarse a través y infiltrarse fuera de la organización”, dijo Hibbert.

Con una red típica, el estado de privilegio mínimo es importante, añade Cunningham. “Sin embargo, con un sistema de SDN, si a cualquier usuario se le concede derechos a algo que debería no tener acceso -a toda la red y, literalmente, todos los activos-  la configuración y la base de datos están en peligro”.

Sólo se necesita una pequeña configuración incorrecta y un usuario malicioso. O una máquina infectada podría acceder y controlar o modificar artículos bien fuera del alcance de sus usos previstos, señaló Cunningham.

“Malware que puede detectar si se trata de un host virtual y tratar de ‘saltar’ al servidor de control real o entidad es también una preocupación”, dijo. “Eso podría ser un escenario de apocalipsis, como el malware podría teóricamente tener el mando y control de todo lo que se ejecuta en la SDN y todo el entorno virtual”.

Uno de los beneficios de la SDN es su capacidad para responder de forma adaptativa a un ataque distribuido de denegación de servicio, dijo Cervone. “El software puede simplemente ajustar la estructura de la red para eludir el ataque en vez de tratar de bloquear el ataque, que es una mejora significativa sobre las estrategias del pasado”, mencionó.

Pero la pila de software SDN en sí también podría ser atacado, señaló Cervone. “Si alguien fuera a desarrollar un mecanismo que podría inundar la pila de modo que fue a toda marcha tratando de reconfigurar la red, pensando que un tipo diferente de ataque estaba pasando, que sin duda podría hacer la rutina de red a un alto”. 

El bloqueo de los entornos SDN

He aquí un vistazo a algunas de las recomendaciones específicas para los expertos en seguridad que deben  usar las empresas que desarrollar en tecnologías SDN.

Sea proactivo acerca de la seguridad SDN. Como SDN se vuelve más común, los vectores de ataque probablemente aumentarán. Las organizaciones necesitan estar preparadas para las vulnerabilidades y tomar medidas para mitigarlos.

Usted debe tener un plan de seguridad predefinida lista cuando comience el diseño de una red, dijo Krueger. Incluir mandatos arquitectónicos, y dispositivo de seguridad, directrices para la aplicación de dispositivos que han sido seleccionados por el jefe de seguridad de la información de su empresa y están en consonancia con las políticas y directivas.

Este artículo está clasificado como: , , , , , , , , , , , , ,

Comentarios

Para poder comentar debe iniciar su sesión:

INGRESAR