Software-defined: kans of uitdaging voor security?

CheeseWorks-0019

Software krijgt een steeds dominantere positie in alle onderdelen van de IT-infrastructuur. Er gaat dan ook geen dag voorbij in de IT-wereld of software-defined staat op de agenda. Daar is een goede reden voor. Op software gebaseerde systemen zorgen voor meer flexibiliteit, schaalbaarheid en een efficiëntere automatisering. Na het virtualiseren van servers en storage is nu het netwerk aan de beurt.

De trend ‘everything software-defined’ is nog relatief jong en op dit moment is er in de IT-branche nog onvoldoende inzicht in de consequenties van deze trend in de praktijk en wat dit betekent voor de informatiebeveiliging. Meningen en benaderingen omtrent de invulling van security verschillen. Sommigen zijn van mening dat security integraal onderdeel moet zijn van de onderliggende netwerklaag, anderen zien meer in het beveiligen van de servers waar applicaties en databases huizen.

Vraag is wat deze trend betekent voor de beveiliging. Twee zaken staan vast; een nieuwe manier van transport, zoals binnen software-defined omgevingen (programmeerbare infrastructuren) het geval is, vraagt om een andere toepassing van en kijk op informatiebeveiliging. Daarnaast is volwassenheid van IT en de alignment met de business door de komst van software-defined nog belangrijker. In de software-defined wereld staan namelijk de netwerkservices en de applicaties centraal.

Vandaag de dag bevindt het beveiligen van een traditionele infrastructuur zich in een volwassen fase.  Organisaties hebben te maken met een transparante topologie, kennen veelal hun risico’s en hebben het beleid daarop afgestemd. Binnen de huidige fysieke topologieën kunnen organisaties putten uit een scala aan puntoplossingen om in controle te blijven. Scheiding in de verschillende lagen, zoals access, transport en applicatie, zorgt ervoor dat men op verschillende manieren en op verschillende momenten kan anticiperen op interne en externe bedreigingen. Maar juist deze lagen, en de manier waarop de puntoplossingen werken, zorgen voor de complexiteit van de huidige netwerken vanwege een gebrek aan centrale intelligentie en orkestratie over de lagen en oplossingen heen.

Het goede nieuws is dat de basisprincipes van informatiebeveiliging nog steeds gelden. De drie pijlers van databeveiliging − vertrouwelijkheid, integriteit en beschikbaarheid − blijven ook relevant bij het beveiligen van een programmeerbare infrastructuur, zoals in software-defined omgevingen.

Ik opteer in eerste instantie voor beveiligingsmogelijkheden van beide werelden  binnen software-defined omgevingen. Dit omdat ‘green field’ SDN-implementaties eerder uitzondering zullen zijn dan regel. In hybride omgevingen is een combinatie van traditionele beveiliging en software-defined security de beste aanpak. Hierbij dwing je security policies op een dynamische en flexibele af vanaf een centraal punt. Hierbij kunnen organisaties ook nog profiteren van de meerwaarde van de programmeerbare infrastructuur: tools zijn op een optimale manier te programmeren, provisionen en automatiseren. Uitstekende mogelijkheden voor inspectie, threat/performance-analyses, isolatie, path management, auditing en forensics helpen organisaties daarnaast een nog efficiëntere, flexibele en veilige infrastructuur te realiseren.

Wanneer je overweegt een programmeerbare infrastructuur in te zetten, dien je als eerst je beveiligingsbeleid te toetsen en zo nodig af te stemmen op de nieuwe situatie. Processen, procedure en een security-organisatie die het beleid borgen en erop toezien, zijn hierbij uiteraard vanzelfsprekend. Vervolgens dient men de mogelijke risico’s en impact in kaart te brengen. Hiervoor zijn diverse assessments in de markt die kunnen helpen. Ten slotte dient er een uniforme SDN-policy tot stand te komen en een mapping plaats te vinden tussen die policy en de daadwerkelijke security policy. Een informatie-security-framework met een goede balans tussen snelle detectie- en preventiemaatregelen, zou het resultaat van deze exercitie moeten zijn. Houd er vooral rekening mee dat je als organisatie door consolidatie van netwerkfuncties en intelligentie in een SDN-omgeving extra kwetsbaar bent. Concentratie  op beveiliging van de toegang tot controllers en applicaties tegen ongeautoriseerd gebruik en tegen kwaadaardige code is dan ook vereist. Ook dient er een mechanisme gebouwd te worden om te kunnen monitoren wat er gebeurt en als er wat gebeurt je kunt optreden en dit in de toekomst kunt voorkomen.

Kortom, software-defined networking biedt zeker uitdagingen op het gebied van security en vereist een andere toepassing van en kijk op beveiliging. Maar er zijn des te meer kansen, omdat software-defined security helpt bij het creëren van een zeer flexibele en wendbare infrastructuur die daarmee ook zeer veilig is.

Mohamed Al Ayachi is Line of Business Manager Network Integration & Security bij Dimension Data in Nederland