Hoe veilig is een programmeerbare infrastructuur?

Veel mensen zien software-defined networking als een van de grootste veranderingen in IT sinds de verschuiving van mainframes naar desktops. Overigens zijn het niet alleen LANs’, WAN’s en datacenternetwerken die de gevolgen ondervinden van deze verschuiving. Software krijgt steeds meer dominantie in alle onderdelen van de IT-infrastructuur en daar is een goede reden voor. Op software gebaseerde systemen beloven meer flexibiliteit, schaalbaarheid en automatisering. Het ideaalbeeld voor dergelijke systemen zou zijn dat de volledige IT-omgeving direct op afstand te programmeren is. Daarmee is beter in te spelen op de dynamiek, waarmee organisaties tegenwoordig te maken hebben. Maar hoe veilig is zo’n programmeerbare infrastructuur eigenlijk? 

Stephen Mills, Global Security Consulting Product Manager en Gary Middleton, Business Development Manager for Networking bij Dimension Data vinden dat de sector verzuimt kritische vragen te stellen over beveiliging. Hoe kwetsbaar is een programmeerbare infrastructuur? En als de risico’s groter zijn dan bij een hardware-georiënteerde omgeving, hoe kan software-defined beveiliging dan bijdragen aan het verlagen van risico’s?

Opkomst 

Middleton wijst erop dat de programmeerbare infrastructuur weliswaar nog in de kinderschoenen staat, maar dat het niet lang meer zal duren voordat het een realiteit is in de ICT-sector. “We zien al orkestratie- en automatiseringstechnologieën in het datacenter en software-defined LAN’s en WAN’s die voor betere ondersteuning zorgen van applicaties en technologieën. Er wordt in de branche ook al gesproken over programmeerbare mobiliteitsoplossingen en beveiligingsinfrastructuren.”

De route richting programmeerbaarheid wordt vooral gedreven door de open source-beweging – zoals Open Stack – en de orkestratietools die steeds meer worden ingezet. Middleton noemt ook de opkomst van de DevOps-benadering. “In essentie maakt die het mogelijk om de infrastructuur voor een bepaald zakelijk doel te programmeren terwijl de infrastructuur draait. Hetzelfde team is verantwoordelijk voor de ontwikkeling én de bedrijfsvoering. Vandaar de term ‘development operations’. Facebook, bijvoorbeeld, voert wel dertig infrastructuurupdates per dag uit met gebruik van DevOps-technologie. Dat is een tempo dat in een hardware-omgeving ongehoord is. Wij zijn al begonnen met de evolutie naar een flexibeler manier van het runnen van ICT-infrastructuren. Dat is mogelijk door software. Er blijft altijd behoefte aan hardware, maar we gaan ervan uit dat de hardware-laag langzamerhand steeds dunner zal worden op alle infrastructuuronderdelen.”

Beveiliging en risicos 

“Het is waar dat de programmeerbare infrastructuur nog in zijn kinderschoenen staat”, zegt Mills. “Dat zorgt voor meer risico’s omdat de branche nog geen inzicht heeft in de volle breedte van bedreigingen. Veel technologie die we tot nu toe hebben gezien, is niet ontwikkeld en geïnstalleerd met het oog op beveiliging. Sterker nog: de software-defined infrastructuur als brede beweging heeft zich vanaf de start niet bekommerd om beveiliging. De beveiligingsindustrie loopt nu achter en moet opgeleid worden. We moeten weten wat de bedreigingen en risico’s zijn en wat ze voor iedere organisatie specifiek betekenen.”

“In de traditionele beveiligingswereld gebruikten we hardware in de vorm van netwerkpoorten om de luiken te sluiten”, zegt Mills. “Wanneer je poorten dicht zijn, is de infrastructuur beschermd tegen bedreigingen. Vergelijk het met een slotbrug van een kasteel. Dat is nu anders. De applicatielaag domineert de infrastructuur. Die moet daarom open zijn, omdat anders de business schade lijdt. Dit is een probleem voor de beveiliging, omdat de omgeving ook openstaat voor ongeautoriseerde toegang.”

“In de afgelopen zes tot zeven jaar is de manier waarop we applicatiebeveiliging evalueerden veranderd”, stelt Mills. “Nog niet zo lang geleden was dit voor ons een compleet nieuw terrein. Nu is het onderdeel van ons DNA. Wij moeten nu ook kennis hebben van de applicatielaag, omdat de programmeerbare infrastructuur zich daar bevindt.”

Het beveiligen

Middleton en Mills zijn het erover eens dat de basisprincipes van beveiliging ook bij de inzet van nieuwe technologie gelden, of het nu gaat om mobility, de cloud of software defined netwerken. Middleton: “De programmeerbare infrastructuur is weliswaar een belangrijke technologische trend met een belangrijke impact. Niettemin moeten organisaties continu blijven letten op de beveiligingsaspecten.” Mills voegt daar aan toe: “Dit onderstreept nog eens het belang van een consistente benadering voor een architectuurraamwerk voor beveiliging. Uiteraard zul je op detailniveau verschillen en variaties zien, zoals de tooling die je gebruikt. Maar in de breedte zijn de benadering en de processen gelijk.”

“Bij informatiebeveiliging gaat het om de data”, benadrukt Middleton. “En de drie pijlers van databeveiliging zijn: vertrouwelijkheid, integriteit en beschikbaarheid. Deze drie zijn ook relevant bij het beveiligen van een programmeerbare infrastructuur. Beleid is de eerste stap. Wanneer je overweegt een programmeerbare infrastructuur in te zetten, moet je je beveiligingsbeleid updaten. Daarna is het zaak om de juiste beveiligingsmiddelen te kiezen voor het beschermen van de infrastructuur. In een software-defined omgeving zijn deze middelen software georiënteerd. Dat betekent dat de aanvalsmogelijkheden toenemen. Software-gebaseerde systemen zijn immers op afstand te configureren. Je moet dus meer beveiliging implementeren rond de toegang tot software om bijvoorbeeld het toevoegen van niet-geautoriseerde of kwaadaardige code te voorkomen.

“De sector moet op dit moment nog bepalen hoe dat het beste kan. De focus heeft tot nu toe vooral gelegen op het gebruik van software-defined netwerken om data sneller heen en weer te verplaatsen. Er is nog niet veel aandacht besteed aan de veiligheid. Dat betekent dat het aanvalsvlak groter is geworden”, stelt Middleton.

Hoe kan SDN helpen? 

Volgens Middleton biedt de programmeerbare infrastructuur interessante mogelijkheden voor beveiliging. “De beveiligingstechnologieën zelf worden ook zo ontwikkeld dat ze programmeerbaar zijn. We zien nu al firewall- en intrusion detection-oplossingen in de vorm van software. Daarmee kun je tools op een optimale manier programmeren, inrichten, installeren en automatiseren. Bedenk dat de virtual machine binnen heel korte tijd de belangrijkste bouwsteen van moderne computing-omgevingen is geworden. Er is op dit moment nog geen eenvoudige manier om een virtual machine te beveiligen. Je kunt het hele netwerk beveiligen of segmenten van het datacenter, maar het is erg moeilijk om een fijnmazig beveiligingsniveau te bieden voor de virtual machine. Wanneer beveiligingstechnologie is opgenomen in de software kun je per virtual machine een beveiligingspolicy toepassen waardoor deze direct beschermd wordt door een firewall en tegen intrusie. Dan kun je de beveiligingsinstellingen ook meeverhuizen met de virtual machine, of deze nu in of uit het datacenter gaat of naar de cloud.”

Mills zegt dat er al verschillende beveiligingsleveranciers zijn die deze aanpak kiezen. “Dat is bemoedigend omdat het beveiligen van zo’n snel bewegende dynamische omgeving in het verleden moeilijk is gebleken. Software defined security helpt bij het creëren van een zeer flexibele en wendbare infrastructuur die ook zeer veilig is. Een ander voordeel van software-gebaseerde beveiliging is de mogelijkheid om ‘on demand’ en op basis van een policy zeer gevoelige datastromen dynamisch te beveiligen. Denk aan credit card-gegevens of gevoelige persoonsgegevens”, aldus Middleton. “Je kunt dan verschillende encryptiemogelijkheden toepassen om een deel van het verkeer te beschermen, terwijl je het andere deel in ‘clear text’ laat stromen. Je zou dat deel van data zelfs over een aparte netwerklink kunnen laten lopen. Op deze manier is het netwerkverkeer te controleren en pas je policy’s effectiever en efficiënter toe.”

Hans Vandam is journalist