SDN, использующие управляющий протокол OpenFlow, обладают рядом свойств, которые хорошо подходят для построения безопасной и управляемой вычислительной среды:
- Парадигма потока данных более удобна для обеспечения безопасности, поскольку она предлагает сквозную (end-to-end) модель связей, ориентированную на сервисы, не связанную с традиционными ограничениями маршрутизации.
- Логически централизованное управление позволяет во всей сети осуществлять эффективную защиту и мониторинг появления угроз.
- Гранулированное управление политикой безопасности может основываться на решаемых задачах, используемых сервисах, организационных и географических критериях, а не на физической конфигурации.
- Переход к управлению через программирование позволяет осуществлять динамичную и гибкую настройку политики безопасности.
В рамках этого направления ведутся следующие работы:
- Разработка системы контроля доступа приложений к ресурсам контроллера
Для того, чтобы реализовывать свою логику, SDN приложения получают доступ к разного рода операциям над сетевыми ресурсами и ресурсами контроллера, в том числе и критическим. Как и любое программное обеспечение, SDN приложения могут содержать ошибки и уязвимости, которые могут привести к незапланированному поведению приложения. Поэтому для удовлетворения требований информационной безопасности SDN контроллеры должны обеспечивать политики доступа к интерфейсам управления сетевыми устройствами и ресурсами контроллера. - Анализ защищенности протоколов SDN
Протоколы SDN обеспечивают прямой доступ и возможность манипуляции плоскостью передачи данных всех сетевых устройств. Эксплуатация возможных уязвимостей в этих протоколах может привести не только к захвату некоторых устройств, но и к компрометации всей сети. Следовательно, во избежание негативных последствий компьютерных атак, необходимо производить анализ защищенности протоколов SDN. - Разработка систем обнаружения вторжений
Переход на идеологию SDN позволяет перенести в управляющий контур SDN целый ряд функций, выполняемых в настоящее время отдельными специализированными устройствами. Причем использование таких решений может быть более эффективным и иметь ряд преимуществ как технических, так и экономических. Одним из видов таких функций могут быть функции системы обнаружения вторжений. - Обнаружение скомпрометированных коммутаторов в SDN
Как и в любом программном или аппаратном обеспечении, в SDN коммутаторах могут находиться некоторые ошибки, ведущие к уязвимостям, эксплуатация которых может привести к захвату (компрометации) SDN коммутатора злоумышленником. Несмотря на то, что функции управления сетью вынесены на контроллер, захват злоумышленником некоторого коммутатора может привести к нарушению работоспособности сети или нарушению безопасности передаваемых по сети данных. Поэтому необходимы методы, которые позволят выявлять скомпрометированные коммутаторы. - Исследование применимости технологии программно-конфигурируемых сетей для построения системы управления и мониторинга сообщений информационной безопасности в сетях передачи данных.
Публикации:
Задача обнаружения скомпрометированных коммутаторов в SDN сетях
Исследование методов проведения атаки Man-in-the-Middle в программно-конфигурируемых сетях
Обеспечение контроля доступа приложений к ресурсам контроллера программно конфигурируемых сетей
Безопасная автоматическая реконфигурация облачных вычислительных сред
«Общие критерии» и безопасность программно-конфигурируемых сетей