چالش‌های امنیتی SDN و فضای ابری

SDN چیست و چرا دید ترافیکی برای امنیت مهم است؟
شبکه‌های نرم‌افزاری SDN برای تبدیلِ شبکه‌های مدرن و مراکز داده‌ ارائه شده‌اند تا آن‌ها را به چارچوب‌های سریع‌الانتقال تبدیل ‌کنند، چارچوب‌هایی که به سرعت می‌توانند برای نیازهای در حال تغییر کسب و کارهای امروزی پیکربندی شوند. در حالی‌که نسخه‌های ابتدایی SDN چندان عمومی نیستند، اما عملاً تمام سازما‌ن‌ها در حال برنامه‌ریزی برای حرکت به سمت این پروژه‌ی نهایی هستند، پروژه‌ای که وعده می‌دهد قادر است عمل‌کرد و بازده مجازی‌سازی کارگزارها و محاسبات ابری را تا میزان بی‌سابقه‌ای از طریق تأمین تقاضای هر سرویس شبکه، به وسیله‌ی فراهم کردن باند اختصاصی برای آن گسترش دهد.
با این حال بسیاری از سازما‌ن‌ها دریافته‌اند که رفته‌رفته حجم وسیعی از بارگذاری‌های مربوط به تلفن همراه و نرم‌افزارها و خدماتی که به صورت خودکار پیکربندی شده‌اند، قابلیت دیده شدن را در شبکه از دست می‌دهند و در پی آن هر دو قابلیت بهینه‌سازی عمل‌کرد و امنیت را از دست خواهند داد. در حالی‌که اقدامات احتیاطی در برخی از زمینه‌ها نظیر رایانش ابری لازم است اما مهاجرت به SDN اجتناب‌ناپذیر است، زیرا مزایای کلی آن جهت بهره‌وری بسیار زیاد است. برای اجرای هموارترین راه و روش مهاجرت، و اطمینان از عدم کاهش امنیت، مهم است که برخی از گام‌های اساسی برداشته شود و مرکزی برای دید کلی و مداوم به ترافیک شبکه‌ی مرکزی ایجاد شود.

SDN چیست؟
معماری SDN کنترل را (برای مثال در لایه‌ی مدیریتی) از داده (برای مثال در لایه‌ی پیش‌رونده) جدا می‌کند. نتیجه‌ی این معماری یک سطح دارای قابلیت برنامه‌ریزی و مقیاس‌پذیری سطح بالاست که چارچوب کنترل می‌تواند شبکه را به عنوان یک واحد منطقی مجزا مشاهده کرده و به سرویس‌دهی در آن بپردازد. در این نوع معماری، هماهنگ‌سازی و ارائه‌ی خدمات به سرویس‌گیرندگان برای مدیریت و پیکربندی‌های دلخواه، به طور مداوم و خودکار آسان‌تر است. به این شکل سطح کاملاً جدیدی از نظر مقیاس و سرعت و همچنین انتخاب یک زیرساخت سخت‌افزاری زیرین آشکار می‌شود. فراتر از صرفه‌جویی‌های قابل توجهی که در هزینه‌های سرمایه و هزینه‌های جاری صورت می‌گیرد، معماری SDN نوآوری و ظرفیت تغییراتی را به نفع افراد با حداقل اختلال به همراه خواهد آورد.

امنیت ابری و امنیت SDN با یک‌دیگر چه تفاوت‌هایی دارند؟
نگرانی در مورد امنیت ابری و SDN را می‌توان با هم یکپارچه دانست زیرا کارگزارها و مجازی‌سازی فضای ذخیره‌سازی، کلید زیربنایی چارچوب محاسبات ابری هستند، و برخی از مفاهیم آن‌ها با شبکه‌های تعریف‌شده‌ی نرم‌افزاری مشترک هستند. واقعیت این است که چالش‌های امنیتی فضای ابری منحصربه‌فرد است که آن را از SDN متمایز می‌کند، و یک بحث کوتاه از نگرانی‌های موجود در این رابطه ارزش بررسی دارد.

نگرانی‌های امنیت ابری
اول از همه این است که به یاد داشته باشید که فضاهای ابری اغلب در هسته‌ی خود به مجازی‌سازی، محاسبه و ذخیره‌سازی می‌پردازند. حجم کاری مجازی‌سازی شده و یا ماشین‌های مجازی جایگزین کارگزارهای فیزیکی در این طرح می‌شوند و با یک کلیک ماوس می‌توانند به ارائه‌ی خدمات بپردازند. VMWare’s ESX، Citrix XEN و Microsoft’s Hyper-V نمونه‌هایی از هایپروایزرها هستند که زیربنای مجازی‌سازی کارگزارها می‌باشند. چارچوب‌های محاسبات ابری سه پیکربندی مختلف را شامل خصوصی، عمومی و ترکیبی در خود یکپارچه کرده است.
فضاهای ابری خصوصی به استخدام کارگزار و مجازی‌سازی فضای ذخیره‌سازی به طور کامل در محدوده‌ی کنترل سازمان می‌پردازند. این بدان معناست که سازمان یا شرکت صاحب چارچوب ابری و مسئول امنیت آن است. نگرانی‌های امنیتی در اینجا از این جهت هستند که یک ماشین مجازی ممکن است به نرم‌افزارهای مخرب آلوده شده و هنگامی که به سمت سایر مراکز داده سوق داده می‌شود، سایر ماشین‌های مجازی را نیز که در میزبانی با آن یکسان هستند آلوده سازد. دستگاه‌های امنیتی سنتی نمی‌توانند این آلودگی را در حین گسترش آن از یک ماشین مجازی به ماشین مجازی دیگر ببینند. چراکه ترافیک تا حد زیادی در محدوده‌ی بخش‌های شبکه‌ی مجازی باقی می‌ماند. گزینه‌های امنیتی در این سناریو شامل اختصاص دستگاه‌های امنیتی جهت مشاهده‌ی شبکه‌ی زمینی برای ترافیک مجازی و به کار بردن کنترل‌های دسترسی مجازی‌سازی خاص با هدف‌های مشخص است.
فضاهای ابری عمومی توسط شرکت‌هایی ارائه می‌شوند که این چارچوب‌ها را برای به اشتراک‌گذاری میان همه ارائه می‌کنند.
نگرانی‌های امنیتی در اینجا در مورد انزوای کاربران سرویس‌گیرنده است. از آنجایی که ارائه‌کننده‌ی خدمات، به میزبانی حجم وسیعی از کاربران و شرکت‌ها می‌پردازد و داده‌های بسیاری از سازما‌ن‌ها را در اختیار دارد، هر اتصال ناخواسته‌ای از سوی یکی از کاربران به سمت دیگری یک حرکت خطرناک است. نظارت‌های امنیتی در اینجا بر دو موضوع تکیه دارند: کنترل دسترسی به حجم کاری که به وسیله‌ی ارائه‌دهنده میزبانی می‌شود و درخواست موافقت با سطوحی از خدمات که نیاز به ارائه‌ی امکاناتی جهت قابلیت مشاهده‌ی ترافیک دارد و کنترل‌هایی که بر روی منابع میزبانی شده انجام می‌شود.
فضاهای ابری ترکیبی شاید رایج‌ترین چارچوب‌های رایج باشند. بسیاری از سازما‌ن‌ها و شرکت‌ها برخی از وظایف سنگین کاری خود را در محل میزبانی کرده و در ماشین‌های مجازی پیاده‌سازی می‌کنند، علاوه بر این آن‌ها قسمتی از حجم کاری خود را در فضای ابری عمومی با دسترسی به منبع و نرم‌افزارهای آن‌ها میزبانی می‌کنند که موجب می‌شود آن‌ها را یک چارچوب ترکیبی خصوصی/عمومی بنامیم. نظام‌های امنیتی در اینجا عمل به توصیه‌های مطرح‌شده در بالاست اما علاوه بر این نظارت نزدیک‌تر به بازار موجب تکامل و سرعت عمل‌کرد بیشتری خواهد بود. در حال حاضر قابلیت مشاهده و چارچوب‌های کنترل امنیتی فضاهای ابری ترکیبی نیاز به چینش چندین فن‌آوری در کنار هم دارند. لازم است که اینجا برخی از بخش‌های مجزای مدیریت همچون روابط فروشندگان برای به کارگیری نیازهای بزرگ این بازار توسعه یابند. همچنین برخی از امکانات در فن‌آوری‌های پوششی وجود دارد که در بخش‌های مختلف می‌توانند مورد توجه قرار گیرند. سهام‌داران فضاهای ابری ترکیبی باید در برابر اخبار بازار هوشیار باشند، به خصوص در مورد مهاجرت به SDN.

نگرانی‌ها در مورد امنیت SDN
همان‌طور که در بالا توضیح داده شد،SDN فراتر از مجازی‌سازی تنهای یک کارگزار است و به سمت مجازی‌سازی هر جنبه‌ای از زیرساخت‌ها و مدیریت شبکه حرکت می‌کند. نگرانی‌های امنیتی در اینجا مربوط به ردپای حمله تا حد زیادی گسترش یافته است که هم سطح کنترلی و هم سطح داده‌ها را فرا می‌گیرد.
برای مثال اگر مهاجمان بتوانند سطح کنترلی یا هدایت‌کنندگان SDN را به دست گیرند، آن‌ها می‌توانند اساساً همه‌ی شبکه را با همه‌ی محتوای آن به شکلی نامحدود در اختیار گیرند. آلودگی در سطح داده‌ها میتواند به لحاظ نظری به سرعت گسترش یابد، زیرا یک SDN در شرایط استقرار از مجازی‌سازی یک کارگزار فراگیرتر خواهد بود. همچنین ممکن است مشکلات ارتباطی و اختلالاتی مابین سطح کنترل و سطح داده ایجاد شود که می‌تواند موجب ایجاد نقاط آسیب‌پذیری شود که به مهاجمان روش‌های جدیدی را برای نفوذ در محیط شبکه ارائه کند.
هنگامی که به امنیت SDN می‌رسیم، بیان جزییات معماری آن شاید هنوز در بخش‌های مختلف زود باشد، زیرا شیوه‌های فراوانی برای پیاده‌سازی یک SDN با امکانات مختلفی از سوی فروشندگان و سازما‌ن‌های متن‌باز وجود دارد. نکته‌ی کلیدی در اینجا این است که اطمینان حاصل شود که همه‌ی شبکه‌های شما که شامل شبکه‌های سنتی، مجازی و نرم‌افزاری می‌شوند، در دید شما قرار دارند. درک جریان ترافیک میان انواع این شبکه‌ها موجب کسب این اطمینان خواهد شد که نقاط کور اصلاح شده‌اند و تنگناها به شیوه‌ای سریع برطرف گردیده‌اند. این نوع از مشاهده باید در تمام شبکه و انواع مختلفی از فعالیت‌ها قرار داشته باشد تا دیدی فراگیر و مستمر را ارائه کند. این چیزی است که یک ساختار دید شبکه را ارائه می‌کند و درست به همین دلیل این یک راه حل نقطه‌ای نیست بلکه یک لایه‌ی معماری هم‌تراز مجازی‌سازی است.

نقش دید شبکه در SDN
دید شبکه یک عنصر بنیادی در شبکه‌های زمینی است و در معماری پویای شبکه‌های SDN این مسأله مهم‌تر نیز می‌شود. با این حال از دست دادن دید در شبکه نباید موجب آن شود که شرکت‌ها از پیشرفت به سمت SDN خودداری کنند. شرکت‌هایی که به ارائه‌ی ساختار دید نظارتی اقدام می‌کنند گام‌هایی برداشته‌اند تا به تعامل با انجمن‌های استاندارد و فروشندگان پیشرو معماری SDN دست یابند تا اطمینان حاصل کنند که عمل‌کرد نرم‌افزار و امنیت در مهاجرت به سمت SDN و پس از کامل شدن این مهاجرت حفظ خواهد شد.

شتاب در به کارگیری SDN با ایجاد ساختاری برای دید شبکه
یک ساختار دید در شبکه اساساً دید را در شبکه ممکن می‌کند، زیرا به عنوان یک لایه‌ی فراگیر عمل می‌کند که دیدن جریان ترافیک شبکه را در بخش‌های مختلف شبکه‌ی مجازی و فیزیکی ممکن می‌سازد. به ویژه که مشاهده‌ی شبکه، اطلاعات دقیقی از جریان ترافیک و بسته‌ها را در شبکه ارائه می‌کند که برای موارد زیر بسیار حیاتی است:
۱. نظارت بر وضعیت خود شبکه‌ی SDN
۲. نظارت بر برنامه‌هایی که این شبکه فعال می‌سازد
۳. تضمین حفظ امنیت در شبکه
اعم از این‌که انتخاب معماری SDN بر پایه‌ی پروتکل OpenFlow و یا مجازی‌سازی شبکه‌های انتزاعی نظیر VMWare’s NSX و Cisco’s ACI بوده و یا برخی دیگر از چارچوب‌ها باشد، نیازهای کلیدی مطرح شده در بالا باقی می‌مانند. لایه‌های کنترل و انتقال که اکنون در SDN به طور مجزا و مستقل مدیریت می‌شوند باید با هم‌دیگر عمل کنند. هماهنگی میان این لایه‌ها با توجه به تأخیر شبکه و یا ناسازگاری‌های فروشنده در زیرساخت‌های شبکه می‌تواند باعث ایجاد تنگناهایی شده و عملیات را مختل کند.
هنگامی که به خدمات و برنامه‌های SDN می‌رسیم، مزایای تأمین تقاضاها غیرقابل اجتناب هستند. اما این نوع از پیکربندی پویا می‌تواند منجر به الگوهای ترافیکی غیرقابل پیش‌بینی در شبکه شود که از طریق ابزارهای سنتی به سختی قابل عیب‌یابی هستند و باید با ابزارهای مدیریت عمل‌کرد در مکان‌های قابل پیش‌بینی شبکه مورد بررسی قرار گیرند. دید داشتن در چنین قلمروی در ترافیک شبکه SDN نیاز به ابزارهایی ثابت برای تمرکز داشته که بتوانند همه‌ی جریان و بسته‌های ترافیکی را دریافت کنند. برای چنین ساختاری منطق مشابهی برای امنیت نیز لازم است. در حالی‌که دستگاه‌های امنیتی می‌توانند در بخش‌های حیاتی شبکه‌های سنتی گنجانده شوند، در مورد ساختار SDN این کار غیرقابل دفاع است. قرارگیری متمرکز و دسترسی کامل به تمام ترافیک داخلی SDN به فن‌آوری‌های امنیتی و مدیریت عملکرد بهترین امکانات آماری را برای رویارویی با بدافزارهای موجود و الگوهای غیرعادی می‌دهد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.