01net

Si scrive Sdn, si legge It security

Una delle caratteristiche principali del Software-defined networking è la progettazione della rete come un elemento unificato che consente, tra le altre cose, di centralizzare il controllo e di applicare policy fortemente granulari, servendosi di un unico pannello di comando.
Lo ricorda Emanuel Monticelli, System engineer North Italy, Extreme Networks, sottolineando come, “anche se fino ad oggi non è stata data troppa importanza alla sicurezza come uno degli aspetti più interessanti di questo approccio architetturale, è ovvio che Sdn abbia molto da offrire al settore della sicurezza It e viceversa”.
Non sono in pochi, infatti, a ritenere che l’Sdn sarà in grado di rendere la rete più sicura e ad aspettarsi che le reti definite dal software consentano una migliore gestione anche della complessità che le tecnologie di virtualizzazione hanno aggiunto alle loro infrastrutture It.

Sempre secondo Monticelli, l’Sdn migliora le condizioni di sicurezza della rete in diversi modi.
Innanzitutto fornisce l’intelligenza di rete necessaria per differenziare il traffico a livello delle applicazioni, permettendo il miglioramento dell’efficienza di rete end to end. I sistemi di sicurezza tipo firewall di nuova generazione o i sistemi Ids non sono in grado di influire sulla rete allo stesso modo.

Inoltre, bisogna ricordare i progressi tecnologici che sono stati sviluppati sulla piattaforma OpenDayLight e che influiscono positivamente nella gestione della sicurezza di rete grazie a funzionalità come il “flow tapping”, il reindirizzamento e l’inserimento di servizi, la capacità di rilevazione degli attacchi DDoS e il Virtual tenant networking.

In terzo luogo, OpenFlow, il protocollo alla base di Sdn, ricordail manager, permette di migliorare la sicurezza di rete creando, attraverso il controller Sdn in “modalità reattiva”, regole per i flussi che non sono ancora stati registrati nel flow table. Questo permette di usare il controller stesso per disporre di funzionalità di firewall a livello delle applicazioni.

Inoltre, all’interno del progetto OpenDayLight si sta lavorando in modo da creare un modello di policy di rete incentrato sulle applicazioni che possa dividere l’informazione relativa ai requisiti di connettività di ciascuna applicazione dall’informazione relativa all’infrastruttura di rete.
Questa astrazione fornirà molti vantaggi per la gestione della rete e anche per la gestione delle policy di sicurezza, permettendo di gestire interi gruppi di utenti o di computer che condividono lo stesso modello di policy in un paradigma valido anche all’interno di ambienti multivendor.

In conclusione, “una soluzione Sdn aperta, flessibile e basata su standard facilita la diffusione di nuove tecnologie di sicurezza, soprattutto in ambienti di rete eterogenei, mentre il cliente può proteggere i propri investimenti ed evitare di vicolarsi a un unico fornitore”.