Nu heel wat kritische netwerkfuncties verhuizen van de traditionele hardware-doosjes naar ‘open’ softwareplatformen, verandert ook de manier waarop naar beveiliging moet worden gekeken. Volgens OpenFlow-bedenker Martin Casado is er zelfs een nieuwe security-laag in de hypervisor nodig.

Op enkele jaren tijd zijn software defined networks uitgegroeid van een theoretisch curiosum tot een heilige graal voor heel wat technologiebedrijven. IDC verwacht zelfs dat er in 2016 al bijna 3 miljard euro zal worden uitgegeven aan SDN-tools. Maar wanneer de controle over het netwerkverkeer gescheiden wordt van fysieke componenten zoals switches en routers (en het netwerk gevirtualiseerd wordt), dan moet er ook gedacht worden aan nieuwe manieren om het boeltje te beveiligen.

Tijdens de meest recente editie van NetEvents in Californië opperde de bedenker van OpenFlow (het communicatieprotocol tussen de dumb switches en de centrale software-gestuurde controller bij sdn) Martin Casado zelfs dat security één van de belangrijke drivers zal worden voor de adoptie van SDN. “Nu al gaat veertig procent van de early adopters voor netwerk-virtualisatie omwille van veiligheidsoverwegingen”, klonk het.

Spontaan zou je denken dat software kwetsbaarder is voor hackers en kwaadwillenden dan de servers in een datacenter, maar Casado, die intussen cto is van de netwerkdivisie bij VMware, spreekt dat tegen.

“Aan het begin van mijn carrière werkte ik in security en was het mijn taak om in te breken in datacenters. Geloof me, die dingen zijn vreselijk slecht beveiligd. 80 procent van de uitgaven voor security gaan naar de perimeter, en die perimeter is eigenlijk een soort van maginotlinie: je kan hem makkelijk omzeilen. Eens binnen in het datacenter kan je dan naar hartenlust kwaadaardige code installeren op de servers.”

HYPERVISOR

Vandaag wordt (cloud)data op twee manieren beveiligd: controles aan de front end (de perimeter, in de toestellen van werknemers bijvoorbeeld) en op het niveau van de infrastructuur, in het netwerk. Volgens Casado kan security op die manier niet waterdicht zijn, en gaapt er een diepe kloof tussen perimeter en netwerk.

“Securityfeatures installeren op de toestellen van eindgebruikers is een beetje zoals een aan/uit-knop voor het alarmsysteem van een huis naast de deurbel plaatsen”, grapt de man. “En wanneer de controles zich voltrekken in het netwerk ontberen ze de context van de applicaties. Probeer maar eens goed te beveiligen zonder context.”

Tijdens NetEvents kwam Casado dan ook af met het concept van de ‘Goldilocks Zone’ voor security, een compleet nieuwe laag in of naast de hypervisor (de virtual machine monitor of vmm). De term ‘Goldilocks Zone’ werd geïntroduceerd door astrologen in de jaren ’70, om de plaats aan te duiden tussen de zon en de buitenste planeten waar eventueel leven mogelijk is.

GOLDILOCKS ZONE

Volgens de bedenker van OpenFlow is de hypervisor de ‘Goldilocks Zone’ voor security: de ideale plaats tussen toestellen van eindgebruikers en de infrastructuur-laag. “Via de hypervisor behoud je ten alle tijden het zicht op wat er in het netwerk gebeurt (wat bijvoorbeeld niet het geval is wanneer een besturingssysteem in een virtuele omgeving vergrendeld wordt omwille van veiligheidsoverwegingen), terwijl je er toch voldoende ver van af staat om het niet in gevaar te brengen”, aldus de Amerikaan.

“Hypervisors weten welke applicaties ‘boven’ hen draaien, en kunnen tegelijkertijd regels opleggen aan de infrastructuur ‘onder’ hen. Zo kan er voor elke bedrijfstoepassing een apart virtueel netwerk gecreëerd worden, met specifieke securityfeatures. Wanneer er een app gecompromitteerd wordt, beperkt het probleem zich tot die toepassing en raakt het datacenter niet verder besmet.”

“De virtual machine monitors zijn met andere woorden uitstekend geplaatst om te kunnen voorzien in context én in isolatie”, aldus de man, die nog maar weinig details kon geven over concrete producten die in die richting denken. Zijn keynote op NetEvents moet eerder gezien worden als een nieuw argument van VMware om je netwerk en je datacenter te virtualiseren (naast kostenbesparingen en efficiëntieverbeteringen). Bedoeling is wel dat VMware straks gaat samenwerken met een rist partners om met producten te komen die voorzien in security via de hypervisor.

Uiteraard is die strategie vooral in het voordeel van VMware zelf, want zijn ESX hypervisor is markleider in software voor de creatie van virtuele machines in het datacenter. Maar Casado haastte zich om te stellen dat zo’n nieuwe beveiliging-laag er zou moeten komen voor alle soorten hypervisors, ook die van Microsoft en andere leveranciers.

MALWARE

Het grootste probleem met de denkpiste van Casado en VMware is dat het hypervisor-verhaal nog niet erg concreet is, terwijl cloud security steeds belangrijker wordt en malware nu moet worden aangepakt, niet morgen. Het aantal inbreuken groeit bijna dagelijks, en het aantal manieren waarop hackers hun weg vinden naar machines, of ze nu virtueel zijn of niet, is al onnoemelijk groot.

En vraag aan verkopers van switches wat ze kunnen doen aan malware op het netwerk, en ze zullen gegarandeerd afkomen met halfslachtige oplossingen. Eén vendor, die we hier niet gaan noemen, toonde op NetEvents een softwaretoepassing voor switches die zoekt naar kwaadaardige url’s. Maar logt een besmette computer in op het netwerk, dan kan diezelfde toepassing dat niet detecteren.

“De trieste waarheid is dat meeste beveiligingssystemen voor de cloud verder bouwen op het verleden”, klonk het in Saratoga, “toen malware in de vorm van makkelijk herkenbare virussen achter de firewall terecht kwam.” Uiteraard bestaat dat risico nog steeds, maar de gevaren zijn onnoemelijk veel groter geworden.

CONCURRENTIEVOORDEEL

Gelukkig is er toch al één bedrijfje dat in de richting denkt van het hypervisor-verhaal. Het Canadese Wedge Networks, dat toevallig ook present tekende op Net-Events in Californië, heeft met zijn NFV-S oplossing zowaar een hypervisor-gebaseerde softwaretoepassing gebouwd die voorziet in een security-laag buiten de gevirtualiseerde servers om.

Wedge Networks beweert alvast dat het het eerste bedrijfje in de wereld is dat een dergelijke oplossing in de markt zet. Hoewel dat best kan kloppen, blijven de Canadezen best niet te lang op de lauweren rusten. Want niet alleen VMware neemt het security-vraagstuk serieus. Ook Microsoft zou kunnen beslissen dat een geïntegreerde security-laag zijn Hyper-V platform een concurrentievoordeel kan geven ten opzichte van de aartsrivaal. Wordt ongetwijfeld vervolgd…

Frederik Tibau