SDN : vers un environnement de sécurité dynamique

La sécurité fait intrinsèquement partie du concept de SDN – Software Defined Network – et des offres télécoms On demand. Intégrées dès la conception, les fonctions de sécurité s’activent dynamiquement en différents points sensibles, en particulier sur le contrôleur SDN.

Dans l’univers des services On demand, la sécurité prend une dimension incontestable. Elle est d’autant plus critique que l’on utilise le réseau Internet comme épine dorsale. Les tunnels encryptés du SD-WAN (Software Defined Wide area network) sont fort utiles et apportent une partie de la solution. Mais une partie seulement.

Car, comme toujours s’agissant de la sécurité, il convient d’avoir une vision de l’ensemble de l’architecture, de bout en bout: il faut se préoccuper des pare-feu, des passerelles d’accès Web, des outils de prévention IPS (Intrusion Prevention System), des antimalwares – et le tout sans affecter les performances du réseau de collecte/distribution. 

Attention au contrôleur SDN

Où faut-il concentrer les systèmes de défense ? Certains soutiennent que c’est d’abord dans le réseau ; d’autres affirment qu’il faut prioritairement protéger les serveurs, les unités de stockage, etc.

Dans le cas de solutions SDN, on convient généralement que le contrôleur SDN doit être hautement protégé, car il constitue le cerveau du dispositif. S’il est bombardé par une attaque DDoS (Distributed Denial of Service), c’est tout le réseau qui peut s’écrouler. C’est ainsi que l’on peut parler de sécurité définie par logiciel (SDsec) dotée de ses propres ressources de machines virtuelles, voire ses propres liens réseaux.

La sécurité au cœur des fonctions NFV

Grâce à la virtualisation des fonctions réseau ou NFV (Network function virtualization), on diminue le nombre des équipements. Les fonctions de routage, de pare-feu ou d’équilibrage de charge (load balancing) sont dissociées des équipements et installées sur une plateforme logicielle ou une appliance comme autant de VM, dont la capacité et les ressources sont ajustables à la demande. Cette plateforme installée en terminaison peut reposer, comme c’est le cas chez Colt, sur des serveurs 86 ‘standard’ (chez Colt, une solution Advantec).

En termes de sécurité, ces fonctions réseau sont placées sous le contrôle d’un hyperviseur. Lorsque l’administrateur système constate qu’une application sur une VM requiert plus de bande passante, il peut soit déplacer la VM sur un autre serveur doté de davantage de ressources ; soit répartir la charge sur une autre VM. Et les fonctions de sécurité suivent.

Dans l’offre On Demand de Colt, qui s’appuie sur la technologie Versa Networks, la protection s’effectue de cette façon, avec des  fonctions de  pare-feu virtuel (intervenant sur les couches de transport 3 et 4, et jusqu’à la couche 7 des applications) et de prévention des intrusions.
Les liens sont protégés avec du VPN IP et des tunnels IPsec. Le filtrage des attaques DDoS  se paramètre à partir de règles communes ou spécifiques selon les sites à protéger.

La résilience des liens

Avec les offres SD-WAN, il est possible d’utiliser des accès VPN IP supportant des services MPLS pour les sites importants et des accès Internet publics pour de petits établissements distants (agences en région, par exemple). Dans ce cas, on utilise des tunnels IPsec  sur Internet avec possibilité de liens télécom doubles : « La résilience des liens est assurée par la création de deux liens, en redondance, sur deux ports ‘clients’. Si un lien tombe, l’autre prend le relais automatiquement », explique Grégoire de la Crouée, product marketing manager On Demand Services chez Colt.

Micro-segmentation

Jusqu’à récemment, pour se protéger, les services informatiques érigeaient des bastions en délimitant des zones (DMZ) grâce aux firewalls. Mais, lorsque des malwares réussissent à franchir ces murailles, en contournant les pare-feu en périphérie, ils peuvent alors librement se répandre dans la zone dite « démilitarisée ».

Avec l’avènement de la virtualisation du réseau, une nouvelle approche a été développée : la micro-segmentation. Il s’agit d’empêcher que les malwares envahissent les zones critiques dans l’entreprise.

C’est là qu’intervient le pare-feu virtuel, facile à déployer et à mettre à jour. Il permet un découpage plus fin des zones sensibles, par exemple entre des bases de données et un serveur Web. Ce découpage en micro-segments permet de limiter la casse en cas d’infection de certaines applications ou systèmes. Cela suppose donc de déployer autant de pare-feu virtuels qu’il y a de zones sensibles à protéger. Il faut alors veiller à unifier l’administration de ces multiples pare-feu.

Des solutions d’orchestration comme Blue Planet /Ciena (retenue par Colt) permettent de définir et d’appliquer une politique de sécurité globale en pilotant divers firewalls virtuels, sur site comme dans le Cloud. C’est ainsi que toute l’architecture réseau pourra être sécurisée de façon centrale et homogène, avec une réelle granularité. Les règles de sécurité sont alors appliquées de manière dynamique. On peut ainsi parler de « SDSec » (Software Defined Security).

Blue Planet
Sécurisation de l’architecture d’orchestration Blue Planet (Ciena) avec ‘firewall’ et chiffrement.