NGN alla prova della sicurezza

NGN alla prova della sicurezza
  • 6
  •  
  •  
  •  
  •  
  •  
  •  
    6
    Shares

Reti tradizionali a rischio collasso. La crescita del traffico IP su scala globale e dal numero di utenti collegati a Internet mette a dura prova la tenuta delle reti tradizionali. Crescono anche in italia le reti SD-WAN. Finance e retail trainano il mercato

Secondo le previsioni contenute nello studio Cisco Visual Networking Index (VNI) Complete Forecast 2016-2021 il traffico IP nel 2016 ha superato quota 1.2 ZB (1 ZB = 1000 Exabytes [EB]), pari a circa 96 EB (1 Exabyte equivale a un miliardo di Gigabytes GB) al mese. E raggiungerà quota 3.3 ZB nel 2021. Crescendo di circa tre volte nel periodo considerato, e di 127 volte tra il 2005 e il 2021. A trainare la crescita oltre al miliardo di nuovi utenti Internet su scala globale, che porteranno il totale dai tre miliardi del 2015 a oltre 4 miliardi entro il 2020, la trasformazione digitale, basata sull’adozione di dispositivi personali e l’attivazione di connessioni machine-to-machine (M2M) (videosorveglianza, contatori intelligenti, soluzioni digitali per il monitoraggio della salute, altri servizi). Nel corso dei prossimi cinque anni, le reti IP globali supporteranno oltre 10 miliardi di nuovi dispositivi e connessioni, passando da 16,3 miliardi nel 2015 a 26,3 miliardi entro il 2020. Secondo le proiezioni entro il 2021, i dispositivi e le connessioni pro-capite saranno 3,5 rispetto ai 2,3 del 2016. Inoltre, il numero di dispositivi connessi alle reti IP sarà pari a tre volte la popolazione mondiale entro il 2021, con circa 3,5 device connessi per persona, rispetto ai 2,3 del 2016. Ognuno di noi genererà quindi un traffico IP di circa 35 GB entro il 2021, contro i 13 GB del 2016. Al momento, c’è consapevolezza dell’impatto dell’IOT sulle reti e che ciò possa costituire una minaccia per la loro sicurezza della rete. Più dibattuta invece l’effettiva capacità delle reti tradizionali di far fronte a questa crescita. Se siano cioè in grado di gestire la richiesta che accompagnerà l’esplosione prevista legata a questo tipo di dispositivi,.

CRITICITÀ DELLE RETI ATTUALI

I più pessimisti sottolineano l’incapacità delle reti di gestire dinamicamente le risorse, la scarsa integrazione tra rete e piattaforme di servizio, i bassi livelli di performance. Criticità acuite dal tema della sicurezza. Le reti tradizionali in estrema sintesi presenterebbero un insieme di criticità riassumibili nella mancanza di governance su ambienti cresciuti troppo in fretta, un coacervo di tecnologie, domini privati e pubblici e servizi eterogenei. Sistemi inefficienti nei tempi di accesso, utilizzo e rilascio delle risorse. Secondo i più allarmisti le reti tradizionali sarebbero come la Queen Elizabeth: imbarcano acqua da tutte le parti. Un’obsolescenza accelerata dal processo di digitalizzazione, che investe ogni settore dell’IT, reti comprese. Un processo per cui diventa indispensabile progettare reti dinamiche e programmabili. Traguardo reso possibile dalla diffusione di tecnologie come SDN (Software Defined Networking) e NFV (Network Functions Virtualization).

I CONCETTI E LE TECNOLOGIE ALLA BASE DELLE RETI RESILIENTI

Le tecnologie NFV virtualizzano i servizi di rete, convenzionalmente eseguiti da hardware proprietario (router, firewall, load balancer), disaccoppiandoli dai tradizionali apparati fisici di networking e ospitandoli su macchine virtuali, le cui funzioni di rete sono controllate da hypervisor in grado di girare su normali server x86. Separando di fatto la parte che stabilisce il percorso da seguire per ogni flusso di pacchetti lungo la rete (control plane) dalla parte che fisicamente li instrada (data plane). La virtualizzazione delle funzioni di rete apre la strada ad aziende e service provider per sviluppare ed erogare nuovi servizi. Tenendo sotto controllo i costi e migliorando al contempo l’agilità del network nel supportare le richieste delle applicazioni. Un’architettura che ha al suo centro il concetto di resilienza. La capacità cioè della rete in caso di problemi di adottare una configurazione che le consenta di funzionare sempre garantendo così il servizio ai propri utenti. Concetto che trova concreta applicazione nelle reti SD-WAN, architetture in grado di monitorare l’operatività della rete e modificare le configurazioni in tempo reale per mettere in atto strategie di protezione e risposta.

ESPLOSIONE DEL MERCATO

La progressiva disaggregazione del network dall’hardware di rete unita a doti di resilienza, affidabilità, performance e sicurezza accendono l’interesse per queste nuove tecnologie. Inizialmente, l’adozione delle tecnologie SDN e NFV da parte di aziende e organizzazioni è stata giustificata soprattutto dai benefici promessi in termini di riduzione dei costi operativi (Capex). È dubbio però che il solo Capex possa guidare una rapida adozione delle due tecnologie. La vera sfida infatti è di riuscire a sfruttare anche gli altri vantaggi che sono in grado di offrire. Modellazione dei servizi, orchestrazione “top-to-bottom”, funzionalità SD-WAN, concetti che emergono già nelle offerte di diversi vendor, stanno guadagnando rapidamente credito sul campo. Tecnologie, sostengono i più ottimisti, che se combinate, potrebbero imprimere un’accelerazione importante nello sviluppo dei benefici di SDN e NFV, determinando una rapida evoluzione di entrambi gli approcci.

SEGMENTO SD-WAN

Il segmento SD-WAN inizia a prendere forma nel 2015. Un mercato ancora agli albori ma che IDC prevede si svilupperà con tassi di crescita importanti. «Per il periodo 2017-2021, il tasso di crescita sarà superiore al tasso del ben più ampio segmento delle infrastrutture di rete (network infrastructure market)» – ci dice Daniela Rao, senior research and consulting director di IDC Italia.

VALORE DEL MERCATO

«Entro il 2021, complessivamente il mercato SD-WAN raggiungerà la cifra di 8.05 miliardi di dollari, totalizzando in cinque anni un CAGR del 69.6%». Sempre secondo IDC, il mercato italiano dei sistemi e dei servizi dedicati all’implementazione delle LAN/WAN Software-Defined è destinato a raddoppiare tra il 2018 e il 2020, superando i 120 milioni di euro, una somma che rappresenterà oltre la metà della spesa delle aziende italiane per la gestione e lo sviluppo delle reti. «Un mercato guidato dalle grandi aziende che possiedono reti estese, molti device assegnati a mobile worker e personale distribuito sul territorio: qui la protezione dei dati aziendali, del parco device, insieme all’esigenza di automazione sosterranno l’evoluzione della spesa per le reti. Le imprese medie e piccole – continua Daniela Rao – resteranno invece più focalizzate su esigenze “basiche” di banda e network security, e tenderanno a sviluppare progetti molto differenziati in relazione alle loro specifiche attività». Attenzione però ai rallentamenti che potrebbero derivare nel nostro paese, dalla mancanza di una vera broadband.

ALTRE PREVISIONI

A fare da traino allo sviluppo del mercato, il mondo IOT, le cui tecnologie nel 2020 genereranno un fatturato di 1,46 trillioni (1 trilione equivale a un miliardo di miliardi) di dollari e l’apporto del cloud sia pubblico che privato, con il Software Defined Networking che – secondo IDC – sarà uno dei driver principali per sostenere le organizzazioni nel loro percorso verso la virtualizzazione server e l’adozione pervasiva della nuvola.

LE RETI DEL FUTURO

«La rete del futuro, basata su tecnologia IBN, sarà in grado di apprendere continuamente, di raccogliere informazioni approfondite dai dati che fluiscono dentro e fuori dai dispositivi e dalle app di tutto il mondo, in tutte le posizioni su vasta scala, in tempo reale. Sarà in grado di adattarsi, di effettuare il provisioning di decine di migliaia di dispositivi in pochi minuti, eliminando al tempo stesso il 95% delle operazioni manuali e i costi dovuti a errore umano. Sarà inoltre in grado di identificare e bloccare le minacce e di imparare da ognuna di esse. Traendo le informazioni dal contesto. Una “filosofia” completamente nuova della rete» – afferma Rao di IDC.

LA DINAMICITÀ DELLE NUOVE RETI

È ancora prematuro delineare dai dati del mercato tempi e modi con cui le vecchie reti saranno sostituite da quelle di nuova generazione. Di certo, nonostante i tassi di crescita significativi questo processo non si esaurirà nel medio periodo (3/5 anni). In questo lasso di tempo, le nuove reti affiancheranno quelle già esistenti. L’IT potrà così continuare a confrontarsi con i due piani di sicurezza, quello fisico e quello applicato agli ambienti virtualizzati, che richiedono logiche e approccio specifici. «L’organizzazione dovrà gestire la coesistenza di reti e ambienti tradizionali e reti di nuova generazione» – conferma Fabio Panada, security consultant di Cisco e docente di CLUSIT. «Ma posto che uno spostamento verso questo tipo di reti comporti tutta una serie di vantaggi in termini di riduzione dei costi, automazione, velocità e integrazione, è importante sapere che – come manager dal punto di vista della security – dovrò gestire un nuovo livello di sicurezza in una maniera diversa. Con il vantaggio però di poter mettere a frutto best practice tradizionali, in termini di processi, servizi e soluzioni. Sapendo inoltre che potrò disporre di soluzioni ad hoc per gestire un ambiente eterogeneo» – spiega Panada.

GESTIONE DELLA SICUREZZA

Tutte le soluzioni di sicurezza tradizionali implementate nella rete fisica – firewall, IPS, soluzioni di antimalware o di content analysis, e così via – potranno infatti essere impiegate anche sulle reti SDN. «Non solo con la stessa qualità e le stesse funzionalità, ma aderendo perfettamente all’architettura SDN» – afferma Panada. «Con la possibilità di implementare anche delle regole di architettura come la segmentazione su una rete SDN virtuale, eterogenea, multi-hypervisor, dinamica». Un’estensione della security fisica agli ambienti virtualizzati. Attraverso una gestione congiunta dei due ambienti. «Un aspetto molto importante. Perché mi permette di non alzare i costi di gestione della sicurezza di una possibile migrazione verso le reti di nuova generazione. Non dovrò fare nuovi investimenti o imparare nuove tecnologie. Dovrò solo trasporre la tecnologia che ho già in uso in un ambiente differente» – afferma Panada.

L’INTEGRAZIONE DELLE POLICY

L’integrazione delle policy esistenti con (quelle) richieste dagli ambienti virtualizzati è un altro passaggio importante. Perché queste nuove reti per le loro caratteristiche necessitano di contare su policy dinamiche. «Le reti di nuova generazione richiedono la gestione di molte più macchine virtuali, server, dati, applicazioni. Quindi spesso aumenta il numero di macchine virtuali o applicazioni e di conseguenza la necessità di mettere in produzione velocemente le applicazioni e le regole di sicurezza – policy – che la devono governare. Per gestire in maniera efficace questo nuovo ambiente molto più dinamico devo per forza essere legato a delle policy per avere un controllo efficace. Le policy mi permettono di controllare in automatico quel che succede nel mio ambiente SDN. Per esempio, se io ho nel mio ambiente fisico una policy per cui all’applicazione di data warehouse, accedono solo gli amministratori dei database, di Roma e solo via VPN, questa regola deve essere mantenuta e corretta in maniera automatica anche in un ambiente SDN. Devo cioè avere degli strumenti che mi permettono una volta assegnata una policy come questa di estenderla alla rete virtuale e se nel caso modificarla in maniera automatica. In modo che il cambiamento delle mie applicazioni sull’SDN la mantengano costante nel tempo e nello spazio». La centralità delle policy è ribadita anche da Damiano Colla, regional security systems engineer specialist di Juniper Networks secondo il quale – contrariamente a quanto avveniva con le soluzioni perimetrali multilivello – «una rete SD-SN (Software-Defined Secure Network) trasforma ogni elemento di rete in un possibile punto di applicazione delle policy». Con implicazioni importanti in termini di sicurezza. «Una rete SD-SN sfrutta le informazioni locali e del cloud per identificare e mitigare le minacce con un’applicazione dinamica delle policy che protegge la rete in tempo reale, trasformandola in un ecosistema di intelligence attivamente partecipe nella protezione dalle minacce».

CONTROLLO, APPLICAZIONE E DATI

Premessi i vantaggi in termini di sicurezza di poter utilizzare anche sugli ambienti virtualizzati le soluzioni di sicurezza tradizionali, e fermo restando la necessità di dotarsi di policy dinamiche – la gestione della sicurezza continuerà a rappresentare una sfida impegnativa. Infatti, oltre ad alcuni dei problemi di sicurezza tipici dell’architettura tradizionale di rete le reti SDN sono esposte a rischi di sicurezza collegati al disegno architetturale SDN, articolato su tre strati: controllo, applicazione e dati.

ATTACCHI AL CONTROLLER SDN

È il controller a stabilire il percorso che i pacchetti seguiranno, in funzione sia della loro destinazione e della topologia della rete, come farebbe uno switch tradizionale, sia di altre informazioni che il controller raccoglie da altri elementi ai quali lo switch non avrebbe accesso. Un ruolo quello dell’SDN che gli conferisce una serie di vantaggi – flessibilità, programmabilità in tempo reale, semplificazione dei controlli – ai quali però si affiancano minacce insidiose per la sicurezza. Infatti, il controller può essere sfruttato per manomettere i dispositivi di rete sotto il suo controllo (ad es. gli switch) e così compromettere tutto il traffico in entrata. Oppure, può essere utilizzato come testa di ponte per sferrare attacchi contro altri obiettivi, per esempio generando traffico a uno specifico target per esaurirne le risorse. «Il controller SDN è in genere l’obiettivo principale per gli aggressori, poiché è il punto centrale per mantenere e distribuire le configurazioni in una rete SDN» – conferma Gastone Nencini, country manager di Trend Micro Italia. «Chi attacca può cercare di ottenere il controllo della rete accedendo alla configurazione di un controller o fingendo di esserlo». Per mitigare questo rischio, occorre rafforzare la sicurezza del sistema operativo sul quale gira il controller SDN e prevenire gli accessi non autorizzati. «Arrivare a controllare la rete potrebbe essere considerato uno scenario estremo, ma esistono già casi reali nei quali non si era data la giusta attenzione alla configurazione degli accessi amministrativi dei controller di rete» – sottolinea Nencini.

CONTROLLER IN BATTERIA

In genere, l’architettura SDN prevede la presenza di un unico controller. Tuttavia, nel caso di reti a cui si richiede elevata affidabilità, nel disegno è possibile prevedere architetture particolarmente resilienti, policentriche, con sistemi centrali ridondati o distribuiti, anche esterni su piattaforme cloud. «La possibilità di avere più controller ha tanti vantaggi. Ma è fondamentale che le politiche di sicurezza sugli accessi e sull’hardening dei sistemi siano distribuite e replicate, sulla totalità dei controller presenti all’interno della rete» – spiega Nencini di Trend Micro. Disporre di troppi controller attivi contemporaneamente rende meno agevole applicare politiche di sicurezza efficaci e correggere eventuali vulnerabilità. Oggi, ai controller SDN è demandata la gestione dei servizi nel multi-cloud: privato, pubblico o ibrido. «Con il dissolversi del perimetro del cloud diventa imperativo mettere in sicurezza e proteggere i workloads o le applicazioni indipendentemente da dove vengono istanziati» – rileva Damiano Colla, regional security systems engineer specialist di Juniper Networks. «Pertanto, è necessario che l’SDN controller applichi le stesse politiche di sicurezza indipendentemente dal tipo di cloud coinvolto e dal tipo di ambiente, sia esso di sviluppo, test o produzione. Questo permette di applicare le stesse politiche di sicurezza su tutto il cloud e allo stesso tempo di garantirne la consistenza, limitando così la possibilità di errori»

ATTACCHI DDOS

Lo strato di controllo è esposto anche ad attacchi DDoS che inondando i server e i dispositivi di rete con traffico proveniente da più fonti IP possono paralizzare l’intera rete. «Esistono nuovi tipi di attacchi denial-of-service, che tentano di sfruttare i potenziali limiti di scalabilità di un’infrastruttura SDN, individuando specifici processi automatici che utilizzano una quantità significativa di cicli della CPU» – mette in guardia Nencini di Trend Micro.

CONTROMISURE

Per difendersi dagli attacchi DDoS una soluzione può essere quella di implementare più controller fisici in parallelo. Qualora si scelga di collegare gli switch della rete alla batteria di controller, uno di essi potrà fungere da master. In questo modo, nel momento in cui un controller master è chiamato a gestire un carico elevato di query, avrà la possibilità di ripartire il carico sui controller meno sollecitati, che diventeranno così i rispettivi master di tutti gli switch a loro assegnati. Le comunicazioni tra lo strato di controllo e quello dei dati è esposto ad attacchi man-in-the-middle (MITM). L’aggressore in questo caso potrebbe riuscire a modificare le policy del controller SDN in relazione agli switch, per assumerne il controllo. La cifratura dei messaggi e l’utilizzo di firme digitali sono probabilmente tra le contromosse più efficaci per proteggere l’integrità e verificare l’autenticità dei messaggi. Nello strato applicativo infine la possibilità di programmare in tempo reale la rete presta il fianco a vulnerabilità significative. In particolare, se chi attacca riesce a compromettere le applicazioni di sicurezza SDN, potrebbe guadagnare attraverso il controller il controllo completo dei flussi di traffico. Un rischio mitigabile, adottando procedure di codifica sicura che prevedano controllo modifiche e verifica dell’integrità nel ciclo di sviluppo del software. «Una rete SDN potrebbe essere vulnerabile agli attacchi anche a causa della separazione tra il data-plane e il control plane» – afferma Nencini. «Un’interruzione nel percorso di comunicazione tra i due piani potrebbe potenzialmente causare una falla facilmente utilizzabile in un attacco. In particolare, è necessario porre particolare attenzione nella definizione e nel disegno di una rete SDN per garantire che gli accessi ai sistemi siano gestiti da policy di autenticazione sicure. Si deve altresì garantire un piano di backup e uno di restore delle configurazioni e che le applicazioni installate sui controller siano scaricate da fonti attendibili» – conclude il country manager di Trend Micro Italia. L’emersione di nuove vulnerabilità continuerà a incentivare la ricerca di approcci alla sicurezza più sofisticati. Ma non bisogna sottovalutare la possibilità che sia ancora una volta la sicurezza uno degli elementi in grado di ostacolare l’adozione del modello rappresentato dalle reti di nuova generazione.


  • 6
  •  
  •  
  •  
  •  
  •  
  •  
    6
    Shares
Categorie: Reti e TLC