¿Qué puede aportar SDN a la seguridad TIC?
Jose Carlos García, Responsable Técnico de Extreme Networks, analiza el estado de la seguridad en infraestructuras SDN.
Una de las principales características de SDN es que concibe la red como un elemento unificado, lo que permite, entre otras cosas centralizar el control y aplicar políticas altamente granulares desde una única consola de mando. Aunque hasta ahora no se ha hecho demasiado hincapié en la seguridad como una de las facetas más interesantes de este enfoque de arquitectura, lo cierto es que SDN tiene mucho que aportar al área de la seguridad de TI, y la seguridad puede ser un importante incentivo para las empresas a la hora de adoptar SDN en los proximos años.
De acuerdo con un estudio sobre las prioridades de inversión en TI realizado recientemente, el 44% de los encuestados espera que SDN les ayude a gestionar los retos de seguridad y la complejidad que las tecnologías de virtualización han añadido a sus infraestructuras de TI. El 42% cree además que SDN hará que la red sea más segura.
SDN mejora la posición de seguridad de la red de diferentes modos. Por un lado aporta la inteligencia de red necesaria para diferenciar tráfico a nivel de aplicación. Esto permite mejorar la eficiencia de la red ya que sistemas de seguridad como firewalls de nueva generación o sistemas IDS no tienen por qué impactar negativamente en el rendimiento de la misma.
En segundo lugar, habría que mencionar los avances tecnológicos que se están desarrollando en el marco de OpenDayLight y que van a impactar positivamente en la gestión de la seguridad de red. Podemos mencionar funcionalidades como “flow tapping”, redirección e inserción de servicios (lo que permite enviar flujos de tráfico a sistemas de seguridad para su análisis), más capacidades de detección de DDOS, virtual tenant networking (VTN), entre otros.
En tercer lugar, están las posibilidades que brinda OpenFlow para mejorar la seguridad de red. Una posibilidad es utilizar el controlador OpenFlow en el llamado “modo reactivo”. Esta funcionalidad permite crear reglas para que los flujos que aún no han sido registrados en la tabla de flujos como pertenecientes a un determinado tipo de tráfico, sean enviados al controlador para someterlos por ejemplo a una inspección en profundidad. Esto nos permite utilizar el propio controlador para disponer de funcionalidades de firewall de aplicación.
Por otro lado, ahora mismo se está trabajando, dentro de OpenDayLight en un proyecto para crear un modelo de políticas de red centrado en las aplicaciones, capaz de separ la información sobre los requerimientos de conectividad de cada aplicación de la información sobre infraestructura de red. Esto proporcionará muchas ventajas de gestión de red, y también de gestión de políticas de seguridad, ya que permitirá manejar grupos enteros de usuarios o equipos que comparten un mismo patrón de políticas, y hacerlo en entornos multifabricante.
En conclusión, SDN y los últimos desarrollos tecnológicos en torno a OpenDayLight van a hacer que muchas empresas vean este tipo de arquitecturas como una pieza más de su infraestructura de seguridad. Una solución SDN abierta, flexible y basada en estándares va a facilitar mucho el despliegue de nuevas tecnologías de seguridad, sobre todo en entornos de red heterogéneos, al tiempo que el cliente protege sus inversiones y evita caer cautivo de un único proveedor.
