Jak dostawcy usług mogą zapewnić bezpieczeństwo sieci wirtualnych?

 

W lutym 2017 r. firma analityczna Gartner zapowiedziała, że do końca roku w użyciu będzie 8,4 mld sprzętów IoT. Zmieniły się urządzenia mobilne, stając się równie wydajne i popularne jak zwykłe komputery. Znacząco wzrosła ilość i różnorodność przechowywanych przez nie danych, co zmusiło dostawców sieci i usług do znalezienia sposobów na uporanie się z tą kwestią.

Najnowsze osiągnięcia w zakresie oprogramowania sieciowego – SDN (Software Defined Networking, SDN) i NFV (Network Function Virtualization) – umożliwiły dostawcom usług przekształcenie swoich sieci w taki sposób, by spełniały zmieniające się wymagania klientów. Stosowanie tych dwóch technologii zapewnia lepszą kontrolę nad siecią, elastyczność podczas wdrażania usług, skalowalność i możliwość pełnej kontroli ruchu na obszarze, na którym działa wirtualizacja. Kolejną korzyścią, na którą warto zwrócić uwagę, jest bezpieczeństwo. Nadal jest to wyzwanie dla operatorów, którzy chcą zarządzać siecią i dostarczać usługi, a z kolei ich klienci muszą mieć możliwość uruchomienia własnych firewalli i wirtualnej przestrzeni.

Dbanie o renomę dostawców sieci

Zmieniły się zagrożenia czyhające w sieciach teleinformatycznych. W pierwszych latach ich funkcjonowania ataki przeprowadzano za pomocą SMS-ów. Obecnie skala jest dużo większa, a ataki mogą zagrozić urządzeniu, aplikacjom i sieci. Na przykład sukces Pokémon Go w 2016 roku spowodował wzrost liczby tworzonych przez oszustów aplikacji mobilnych, które miały dawać użytkownikom przewagę w grze. Z kolei botnet Mirai to przykład na wykorzystanie przez hakerów urządzeń IoT do przeprowadzenia ataków na instytucje telekomunikacyjne. W tym roku doszło także do głośnego ataku ransomware przy użyciu wirusa WannaCry, co spowodowało chaos w różnych częściach świata. Wśród ofiar cyberprzestępców znalazły się firmy takie jak międzynarodowy gigant telekomunikacyjny Telefonica czy brytyjski system służby zdrowia NHS. Te wydarzenia wywołały dyskusję na temat roli dostawców usług w ograniczeniu możliwości przeprowadzenia ataków.

Wraz z rosnącą różnorodnością i wymyślnością zagrożeń – w tym inżynierią społeczną, malware, atakami DDoS itp. – operatorzy nowoczesnych sieci LTE muszą bronić siebie i swoich klientów przed ryzykiem ataków. Hakerzy mogą wykorzystywać te sieci jako broń, a jeżeli dostawcy nie zdołają zapobiec atakowi, wina spadnie na nich. Stawką jest ich reputacja, a przyszłość zależy od właściwej odpowiedzi na zagrożenia.

Na szczęście wirtualizacja sieci należących do operatorów zmieniła sposób, w jaki branża patrzy na bezpieczeństwo. Atak z wykorzystaniem botnetu Mirai był dla dostawców usług jak alarm budzika. Nagle uświadomiono sobie, jak wiele szkód mogą zrobić hakerzy za pomocą wrażliwych na ataki urządzeń. Operatorzy zareagowali na to poprzez dodanie kolejnych warstw ochronnych, by zapobiegać zagrożeniom pochodzącymi z lub spoza organizacji.

Prostsza ochrona dzięki wirtualizacji

Wirtualizacja sieci może sprawić, że zapewnienie bezpieczeństwa będzie prostsze i bardziej efektywne kosztowo. Przykładowo do niedawna dostawcy usług musieli ustalić, skąd pochodzi największa część ruchu w sieci i dopiero wtedy wprowadzić odpowiednie rozwiązania. Tymczasem wirtualizacja poprawia zdolność do wykrywania zagrożeń w każdym miejscu chmury i umożliwia bardziej efektywną ochronę. Jeżeli dostawcy usług ochronią swoją infrastrukturę fizyczną, narzędzia do orkiestracji sprawią, że łatwiej będzie uruchomić wirtualny firewall.

Argument o łatwiejszym zapewnieniu bezpieczeństwa trzeba jednak traktować z ostrożnością. Całościowe ryzyko ataku jest potencjalnie wyższe przy stosowaniu NFV, gdzie istnieje więcej płaszczyzn sterowania (control planes) i danych. Dostawcy usług muszą sobie radzić z fizyczną warstwą systemu, w której funkcjonują elementy SDN, a które następnie są streszczane do wykorzystania w instancjach wirtualnych. Infrastruktura fizyczna, a także instancje wirtualne, mają własne wymagania dotyczące bezpieczeństwa, które muszą zostać spełnione.

Utrzymanie bezpieczeństwa i elastyczności

Ponieważ wirtualizacja zwiększa stopień złożoności, dostawcy usług muszą przyjrzeć się swoim zasobom i ocenić, czy są one warte ochrony. Gdy decyzja zostanie podjęta, konieczne jest wybranie najlepszego sposobu obrony przed danym rodzajem ataku.

Kluczowe technologie to w tym przypadku ochrona przed atakami typu DDoS oraz Web Application Firewall (WAF), a także wprowadzenie modelu architektury logowania jako usługi (Logging as a Service, LaaS), dzięki której można zrozumieć, jakie jest źródło i rodzaj ataków. To pozwoli dostawcy na wybranie sposobu obrony niezbędnego do odparcia ataku bez wpływu na usługi, które są bezpieczne.

Autor: Ireneusz Wiśniewski, Dyrektor Zarządzający w F5 Networks
Źródło: www.f5.com