SDN, использующие управляющий протокол OpenFlow, обладают рядом свойств, которые хорошо подходят для построения безопасной и управляемой вычислительной среды:

  • Парадигма потока данных более удобна для обеспечения безопасности, поскольку она предлагает сквозную (end-to-end) модель связей, ориентированную на сервисы, не связанную с традиционными ограничениями маршрутизации.
  • Логически централизованное управление позволяет во всей сети осуществлять эффективную защиту и мониторинг появления угроз.
  • Гранулированное управление политикой безопасности может основываться на решаемых задачах, используемых сервисах, организационных и географических критериях, а не на физической конфигурации.
  • Переход к управлению через программирование позволяет осуществлять динамичную и гибкую настройку политики безопасности.

В рамках этого направления ведутся следующие работы:

  • Разработка системы контроля доступа приложений к ресурсам контроллера
    Для того, чтобы реализовывать свою логику, SDN приложения получают доступ к разного рода операциям над сетевыми ресурсами и ресурсами контроллера, в том числе и критическим. Как и любое программное обеспечение, SDN приложения могут содержать ошибки и уязвимости, которые могут привести к незапланированному поведению приложения. Поэтому для удовлетворения требований информационной безопасности SDN контроллеры должны обеспечивать политики доступа к интерфейсам управления сетевыми устройствами и ресурсами контроллера.
  • Анализ защищенности протоколов SDN
    Протоколы SDN обеспечивают прямой доступ и возможность манипуляции плоскостью передачи данных всех сетевых устройств. Эксплуатация возможных уязвимостей в этих протоколах может привести не только к захвату некоторых устройств, но и к компрометации всей сети. Следовательно, во избежание негативных последствий компьютерных атак, необходимо производить анализ защищенности протоколов SDN.
  • Разработка систем обнаружения вторжений
    Переход на идеологию SDN позволяет перенести в управляющий контур SDN целый ряд функций, выполняемых в настоящее время отдельными специализированными устройствами. Причем использование таких решений может быть более эффективным и иметь ряд преимуществ как технических, так и экономических. Одним из видов таких функций могут быть функции системы обнаружения вторжений.
  • Обнаружение скомпрометированных коммутаторов в SDN
    Как и в любом программном или аппаратном обеспечении, в SDN коммутаторах могут находиться некоторые ошибки, ведущие к уязвимостям, эксплуатация которых может привести к захвату (компрометации) SDN коммутатора злоумышленником. Несмотря на то, что функции управления сетью вынесены на контроллер, захват злоумышленником некоторого коммутатора может привести к нарушению работоспособности сети или нарушению безопасности передаваемых по сети данных. Поэтому необходимы методы, которые позволят выявлять скомпрометированные коммутаторы.
  • Исследование применимости технологии программно-конфигурируемых сетей для построения системы управления и мониторинга сообщений информационной безопасности в сетях передачи данных.

Публикации:

Задача обнаружения скомпрометированных коммутаторов в SDN сетях

Исследование методов проведения атаки Man-in-the-Middle в программно-конфигурируемых сетях

Обеспечение контроля доступа приложений к ресурсам контроллера программно конфигурируемых сетей

Безопасная автоматическая реконфигурация облачных вычислительных сред

Классификация ошибочных состояний в распределенных вычислительных системах и источники их возникновения

«Общие критерии» и безопасность программно-конфигурируемых сетей