אבטחת מידע בעידן טכנולוגית הNFV-
מאת:
עמליה אברהם, 4.3.15, 09:30
על אתגרים והזדמנויות באבטחת NFV, בניית מערך אבטחה מקיף בסביבת NFV ב-3 שכבות של פלטפורמת ה-NFV, אזורי רשת וירטואליים ויישומי הובלה וגם קריאה לאוטומציה.
כל טכנולוגיה מביאה עמה אתגרים חדשים. הדמית פעילות רשתות -
NFV אינה שונה ומציבה אתגרי אבטחה רבים לצד הזדמנויות להתמודד עם אתגרים אלה בזכות היכולת לווסת את קנה המידה, גמישות הטכנולוגיה והניהול המרכזי. השימוש של
NFV בווירטואליזציה על גבי חומרה גנרית והיכולת להעצים אוטומציה חוסכת עלויות ואת זמן שיווקם של שירותים ויישומים חדשים.
בתצורה הפשוטה ביותר,
NFV מכילה תפקודי תקשורת וירטואליים
Virtual Network Functions - VNF המופעלים על גבי מערכות וירטואליות
Virtual Machines – VM. אם כך, את הסכנות לאבטחה ניתן לראות כמכלול של כלל האיומים הגנריים במערכת וירטואלית והאיומים על כל מנוע פעילות תקשורת ספציפי, כשאיומים וירטואליים גנריים נשלטים ע"י מאפייני האבטחה של הפלטפורמה, כולל החומרה והתוכנה. איומים נקודתיים על פעילות הרשת נקבעים עפ"י איכות תכנון פעילות התקשורת ברשת והטמעת מערכות התוכנה עליה.
אולם, לווירטואליזציה יש יתרון אבטחה: הפוטנציאל למנוע או למזער איומים אינהרנטיים לתוכנת תפקוד הרשת. זאת, באמצעות מנגנון הבדיקה הפנימית של המערכת הווירטואלית ומערכת ניהול אבטחה מרכזית.
מנגנון הבדיקה הפנימית
hypervisor של המערכת הווירטואלית יכול, למשל, לזהות ולמחוק מתקפות
RootKit כיוון שהוא פחות רגיש לאסטרטגיות הסוואה. בנוסף, ניתוח זיכרון פעיל משפר את ביצועי האבטחה של ה-
VNF. מאידך, ניהול אבטחה מרכזי מאפשר להגדיר ולאבטח בצורה יעילה את פונקציות התקשורת בהתאם למדיניות כוללת במקום אסופת תהליכי אבטחה ותפקודים נקודתיים העלולים להיות לא קבועים מחד ומיושנים מאידך.
האסטרטגיה לשיפור אבטחת
NFV חייבת להיות בעלת 2 ראשים ולשלב בין הפחתה של איומים וירטואליים גנריים באמצעות אבטחת הפלטפורמה הווירטואלית מחד ומאידך, ביטול איומים על תפקודי התקשורת ע"י הטמעת מנגנוני אבטחת
VNF כגון מנגנון בדיקה פנימי.
אבטחת NFV, אתגרים והזדמנויות
אתגרי האבטחה החדשים של טכנולוגית ה-
NFV כוללים הישענות על מערכות תוכנה נוספות, כגון מנגנון הבדיקה הפנימית ומודולים לניהול ותיאום, שמייצרים שרשרת אמון ארוכה יותר, ירידה בכמות תפקודי הרשת המבודדים, "שותפות גורל" של שירותים בגלל שיתוף משאבים וריבוי-דיירים, אמינות מפתח יעילה לתפקודי רשת אורחים. אולם, ישנם כלים, שפותחו להתמודד עם האתגרים הנ"ל.
כמו שניתן לנייד יישומי רשת
לענן, בטכנולוגית
NFV טמון פוטנציאל הפחתת עלויות בעלות והוצאות הון
CAPEX ע"י ניוד תפקודים מחומרה ייעודית לחומרה גנרית ותחנות וירטואליות
VM. בסביבת ענן, ריבוי-דיירים
Multi-tenant דורש הפרדה לוגית בין המשאבים הווירטואליים של כל דייר. באמצעות תיאום, ניתן לפרוס יישומי
NFV מסוימים בצמתי חישוב נפרדים וניתן להמשיך ולבדל ביניהם באמצעות שימוש ברשתות שונות.
בנוסף, שימוש באזורי ביטחון מאפשר פריסה של יישומי
NFV על שרתים מארחים העונים על דרישות האבטחה, כגון מיקום ורמת קשיחות (לדוגמא, יתכן וחלק מהשרתים המארחים מפעילים את אותה טכנולוגית מחשוב אמינה).
היבט נוסף הוא ניהול עדכונים - היכולת של
NFV להפחית את ההשפעה התפעולית של פריסת עדכוני אבטחה. ניתן להשיק ולבחון אובייקט מעודכן של ה
NFV- בעוד אובייקטים אחרים נשארים פעילים, ניתן לנייד שירותים ולקוחות לאובייקט המשודרג לאורך זמן (אורך הזמן מוגדר ע"י הדרישות התפעוליות) וניתן לסיים את תפקוד האובייקט הישן עם כשל האבטחה מיד עם סיום התהליך.
בנוסף,
NFV מייצר אפשרות תגובה לאירוע בזכות הגמישות האינהרנטית של התצורה. למשל, תגובת אירוע אוטומטית עשויה לכלול עריכה וחלוקה מחדש מהירה וגמישה של המשאבים הווירטואליים.
מאפיין נוסף של וירטואליזציה של תפקודי רשת, שמסייע לשיפור התגובות לאירועים, הוא הקלות היחסית בה ניתן לסיים ולאתחל יישומי
NFV. אם
NFV מסוים הופך לחשוד (באמצעות כניסה לא מורשית בדלת אחורית) ניתן להשיק גרסה לא חשודה, שתחליף אותו ולסיים את תפקוד הגרסה החשודה ולייצר ממנה עותק לטובת ניתוח פורנזי.
בניית מערך אבטחה מקיף עם NFV
על ספקי שירותים לבחור בגישה סיסטמתית בעת פיתוח האבטחה בסביבת
NFV. הסכמה הבסיסית רקורסיבית ביסודה – בניית שירותים מורכבים על גבי שירותים בסיסיים יותר. את האבטחה יש ליישם ב-3 שכבות – פלטפורמת ה
NVF-, אזורי רשת וירטואליים ויישומי הובלה.
פלטפורמת ה-
NVF היא הבסיס הכולל מרכזי נתונים עם יכולות מחשוב בסיסיות, שאליהם הרשתות מתחברות ומערכות הניהול והתפעול כולל מודולים של ניהול ותיאום. את העדיפות העליונה יש לתת לאבטחת הפלטפורמה באמצעות בקרי שליטה ידועים ויצירת אזורים פיזיים ולוגיים. את השלבים הדרושים לווידאו אבטחת הפלטפורמה ניתן לקבץ בהתאם לסוג האבטחה – צמתים פיזיות (למחשוב, אחסון ותקשורת), מערכות ניהול (כגון תוחלת חיים, תיאום ונגישות
API) וקישוריות.
השכבה השנייה באבטחת סביבת
NFV היא פריסת כלי אבטחה וירטואליים. למשל, ספק שירותים יכול לפרוס פיירוולים וירטואליים על מנת להגדיר אזורי רשת חדשים. אלה מאובטחים כמו פיירוול פיזי אבל הם מהירים וגמישים יותר ועולים פחות. סביבה וירטואלית חדשה זו, שעשויה לכלול רשתות נפרדות כשירות, עשויה להיות הרבה יותר מורכבת מכל הובלה ברשת קיימת, אך האבטחה נשענת על בקרים של הפלטפורמה.
שכבת האבטחה השלישית נמצאת ברמת היישום. תפקודים וירטואליים התומכים ביישומים כמו דור 4
LTE, מנהל רשת מוגדר תוכנה
SDNC ושירות הרישום הביתי
HSS מונחים באזורי הרשת שבהם כבר הוטמעה אבטחה. אבטחת הפריסה מובטחת ע"י שילוב של בקרי אבטחה טבעיים של היישום ושל מנגנוני האבטחה ברמת האזור ברשת. זאת, בנוסף ליכולות הפלטפורמה.
אחרי הפריסה, שירותי האבטחה, שמסופקים ע"י היישומים, יכולים באופן רקורסיבי לשפר את אבטחת הפלטפורמה. לדוגמא, שירות
HSS וירטואלי יכול לשמש כגורם אימות לקבלת גישה לתוכנה ברמת הפלטפורמה.
קריאה לאוטומציה
אחת הבעיות עם גישת ריבוי השכבות היא תפיסת המורכבות של המערכת הסופית. גם אם כל תהליכי האבטחה והפוליסות מתועדים והצוות המפעיל את מרכז הנתונים מיומן, יש יותר מידי מידע בשביל להסתמך על תהליכים ידניים. מכאן, שעל ספקים להעביר לאוטומציה תהליכי אבטחה ולהטמיע אותם כחלק ממערכת הניהול המבקרת את סביבת הענן בכלל מרכזי הנתונים וצמתי המחשוב הקיימים. מערכת ניהול מרכזית לשליטה ובקרה יכולה להבטיח הטמעה קבועה ורציפה של מערך האבטחה.
כלים המנטרים את האבטחה עשויים להיות בעלי ערך רב. בשילוב מנגנוני בחינה פנימית, כלים אלה יכולים לבחון בדקדוק רב את הזיכרון של ה
VM- בלי לשנות את ה-
VM עצמו. משימוש כלי ניתוח על גבי המידע שנאסף מהפלטפורמה וכלי אבטחה רבים, מערכת הניהול המרכזית יכולה להעריך, כמעט בזמן אמת, את מצב האבטחה של כלל הענן. במקרה הצורך המערכת יכולה להפעיל פעולות אבטחה בשילוב תיקון בצורה אוטומטית. כמו כן, ניתן לפרוס מווסתי עומס וירטואליים ושרתי
DNS וירטואליים (בנוסף לתפקידם העיקרי), כדי להפחית עוד יותר את השפעתן של מתקפות מניעת שירות
DDOS תוך חיזוק אמצעים מונעי
DOS אחרים.
מאת:
עמליה אברהם, מרץ 2015.
מנהלת פיתוח אבטחה בחטיבת קלאודבנד,
אלקטל-לוסנט ישראל
.jpg?id=20679604)
