Software-defined networks (SDN-nätverk) kan vara ett stort lyft för organisationers nätverksadministration, men SDN-nätverk kan även vara ett stort säkerhetshot. Hur man hanterar säkerheten kan vara skillnaden mellan en lyckad implentering eller ett fullkomligt fiasko.

SDN-nätverk innebär mer flexibel kontroll över ett nätverk genom att särskilja systemet som tar beslut om var nätverkstrafiken ska skickas (kontrollplanet) från systemen som skickar trafiken till utvalda destinationer (dataplanet). SDN spås en lysande framtid tack vare möjlighet till automatisering, nätverksvirtualisering och möjligheterna att programmera.

Läs också: Många fördelar med mjukvarudefinierade nätverk - men hur fungerar de egentigen?

I praktiken kan det vara till stor hjälp för organisationer som vill in i områden som cloud computing, mobila enheter och sakernas internet och efterfrågan på SDN väntas öka. IDC förutspår att marknaden för SDN-nätverk kommer vara värd omkring åtta miljarder om två år.

Men allt eftersom tekniken växer ökar även risken för attacker och eftersom SDN-nätverk är en relativt ny teknik vet vi ännu inte så mycket om eventuella säkerhetsproblem.

– En av de största säkerhetsriskerna är att det fortfarande är en relativt omogen teknik, så vi vet inte riktigt vilka typer av säkerhetshot som kan uppkomma än, säger Frank Cervone, it-direktör för School of Public Health vid University of Illinois till Computerworld.

Trots osäkerheten finns det redan säkerhetsexperter som analyserar de eventuella säkerhetshoten inom SDN-nätverk och redan nu har några potentiella säkerhetshot identifierats, framförallt i dataplanet och kontrolllagren.

Många av protokollen i dataplanet är fortfarande nya och relativt otestade, så hur robusta de egentligen är är fortfarande oklart.

– Några av protokollen kräver ingen autentisering eller kryptering, så det är möjligt att de kan vara mål för attacker om de är felinställda, säger Frank Cervone.

Men det är kontrollplanet i SDN-nätverk som säkerhetsexperter pekar på som den stora risken.

– Det blir en single point of failure i ett SDN-nätverk, som förlitar sig väldigt mycket på automation. Om kontrollplanet hackas finns risk för Ddos-attacker, omdirigerad trafik eller exponering av data som skickas, säger Stan Mesceda, krypteringsexpert på säkerhetsföretaget Gemalto.

Läs också: Nästa generations nätverksskydd ställer höga krav på it-avdelningen

Även om vi ännu inte vet vilka typer av attacker som SDN-nätverk kan utsättas för pekar mycket på att just kontrollplanet kommer bli ett hett byte för illasinnade hackare, men även med osäkerheten finns det många saker man kan tänka på för att försöka undvika framtida säkerhetsproblem.

Ett första steg är att vara proaktiv med säkerheten i SDN-nätverket. Allt eftersom SDN-nätverk blir allt vanligare kommer troligtvis även mängden säkerhetshål öka. Organisationer som har eller är på väg att implementera SDN-nätverk gör bäst i att förbereda sig för eventuella attacker och hur man bör hantera dem om de händer. En fördefinierad säkerhetsplan är en bra början när du designar nätverket.

– Designa säkerheten från början i stället för att implementera säkerhetsaspekter i efterhand, säger Chris Krueger, direktör för moln och virtualisering på Cloudfire.

Även vanliga säkerhetsmetoder, som en noggrann kontroll av rättigheter för anställda, kontinuerlig systemövervakning, regelbunden patchning och uppgraderingar är viktiga att tänka på. En nyckel med säkerheten i just SDN-nätverk är att utgå från ett scenario där en attack lyckats och fråga sig vad som händer då. Procedurer som bör finnas med i ett sådant scenario är att identifiera felet, isolera det från resten av nätverket och implementera automatisk självläkning inom nätverket.

– SDN-nätverkens ”best practices” borde i stort vara detsamma som de rutiner man följer inom cloud computing och säkerhet inom nätverksinfrastruktur.

Men osäkerheten gör att det ändå är svårt att skydda sig mot alla tänkbara scenarion. Därför kan även så kallad threat intelligence vara en viktig komponent för att säkra SDN-nätverket. Threat intelligence kan varna administratörer om nya säkerhetshot och det finns allt fler informationskällor som antingen implementeras i säkerhetsverktyg eller som enskilda applikationer.

Det kanske viktigaste säkerhetstipset är kanske ändå att säkerheten inom SDN-nätverk inte är någon ”set it and forget it”.