Torbz - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Seguridad de redes definidas por software involucra tres factores

La seguridad de redes definidas por software requiere que los equipos de TI garanticen la confidencialidad de los datos, la integridad de la red y la disponibilidad de los servicios de red, junto con el cumplimiento.

El uso de SDN para proteger la red de la empresa no es el final de la historia para las redes y la seguridad definidas por software. Es importante considerar cómo se protege la propia red definida por software, así como las implicaciones de cumplimiento de la utilización de la arquitectura SDN.

Los detalles específicos variarán con la oferta de SDN, pero los principios para la seguridad de la red definida por software siguen siendo los mismos. Para asegurar la plataforma SDN, los equipos de TI deben hacer lo siguiente:

  • Proteger la confidencialidad de los datos que fluyen en la red definida por software;
  • Proteger la integridad del sistema SDN; y
  • Garantizar la disponibilidad continua de los servicios de red.

Para proteger completamente la confidencialidad, es necesario cifrar el tráfico de la red. Los equipos de TI también deben considerar cifrar el canal de control en el entorno, que incluye las comunicaciones entre un controlador SDN y los dispositivos de plano de datos que realmente mueven paquetes.

Además, si un sistema SDN incluye alguna capacidad para almacenar datos en caché, por ejemplo, como parte de una función de registro de vuelo en la red, o si tiene funciones de compresión de datos, puede ser necesario cifrar los datos almacenados en la memoria, o incluso en un disco, en dispositivos de plano de datos o en el controlador.

La integridad es fundamental

Los sistemas SDN pueden defenderse de los ataques, pero esto requiere plataformas reforzadas tanto para los controladores como para los dispositivos de plano de datos. Si el controlador SDN se está ejecutando en un servidor Linux mal protegido, por ejemplo, no importa qué tan seguro esté el sistema SDN en los nodos a un nivel alto.

Cualquier sistema SDN disponible en el mercado debe tener una base segura, ya sea Linux, CentOS u otra cosa, cuando salga de la caja. Del mismo modo, los dispositivos de plano de datos, si se construyen en un modelo de capas –como un sistema operativo de conmutador de bajo nivel con una pila SDN encima– deben estar seguros tanto en el nivel subyacente como en el superior de la pila.

La red definida por software puede, por supuesto, ser reclutada en su propia defensa en niveles más altos. Por ejemplo, debe configurarse para que solo permita que el tráfico de control fluya desde la ubicación correcta, el controlador, y no desde cualquier servidor, computadora portátil o teléfono inteligente al azar en la red.

Disponibilidad para la red definida por software

Los equipos de red utilizan regularmente conmutadores redundantes y rutas de cableado para proteger la disponibilidad de los servicios de red. Lo mismo se aplica a los dispositivos de plano de datos con seguridad de red definida por software, pero la presencia del controlador SDN requiere una planificación adicional.

La redundancia es necesaria para una verdadera continuidad, aunque el plano de datos, en la mayoría de los casos, continuará ejecutando su programación existente en la ausencia temporal de un controlador. Los equipos de TI no pueden modificar el comportamiento hasta que un controlador vuelva a estar en línea, pero los sistemas que usan la red no perderían el servicio.

En algunas ofertas de SDN, el controlador es un dispositivo dedicado. En esos casos, los equipos de TI pueden adquirir una unidad redundante.

En otros casos, el controlador es un software que se ejecuta en hardware básico. TI puede generar una nueva copia en minutos, y también puede ser posible la migración en vivo. Para proporcionar continuidad, TI también puede ejecutar una segunda copia del controlador, ya sea en conmutación por error caliente a frío o en una distribución caliente a caliente, según el diseño y la estructura de costos del sistema SDN. TI también debe comprender y planificar en cualquier momento en que el plano de datos deba ajustarse a la pérdida de un controlador o al cambiar de un controlador a otro.

Cumplimiento en seguridad de redes definida por software

Por último, los equipos de TI deben asegurarse de que continúan cumpliendo con los requisitos de cumplimiento de la organización, ya sea el Reglamento general de protección de datos o cualquier otra cosa dentro del paradigma SDN. TI debe estar preparado para encontrar datos protegidos en caché por un sistema SDN cuando se le solicite, para verificar las protecciones en él o para confirmar definitivamente que la red no contiene datos.

Del mismo modo, TI debe poder mantener los datos fuera de los lugares de la infraestructura de la red donde no deberían ir, guardarlos en los lugares donde deben estar y poder eliminarlos. Esto requerirá saber qué información retiene la red definida por software y por cuánto tiempo. En un caso de uso de WAN, también implica controlar dónde se retiene geográficamente esa información.

GDPR incluye el nombre de un usuario, la ubicación y la dirección IP como datos personales.

Es temprano en la implementación de SDN de la empresa y, posteriormente, en la seguridad de la red definida por software. Los equipos de TI deben tomarse el tiempo para aprender el nuevo paradigma y asegurarse de que la infraestructura SDN sea tan compatible, segura y confiable como la tradicional.

Este artículo se actualizó por última vez en octubre 2018

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close