Dàn ý TÍCH HỢP CÁC GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG MẠNG SDN Các giải pháp bảo mật tổng thể cho hệ thống mạng sdn Với phát triển ngày mạnh mẽ mở rộng SDN, vấn đề bảo mật mạng SDN ngày quan tâm nhiều câu hỏi đặt liệu giải pháp bảo mật có đủ bảo vệ hệ thống mạng SDN Cơ sở hạ tầng CNTT di chuyển sang cloud, tạo thay đổi lớn Trung tâm liệu Mạng lưới hoạt động chuyển đổi từ quản lý điều hành chuyên sâu sang tự động hóa cao Các trung tân liệu tương lai môi trường ảo phải giải đa dạng tập hợp nhu cầu người sử dụng, lúc nào, nơi truy cập vào liệu họ Vấn đề bảo mật mối quan tâm lớn trung tâm liệu Trong liệu người dùng quan trọng phải đảm bảo Trong doanh nghiệp, thiết bị đầu cuối, tài nguyên trung tâm liệu bao gồm thiết bị lưu trữ, máy chủ, switch định tuyến phải đảm bảo Các mối nguy hiểm đe dọa đa dạng, việc ảo hóa mạng dẫn đến nhiều mối nguy hiểm cần phải tìm hiểu có chiến lược bảo mật phù hợp để hạn chế tối đa rủi ro bảo mật xảy Các giải pháp bảo mật tích hợp để bảo vệ hệ thống mạng: • Tường lửa cho phòng thủ kiểm soát vùng miền nội • Hệ thống phát xâm nhập (IDS) hệ thống ngăn chặn xâm nhập (IPS) khỏi họat động giám sát mạng, hoạt động độc hại vi phạm sách cố gắng để ngăn chặn công • Secure Sockets Layer (SSL), mạng riêng ảo (SSL VPN) cung cấp giải pháp an toàn cho khách hàng miền riêng biệt truy cập từ xa • Các giải pháp quản lý mạng cố gắng để quản lý tập trung nhiều chức bảo mật thông qua giao diện điều khiển • IEEE 802.1X xác thực dựa port kiểm soát truy cập • IPsec để xác thực end-to-end mã hóa gói liệu IP phiên truyền thông • Transport Layer Security (TLS) cho lớp ứng dụng mã hóa thông tin liên lạc bảo mật tầng Transport • Các truy cập từ xa sử dụng dịch vụ RADIUS, cung cấp chứng thực tập trung, ủy quyền xác thực (AAA) quản lý cho thiết bị cuối để sử dụng dịch vụ mạng Hình 3.3: Các giải phát bảo mật chung SDN dựa Openflow cung cấp số thuộc tính đặc biệt thích hợp cho việc thực môi trường an toàn cao dễ quản lý: • Các mô hình luồng lý tưởng cho việc xử lý an toàn cung cấp kết nối endto-end, mô hình dịch vụ có định hướng kết nối mà không bị ràng buộc chế độ định tuyến truyền thống • Controller logic tập trung cho phép thực có hiệu giám sát mối đe dọa toàn mạng • Quản lý sách dựa ứng dụng, dịch vụ, tổ chức tiêu chí địa lý cấu hình vật lý • Các sách an ninh tài nguyên dựa nguyên tắc quản lý hợp đa dạng thiết bị với mối đe dọa có nguy khác nhau, từ tường lửa bảo mật cao bảo mật thiết bị để truy cập vào thiết bị • Linh động điều chỉnh linh hoạt sách bảo mật cung cấp chương trình kiểm soát • Tấn công ngăn chặn nhanh chóng cô lập xâm nhập mà không ảnh hưởng đến người sử dụng mạng khác Bằng cách kết hợp liệu trạng thái mạng hiệu suất cao thời gian thực, SDN tạo điều kiện cho việc định thông minh, khả linh hoạt, vận hành dễ dàng cải thiện an ninh cho sở hạ tầng chung Để đảm bảo hệ thống dựa SDN an toàn ta cần quan tâm bảo mật cho lớp kiến trúc SDN • • • • • • • • Bảo mật Data plane Xác định rõ vùng ranh giới an toàn tin cậy Đảm bảo danh tính mạnh mẽ Xây dựng bảo mật dựa tiêu chuẩn mở Bảo vệ an toàn thông tin Traid Bảo vệ liệu hoạt động liên quan Làm cho hệ thống mặc định an toàn Bảo vệ trách nhiệm truy xuất nguồn gốc Các tính chất quản lí an ninh tập trung Bảo mật Control Plane Controller mục tiêu công cần phải bảo vệ an toàn Các tổ chức muốn theo dõi chặt chẽ controller họ hoạt động đáng ngờ, ngăn chặn truy cập trái phép vào mạng điều khiển SDN Hệ thống SDN cần cho phép cấu hình truy cập quản trị điều khiển cách bảo mật xác thực RoleBased Access Control (RBAC) chí yêu cầu người quản trị Đăng nhập kiểm tra hữu ích cho việc kiểm tra cho thay đổi trái phép người quản trị kẻ công Nếu có công DoS vào controller, controller cần có khả sẵn sàng cao (high availability) SDN sử dụng controller dự phòng controller chịu tổn hại tiếp tục hoạt động Điều yêu cầu kẻ công phải cố gắng nhiều để DoS tất controller hệ thống Bên cạnh đó, công lút mục tiêu kẻ công không bị phát 3.1 Bảng mô tả giải pháp đề xuất Replication – Dự phòng Bất kỳ hệ thống lớn phụ thuộc vào thực thể coi đáng tin cậy Như hệ quả, yêu cầu đề nghị lưu dự phòng tài sản mạng cần thiết đời chế fall-back Các controller cần phải nhân đôi để đảm bảo phục hồi nhanh chóng Mặc dù switch kết nối vật lý phải bảo đảm tốt, biện pháp có sẵn tập hợp liên kết đường vòng đường dẫn thông thường thách thức SDN Các kênh điều khiển thân an toàn nhờ sử dụng kết nối bổ sung Một mối quan tâm thực tế liên kết điểm thất bại Nếu kẻ công tiêm nhiễm thành công gói tin TCP FIN để làm gián đoạn thông tin liên lạc chính, tất kết nối phụ trợ thành lập trước bị chấm dứt Switch tự động chọn kết nối Trọng tâm khả sẵn có phục hồi phân phối controller, vấn đề trung tâm SDN Không an ninh mà khả mở rộng hiệu mối quan tâm Do controller mở rộng thêm chức thiết bị phân phối nguyên bản, có khả quản lý phần khác mạng sở liệu chia sẻ Controller phức tạp, hoạt động cụm kết hợp giao diện truyền thống xây dựng lớp proxy ứng dụng SDN Với mục đích nhân rộng, phân tán vật lý, logic tiếp cận tập trung với chế dự phòng triết lý phù hợp Nó điều cần thiết mà kiến trúc controller thực khái niệm master / slave giao thức OpenFlow cung cấp khả chịu lỗi tối thiểu Controller thiết kế để thích nghi với thiết kế mạng cung cấp khả kết nối kiểu mạng khác Trong trường hợp controller bị công, controller lân cận thông báo tính toán lại đường cho phù hợp, tương tự hành vi giao thức định tuyến truyền thống DISCO không cung cấp chế tái tạo khả chịu lỗi DISCO không làm giảm tải controller cách phân vùng mạng vào lĩnh vực nhất, phần giải pháp để ngăn chặn DoS đảm bảo vững mạnh Việc phân định trách nhiệm kiểm soát cung cấp khả mạnh mẽ chống lại tải kênh làm giảm tác động mạng bị công Tootoonchian et al., 2014 xác định vấn đề thiết kế controller phân phối Onix kiến trúc tương tự không giải tải cao controller nhất, xác định sơ suất an toàn giao thức OpenFlow Để tiếp cận vấn đề cân tải, controller phân phối động chia sẻ tải mạng tập hợp controller Sử dụng phương pháp đàn hồi, công DoS bị suy yếu đáng kể chia sẻ khối lượng công việc nhiều thiết bị Thiết kế controller tập trung nhiều vào khái niệm master / slave giao thức OpenFlow Là thiết bị bổ sung kết nối với switch, khả chịu lỗi control plane đảm bảo Một nhược điểm thiết kế kết nối TCP ngang hàng controller thiếu xác thực Các controller trì phân phối liệu qua kết nối TCP, thiết bị độc hại thao tác Các ứng dụng phối hợp với controller tiêu chuẩn phương pháp khác để phân phối Hyperflow ví dụ tảng phân phối linh hoạt Các ứng dụng cài đặt controller kết nối đến controller phân phối liệu Sau kết nối, controller lưu trữ lấy thông tin sở liệu cách định kỳ Nếu controller không tự broadcast, ứng dụng Hyperflow giả lập thiết bị bị công kết nối lại switch để tiếp tục điều khiển Nhìn chung, khía cạnh quan trọng SDN từ chối dịch vụ, thất bại control plane giải cách triển khai nhiều controller đồng mạng Tích hợp bảo vệ mạng với Replication Diversity 3.2 Diversity – Đa dạng Động lực cho đời SDN xóa bỏ việc phụ thuộc nhà cung cấp áp dụng tiêu chuẩn mở Mạng bao gồm tập hợp rộng phần cứng khác phần mềm bị lỗi phát triển chung dành riêng cho thiết bị cụ thể Các nhà khai thác tận dụng lựa chọn rộng lớn phần mềm hệ điều hành để thực cấu hình mạng tối ưu Sự tập trung vào giải pháp mã nguồn mở SDN cho thấy tiềm lớn để triển khai loạt giải pháp chuyên biệt đa dạng để tăng độ vững an ninh mạng Cơ sở hạ tầng khác yêu cầu thiết kế controller chuyên dụng cho hiệu suất tính bảo mật riêng Nếu đa dạng có mặt mạng, yếu tố tác động lỗ hổng bảo mật độc lập giảm thiểu đáng kể Đa dạng giải cụ thể mối đe dọa từ chối dịch vụ cách giảm khả chung switch controller lỗi cho kẻ công Số lượng lỗ hổng an ninh nguy giả mạo phần mềm tăng với loại controller khác nhau, lỗi phần mềm không ảnh hưởng đến tất thành phần mạng Nếu switch controller khả công, thiết bị miễn dịch lý thuyết tiến hành tải mạng ngăn chặn công từ chối dịch vụ Mặt khác, đa dạng cao vi phạm nguyên tắc thiết kế an toàn Saltzer & Schroeder việc giữ hệ thống đơn giản Nhiều controller switch khác mạng gia tăng phức tạp xác suất lỗi mà SDN cố gắng để giải Tóm lại, đa dạng bị bỏ quên SDN bắt buộc vấn đề an ninh, độ tin cậy đủ để triển khai mạng Tuy nhiên, không nguyên tắc thực hiện, controller có khả tương tác đòi hỏi tiêu chuẩn quy trình giao diện hướng Nam Tại thời điểm đa dạng không thực tế 3.3 Self-Healing Mechanisms – Cơ chế tự phục hồi Cơ chế tự phục hồi (self-healing mechanisms) vấn đế phức tạp xây dựng thiết kế mạng an toàn Có thể giả định chế Self-Healing dựa quy định bảo mật trước Sao lưu giám sát controller cô lập thay thiết bị bị công chuyển hướng công đến máy chủ mạnh mẽ Khía cạnh tự phục hồi lỗi khả tự động sửa lỗi thiết bị data plane, ví dụ sau phát switch bị lỗi kết nối kẻ công Controller liên tục trì nhìn toàn mạng triển khai chế phục hồi định tuyến độ tin cậy giao thức truyền thống cách hoàn thiện hiệu Tuy nhiên, thực tế switch phải chờ đợi lệnh điều khiển trước chuyển tiếp vào đường dẫn lưu, OpenFlow phải đối mặt với thách thức việc đạt cần 50 ms thời gian phục hồi Một phương pháp thiết thực để giải vấn đề mạng lớn việc cài đặt chủ động fail-over (chế độ dự phòng) switch Các luồng liên kết với nhóm bảng chuyên biệt, hỗ trợ khả để phù hợp với luồng gói tin dựa trạng port liên quan Khi liên kết trực tiếp xuống, việc chuyển đổi đến đường dẫn ưu tiên hơn, phù hợp, đường dẫn lưu phục hồi cung cấp mà không cần phải bổ sung tính toán Thứ hai, kết hợp thực dựa trạng thái cổng, switch OpenFlow không nhận thông báo công chuyển tiếp lưu lượng truy cập vào ngõ cụt control plane tính toán lại cấu trúc liên kết Trong trường hợp controller bị công, switch bị ảnh hưởng chọn controller dự phòng điều khiển controller lại Sau liên kết bị công, kết nối phụ dễ bị tổn thương thiếu kết nối lưu Một vấn đề việc xác minh sửa chữa bảng flow bị thay đổi cấu trúc liên kết mạng Trong tài liệu bảo mật ONF đưa xác thực xác minh tính toàn vẹn cho thông điệp giao thức, thiết bị bị công đưa liệu vào controller độc hại switch 3.4 Dynamic Device Association – Kết hợp thiết bị Cơ chế bảo mật thứ tư xung quanh nguyên tắc Dynamic Device Association Theo nhóm nghiên cứu, switch tự kết hợp với nhiều controller để chịu công để tăng cường tổng thể vững mạnh mạng Cách tiếp cận này, nhiên, phần lớn bao phủ với đời Replication chế Self-Healing Một khía cạnh gợi ý để cung cấp switch lập trình CPU đa mục đích Mục đích để tạo switch thông minh, có khả phát mã độc điều khiển tự động kênh điều khiển cân tải Nhóm nghiên cứu cho data plane hữu ích việc cung cấp bảo mật khả chịu lỗi Switch lập trình bị hướng công lỗi phần mềm Switch cần phải cấu hình riêng để hoạt động Ngoài ra, phát triển switch lập trình thiết bị tương thích chuyên dụng phải dựa vào chấp nhận nhà cung cấp, rào cản mà thiết kế mạng không vượt qua khứ Switch cần điều chỉnh để thích ứng với mô hình có khả cung cấp tự báo cáo cấu trúc liên kết, lỗ đen hay nút quan trọng mạng Thật vậy, số lượng đáng kể biện pháp thiết kế chuyển đổi nhằm đưa tự động cân tải định tuyến chọn lọc mặt phẳng liệu công bố 3.5 Xây dựng mối tin tưởng controller thiết bị Các nhà nghiên cứu đề xuất chế điều tra phát bất thường để tìm theo dõi hành vi đáng ngờ mạng Switch controller trì ngưỡng tin tưởng xứng đáng thiết bị Một đạt đến giới hạn, thiết bị tự động phân lập, bất chấp có xác thực hay không Các thuật toán, ứng dụn controller nhằm phát báo cáo hành vi bất thường mạng phát triển 3.6 Xây dựng mối tin tưởng controller phần mềm Do đa dạng cấu hình mạng, ứng dụng điểm yếu nhạy cảm SDN Cơ chế bảo mật để xác minh theo dõi tính hợp pháp ứng dụng mạng cần thiết Vì lý này, nguyên tắc thiết kế thứ năm đòi hỏi mối quan hệ tin cậy ứng dụng phần mềm điều khiển Ứng dụng tích hợp trực tiếp vào controller ký kết người quản trị đóng gói với thông tin trước chúng thực Tất ứng dụng chia thành cấp độ đặc quyền, gồm APP (mặc định), SEC (ứng dụng bảo mật) ADMIN Tùy thuộc vào vai trò ứng dụng, cho phép để thực tập hợp quy tắc thay đổi yêu cầu Hoạt động vượt đặc quyền giao bị từ chối Nếu quy tắc xung đột phát sinh lệnh bắt nguồn từ ứng dụng khác nhau, SE-Floodlight chọn hoạt động đặc quyền cao hơn, cung cấp hiệu ứng dụng đặc biệt với khả ghi đè lên flow rule tầng thấp Các ứng dụng đăng ký nhận dạng tất hoạt động ghi nhận cho mục đích kiểm soát điều tra Tuy nhiên, ứng dụng chia thành nhóm admin chế độ không admin dựa xác thực chúng phải yêu cầu cho phép cho nhiệm vụ khác trước Nếu vai trò không phù hợp, yêu cầu bị từ chối ID ứng dụng ghi hoạt động tính ONOS nhiều khả sử dụng để phân tích điều tra Các phương pháp xác thực dựa vai trò làm giảm đáng kể mối đe dọa ứng dụng xấu SDN Hơn nữa, khác biệt cấp độ truy cập hạn chế nguy leo thang đặc quyền 3.7 Security Domain Miền bảo mật kỹ thuật hữu hiệu để hạn chế tiếp cận với SDN Cụ thể để SDN cần thiết phải tách riêng điều khiển khỏi ứng dụng dịch vụ mạng lại Khai thác ứng dụng điều khiển đôi với kiểm soát truy cập chặt chẽ làm giảm nguy hư hỏng phần mềm ngăn chặn nhiều mối đe dọa control plane Tăng cường kiểm soát truy cập mạng, xác minh máy chủ hạn chế dịch vụ SDN cách hữu hiệu đối an toàn mạng 3.8 Secure Component Để đảm bảo bí mật toàn vẹn liệu, thành phần bên SDN thiết bị cần phải bảo vệ Các liệu nhạy cảm sách, thông tin mô tả dịch vụ Một làm lộ thông tin sở liệu tiết lộ số lượng lớn thông tin mạng Hai biện pháp xác thực TLS SSH sử dụng, nhiện hai yếu tố biện pháp xác thực không cần thiết Việc mã hóa gây độ trễ dòng chảy hiệu suất Do đó, nguyên tắc bảo mật dư thừa Căn vào liệu gói tin, đồ thị mạng sở liệu lưu lượng xây dựng Bất kỳ sai lệch cấu trúc liên kết tin cậy, cố gắng để giới hạn mục bảng switch, mô hình lưu lượng mức báo cáo cho quản trị viên Bảo mật Application Plane Application Plane cho phép ta lập trình dịch vụ ứng dụng bảo mật thông qua giao diện điều khiển hướng Bắc DefenseFlow ứng dụng phát mạng DDoS công dòng lưu lượng triển khai lớp ứng dụng SDN Sử dụng TLS hay SSH để bảo đảm thông tin liên lạc hướng Bắc xem cách tốt Một cách khác để giúp bảo mật cuối đảm bảo ứng dụng hướng bắc mã hóa an toàn Điều có nghĩa phương pháp xác thực mã hóa nên triển khai tất thông tin liên lạc ứng dụng dịch vụ yêu cầu dịch vụ SDN liệu điều khiển phục vụ yêu cầu