Fünf Gründe warum IT-Profis noch nicht für SDN-Investitionen bereit sind

Aus Security-Gründen empfehlen einige IT-Abteilungsleiter derzeit den Einsatz von SDN nicht. Es gibt allerdings auch noch andere Gründe.

SDN (Software-defined Networking) wird langsam aber sicher in übergroßen Unternehmen Realität, die hohe Anforderungen...

an die Netzwerk-Performance haben und dafür jeden Preis in Kauf nehmen. Das sieht bei nicht so riesigen und mittelständischen Unternehmen allerdings völlig anders aus.

Anbieter preisen SDN explizit an und Analysten sagen für 2016 eine solide Marktakzeptanz voraus. Die meisten Netzwerk-Techniker der Firmen berichten allerdings, dass man für eine SDN-Investition noch nicht bereit sei. Zunächst müssten einige zentrale Fragen und Anliegen adressiert werden.

Eine Gruppe von IT-Abteilungs-Leitern wurde für diesen Artikel interviewt. Man hat diese IT-Verantwortlichen über die Sorgen hinsichtlich der verminderten Security-Performance und den nicht vorhandenen SDN-Standards befragt. Diese verhindern Investitionen, auch wenn zu SDN geraten wird. Zumindest gilt das derzeit und für die nahe Zukunft.

SDN-Investitions-Sorge Nummer Eins: Security- und Monitoring-Performance

IT-Mitarbeiter haben in erster Linie Angst, dass das Security-Monitoring leidet, wenn der SDN-Stack auf den Hypervisor und die physische Infrastruktur trifft.

„Bevor wir SDN für Unternehmens-entscheidende und sichere Umgebungen einsetzen, müssen die Anbieter daran arbeiten, wie der SDN-Software-Stack mit dem Hypervisor in Cloud-Umgebungen und der Virtualisierungs-Schicht interagiert“, sagt George Magklaras, leitender System-Techniker beim Biotechnology Center in Oslo.

Wenn die IT heutzutage einige Byte mithilfe eines Juniper-Geräts versendet, gibt es statische Überprüfungen, die es Angreifern erschweren, Malware für Informations-Lecks laufen zu lassen. „Das gilt allerdings nicht, wenn man über das selbe Szenario spricht und Cloud-Stacks und Hypervisoren verwendet“, fügte Magklaras an.

Wird IDS/IPS in einer SDN-Umgebung funktionieren?

Magklaras ist auch leitender Berater bei Steelcyber Scientific. Dort betreibt er einen SDN-Pilot für ein großes Finanzinstitut. Die Experten wollen hier hauptsächlich untersuchen, inwiefern die Security-Performance leidet., vor allem bei IDS/IPS.

Das Team um Magklaras hat einen OpenDaylight-basierten SDN-Controller in einer Umgebung mit Cisco- und HP-Hardware implementiert. „Wir waren für die Pilot-Migration von ungefähr 60 VLANs Richtung OpenDaylight-Kontrolle verantwortlich und haben ein Private-Cloud-Modell mit OpenStack verwendet“, sagt Magklaras.

Probleme taten sich beim Netzwerk-Monitoring für hereinkommende und ausgehende IDS-/IPS-Systeme auf, sagte er. IDS/IPS funktioniert, indem man gewisse Ports anzapft, um den gesamten Traffic eines VLAN- oder Netzwerk-Segments für Sniffing zu replizieren. 

Herkömmliche Switch-Hardware und -Software repliziert diesen Traffic und leitet ihn an das entsprechende IDS/IPS-System weiter. SDN verwendet hingegen einen Hypervisor und allgemeine Betriebssystem-Routinen, um den Traffic zu replizieren.

„Wir haben auf verschiedenen IDS/IPS-Systeme Tests durchgeführt. Diese haben gezeigt, dass SDN ungefähr 25 bis 30 Prozent der Angriffs-Vektor-Ereignisse verliert. Das hängt unseren Vermutungen zufolge damit zusammen, dass der SDN-Software-Stack langsamer bei der Replikation des Traffics auf den Ports ist. Weiterhin gehen dabei Ethernet-Frames und -Traffic verloren“, erklärt Magklaras.

Probleme bei der Verfolgung von MAC-Adressen

Das Team um Magklaras fand zudem ein Problem im Zusammenhang mit der Verfolgung der MAC-Adressen bei Geräten, die mit drahtgebundenen und drahtlosen Netzwerken verbunden waren. 

„Viele der aufgezeichneten MAC-Adressen waren falsch. Der Grund waren Fehler in der SDN-Software“, sagt Magklaras. „Die SDN-Software hat MAC-Adressen in verstopften Netzwerk-Segmenten verworfen. Das Problem an dieser Stelle lag bei PXE-Boot. Das SDN hat sogar die MAC-Adressen in seiner Software-Registry beschädigt“, fügt er an.

Der Hypervisor ist ein Security-Schwachpunkt

Während dieser Tests hat Magklaras herausgefunden, dass Angreifer unter bestimmten Umständen den Hypervisor angreifen können. Somit sehen sie Netzwerk-Traffic, der nicht exponiert sein sollte.

Sobald die Hypervisor-Security umgangen ist, könnte eine nicht autorisierte Partei laut Magklaras root-Rechte verwenden, um die VLANs zu infiltrieren.

VMware und andere Firmen arbeiten daran, diese Security-Bedenken zu adressieren. „Die Sicherheitslücken sind allerdings nicht geschlossen“, erklärt der Experte. „Deswegen ist es problematisch, Finanzinstituten und anderen Kunden SDN-Stacks zu empfehlen. Uns ist natürlich bewusst, dass sich damit irgendwann Geld sparen lässt und der Technologie die Zukunft gehört. Im Moment müssen wir allerdings vorsichtig sein“, meint der Profi.

SDN-Investitions-Sorge Nummer Zwei: Automatisierung kontrollieren und DevOps-Aufgaben

SDN hat deswegen viel Begeisterung ausgelöst, weil es die Fähigkeit besitzt, Richtlinien-basierte Entscheidungen hinsichtlich des Traffics und seiner Quelle, sowie seinem Ziel zu fällen. Das alles wird von einem zentralen Punkt aus erledigt.

SDN verspricht aber auch Automatisierung und dynamisches Provisioning. Diese Punkte treiben den Netzwerk-Profis die Sorgenfalten auf die Stirn. Im Speziellen wollen Netzwerk-Techniker SDN für DevOps verwenden, um ein Framework zu erschaffen, dass heterogene Anbieter-Hardware mit einer Engine verbindet, die Services für Kunden automatisch bereitstellen kann. Sie investieren wohl kaum in SDN, solange nicht bewiesen ist, dass dies der Realität entspricht. Dieser Meinung ist Christian Teeft, CTO des Cloud-Providers Latisys.

„Latisys hat sich einige der Leistungsmerkmale von Arista Networks zunutze gemacht, um Phase-One-Orchestrierung, sowie Provisioning-Automatisierung zu betreiben. Das tun deswegen nicht mehr Unternehmen, weil Ihnen die Ressourcen hinsichtlich DevOps fehlen, um die existierenden Provisioning-Systeme auf dieses Niveau zu heben“, sagt Teeft.

SDN-Investitions-Sorge Nummer Drei: Man ist damit nicht vertraut

Netzwerk-Profis lesen sehr viel über die Vorteile von SDN. Sie haben die dynamische Infrastruktur allerdings nicht in Aktion gesehen. Auf der anderen Seite sind die existierenden Umgebungen sehr gut ausgefeilt. Die Netzwerk-Techniker haben ihre eigenen etablierten Methoden, um Netzwerk-Aufgaben zu realisieren. Diese Methoden benötigen vielleicht viel Zeit, aber sie funktionieren.

„Netzwerk-Techniker müssen in der Lage sein, das mit SDN zu realisieren, was sie im Moment mit bekannten Hardware- und Software-Kombinationen erledigen“, sagt Magklaras.

„Unsere Netzwerk-Techniker müssen verstehen, wie SDN die speziellen Anforderungen ihrer Kunden erfüllt“, erläutert Jason Parry, VP von Client Solutions bei Force3 und früherer Manager der Netzwerk-Technik bei SafeNet Inc.

„SDN ist immer noch neu. Es verändert, inwiefern wir Netzwerke ausrollen, managen, verwalten und konfigurieren. Das Versprechen von SDN ist Netzwerk-Automatisierung, -Orchestrierung und verbesserte Effizienz. Meine Netzwerk-Techniker wollen erst sehen, dass sich SDN in dieser Hinsicht unter Beweis stellt“, sagt er.

SDN-Investitions-Sorge Nummer Vier: Keine Standards oder Kompetenzen für SDN

Damit Techniker mit SDN umgehen können, brauchen Sie neues Fachwissen. Sie sind sich allerdings nicht zwingend darüber in Klaren, wo sie beginnen sollen. Es ist nämlich nicht sicher, welche SDN-Strategie sich durchsetzen und halten wird.

„Netzwerk-Techniker wollen verstehen, wie SDN ihre existierenden Kompetenzen beeinflusst“, meint Parry.

Techniker wollen sich auf Standards stützen, wie SDN implementiert wird. Ist das erledigt, wollen Sie wissen, welche Fähigkeiten und Kompetenzen man sich aneignen muss. Vor gerade mal zwei Jahren nahm man an, dass OpenFlow für SDN eine zentrale Rolle spielt. Nun ist es allerdings bei vielen Anbietern und Branchen-Organisationen in Ungnade gefallen.

„Im Moment müssen Netzwerk-Techniker von allen Bereichen wenigstens ein bisschen in Erfahrung bringen, was sich gerade abspielt. Das gilt auch für OpenFlow“, sagt Parry.

SDN-Investitions-Sorge Nummer Fünf: SDN an die Entscheider verkaufen

Selbst wenn sich Netzwerk-Profis und IT-Manager mit SDN angefreundet haben und die Vorteile zu schätzen wissen, müssen sie immer noch die Vorgesetzten von einer Investition überzeugen. Das wird allerdings nicht einfach.

„SDN hat noch nicht abgehoben, weil es sehr viel Zeit, Geld und neue Hardware erfordert. Dem Aufsichtsrat diese Langzeit-Vision zu verkaufen, dafür sind viele CIOs derzeit nicht vorbereitet“, sagt Ben Rothke, Informations-Security-Manager bei einem internationalen Tourismus-Unternehmen.

Die Einführung von SDN setzt riesige Anstrengungen bei der Umstrukturierung voraus. „Viele CIOs haben ganz einfach nicht die Zeit, das Personal und das Geld, um dies umzusetzen“, erklärt er. Es herrscht das Gefühl von „nur einer weiteren Netzwerk-Methode“, mit der man sich herumschlagen muss. Das schrecke Leute ab, fügt er an.

Gäbe es mehr und konkrete SDN-Anwendungsfälle, ließe sich die Technologie möglicherweise einfacher verkaufen.

„SDN definiert eine aufkommende Architektur. Der entscheidende Begriff an dieser Stelle ist aufkommend. Die Technologie entwickelt sich und wächst. Bisher gibt es allerdings nicht viele Erfolgs-Geschichten zu vermelden“, sagt Rothke.

Rothke ist der Meinung, dass er dann SDN-Investitionen mit gutem Gewissen empfehlen könne, wenn ihm die Mehrheit seiner Kollegen bestätigen, dass SDN funktioniert.

Ich brauche keine White Paper von Anbietern, Webinare oder Frühstücks-Workshops. Wenn meine Kollegen und Mitstreiter bestätigen, dass die Sache funktioniert und nicht nur auf die Technologie schwören, dann hat man Klarheit“, fügt er an.

Folgen Sie SearchNetworking.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Januar 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Software Defined Networking (SDN)

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close