ralwel - Fotolia

Mit einer NFV-Infrastruktur kommen neue Sicherheits-Herausforderungen

Eine NFV-Infrastruktur bringt neue Sicherheitsrisiken. NFV-Sicherheit wird daher zunehmend zu einem strategischen und organisatorischen Thema.

Network Functions Virtualization (NFV) erhöht zwar die Sicherheit des Netzwerks, bringt aber neue Risiken und Herausforderungen für die Absicherung dieser virtuellen Netzwerke mit sich. Service-Provider sollten daher darauf achten, wie sich die Implementierung einer dynamischen NFV-Infrastruktur auf ihre allgemeinen Sicherheits-Frameworks auswirkt. Es geht darum, bereits bei der Bereitstellung der verschiedenen NFV-Anwendungen und virtuellen Netzwerkfunktionen (Virtual Network Functions; VNFs) NFV-Security zu berücksichtigen.

Wenn Service Provider auf eine NFV-Infrastruktur migrieren, müssen sie darauf achten, dass die Netzwerke sicher und zuverlässig arbeiten. Schließlich bringen die Virtualisierung und die damit verbundenen Ressourcen im Rechenzentrum andere Sicherheitsherausforderungen mit sich als traditionelle Telekommunikationsausrüstung.

Die Service-Provider müssen sich jetzt um den Schutz zahlreicher API-zu-API-Verbindungen sowie des umfangreichen Ost-West-Datenverkehr kümmern, sprich des Datenverkehrs zwischen Servern oder virtuellen Maschinen innerhalb des Rechenzentrums. Der Betrieb mehrerer Anwendungen auf gemeinsamen Datenressourcen ist ein wichtiger Vorteil von NFV – allerdings verwischen dadurch die Grenzen zwischen den Ressourcen, auch der Einsatz bestimmter Sicherheitsrichtlinien wird anspruchsvoller. Da NFV Workloads dynamisch verarbeitet, ist es nicht möglich, Security einfach hinzuzufügen. Stattdessen müssen Sicherheitsfunktionen in die NFV-Plattformen und -Anwendungen eingebaut werden. NFV sorgt allerdings für höhere Komplexität, da der virtuelle Ansatz die traditionellen Methoden der Netzwerksicherheit durch Asymmetrien in Frage stellt. Ursache dafür sind mehrere redundante Netzwerkpfade und -geräte.

Hier die wichtigsten Sicherheitsbedrohungen für virtuelle Telekommunikationsnetzwerke:

  • DDoS-Attacken (Distributed Denial of Service), die den Mobile Core oder den Virtual Evolved Packet Core mit Anfragen fluten und so im schlimmsten Fall außer Gefecht setzen;
  • Eindringen von Malware, Man-in-the-Middle-Attacken etc.;
  • Diebstahl von Services.

Da die NFV-Infrastruktur sehr offen ist und auch die Integration mehrerer Anbieter ermöglicht, entstehen zusätzliche Gefahren für sensible Kundendaten. Daher sollten Service-Provider ihre Lösungen stärker verschlüsseln – insbesondere für die API-zu-API-Kommunikation. Auch die rechtmäßige Überwachung des TK-Verkehrs durch die Service-Provider wird in einer virtuellen Umgebung anspruchsvoller, da sich das Volumen des Datenverkehrs sowie die Workloads permanent ändern.

Telekommunikation profitiert von NFV-Sicherheit

Folgende Vorteile, die mit NFV allgemein für die Telekommunikationsinfrastruktur entstehen, gelten auch für die Sicherheit des Netzwerks: Agilität, Skalierbarkeit und kostengünstige Nutzung von Ressourcen im Rechenzentrum. Da NFV den Netzbetreibern mehr Kontrolle und Flexibilität bietet, sind Sicherheitsfunktionen möglich, die in einer herkömmlichen Umgebung nicht realisierbar oder sehr teuer wären. Ein Beispiel: Mit Tap-as-a-Service-Funktionen können Service-Provider den Datenverkehr in größeren Teilen des Netzwerks in Echtzeit überwachen. Durch die zentrale Steuerung über Software-defined Networking (SDN) und die damit verbundene Transparenz sind die Betreiber zudem in der Lage, Netzwerkanomalien schneller zu erkennen.

NFV-Sicherheit implementieren

Da NFV mit einer neuen Netzwerkarchitektur verbunden ist, müssen Unternehmen auch das Design der Netzwerksicherheit an die virtuellen, offenen und dynamischen Netzwerke der Zukunft anpassen. Neue NFV-Implementierungen sollten, wenn möglich, Sicherheitsfunktionen in jeder Schicht der Infrastruktur integrieren. Anbieter, die OpenStack für ihre NFV-Infrastruktur einsetzen, müssen kommerzielle OpenStack-Distributionen härten und absichern, um ihre Anforderungen zu erfüllen. Auf der Management- und Orchestrierungsschicht sind Funktionen für Sicherheits-Management und Automatisierung notwendig, auf dem Anwendungs-Layer vorgefertigte Sicherheitsrichtlinien, damit sich neue Services schnell verteilen lassen.

Service-Provider können über die Kombination von SDN und NFV die Netzwerksicherheit zentralisieren und automatisieren. NFV stellt verschiedene Arten von virtuellen Sicherheits-Appliances schnell bereit, während der SDN-Controller verdächtige Daten identifiziert und an die Sicherheitskontrolle weiterleitet.

Zum Schutz ihrer virtualisierten Netzwerke können Service-Provider mit einer breiten Palette von Herstellern zusammenarbeiten. Dazu gehören traditionelle Netzwerkgeräteanbieter wie Cisco, Ericsson und Nokia, IT-Player wie Hewlett Packard Enterprise, Oracle und IBM, Halbleiterhersteller wie Intel und NXP Semiconductors sowie eine Vielzahl von Spezialisten für Netzwerksicherheit, darunter Palo Alto Networks, F5, Fortinet und Check Point. Möglicherweise benötigen die Service-Provider die Hilfe eines Systemintegrators, um die vielen Funktionen und Möglichkeiten für IT- und Netzwerksicherheit in ihre bestehenden physischen und virtuellen Netzwerke zu implementieren.

Empfehlungen für Service-Provider

NFV verwandelt das traditionelle Telekommunikationsnetz rasant in eine Mischung aus physischen und virtuellen Komponenten. NFV bietet die Chance für neue Ansätze in der Netzwerksicherheit, sorgt aber auch für neue Risiken und Security-Herausforderungen. Service-Provider müssen den Datenverkehr im Netzwerk und außerhalb absichern, Perimeterschutz alleine genügt nicht mehr. NFV verbessert die Netzwerksicherheit durch Automatisierung, granulare Kontrollen und kosteneffiziente Skalierbarkeit – sofern die Lösung sorgfältig geplant und implementiert wird.

NFV-Sicherheit wird für führende Service-Provider zunehmend zu einem strategischen und organisatorischen Thema. IT-, Sicherheits- und Netzwerkteams müssen eng zusammenarbeiten, um virtuelle und physische Netzwerke zu planen, zu verwalten und zu betreiben. Da sich neue VNFs schnell im Netzwerk bereitstellen lassen, ist Sicherheit über den gesamten Anwendungslebenszyklus hinweg zu planen. Zudem sollten Service-Provider ein Template entwickeln, das Sicherheitsservices für neue Anwendungen ermöglicht. Dabei gilt: Bei der Auswahl einer Lösung können sie durchaus auf klassische Security-Software setzen, müssen aber die Netzwerksicherheit individuell anpassen und integrieren, um ihren spezifischen Anforderungen gerecht zu werden.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Die Wechselbeziehung zwischen SDN und NFV verstehen.

Wie SDN und NFV das Provisioning von Netzwerk-Service-Chains vereinfachen.

Wenn die Vorteile der Netzwerk-Virtualisierung nicht ausreichen.

Der Anwendungsfall entscheidet: Netzwerk-Virtualisierung zwischen SDN und NFV.

Artikel wurde zuletzt im November 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Software Defined Networking (SDN)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close