peshkova - Fotolia

NFV: Sicherheit und Innovation gehören zusammen

Telko-Anbieter virtualisieren Netzwerkfunktionen, für die sie früher Hardware einsetzen. Network Functions Virtualization (NFV) muss dafür hohe Sicherheit garantieren.

Lange Zeit haben Telekommunikationsunternehmen für Netzwerkfunktionen, wie sie Router oder Switches bereitstellen, proprietäre Systeme verwendet.

Seit einiger Zeit nutzen sie dazu virtualisierte Lösungen, bei denen die Dienste auf Basis von Open-Source- und Cloud-Technologien wie OpenStack zur Verfügung stehen. Zahlreiche Maßnahmen sorgen dabei für eine hohe Sicherheit.

Weltweit investieren Netzbetreiber wie die Deutsche Telekom, BT und Chinese Telecom schon seit einiger Zeit verstärkt in ihre Infrastrukturen, um das deutlich gestiegene Datenwachstum bewältigen zu können und um wettbewerbsfähig zu bleiben. Viele wollen diese Ziele erreichen, indem sie ihre Betriebskosten reduzieren und schneller neue Services bereitstellen.

Um diese Herausforderung zu bewältigen, lösen Service-Provider langjährig genutzte, überwiegend auf proprietärer Hardware basierende Netzwerkarchitekturen ab. Sie wechseln zu virtualisierten Netzwerkfunktionen (Network Functions Virtualization, NFV) und Open-Source-Technologien, beispielsweise auf Basis von OpenStack.

Das Open-Source-Framework OpenStack gilt heute als eine führende Cloud-Umgebung für NFV. OpenStack und offene NFV-Technologien werden von einer engagierten Community stetig weiterentwickelt. Von diesen schnellen Innovationen profitieren Netzbetreiber wie Orange, Verizon, Three UK und Altice, von denen sich viele für NFV-Lösungen auf Basis von Red Hat OpenStack Platform entschieden haben.

NFV entkoppelt Hardware von der Software, das heißt die einzelnen Netzwerkfunktionen werden von Spezialhardware getrennt und können als Software betrieben werden; diese läuft dann auf kostengünstigeren Standardservern. Typische Beispiele dieser Funktionen sind Firewalls, Intrusion-Detection-Lösungen, WAN-Beschleuniger sowie virtualisierte Storage-Kapazitäten und Cloud-Applikationen.

Netzbetreiber stellen hohe Anforderungen an eine Cloud mit virtualisierten Netzwerkfunktionen. Dazu zählen beispielsweise Ausfallsicherheit, eine gleichzeitige Unterstützung mehrerer Millionen Teilnehmer und minimale Latenzzeiten bei der Übertragung der Signale.

Weitere Voraussetzungen sind die Kompatibilität der virtualisierten Netzwerkelemente mit der Hardware unterschiedlicher Anbieter und den Komponenten der vorhandenen Netzwerkinfrastruktur.

Hohe Sicherheit auf allen Ebenen

Vielleicht das Wichtigste von allem: NFV muss eine hohe Sicherheit bereitstellen können. Das fängt an mit Standard-Servern auf der physikalischen Ebene, über die Network Functions Virtualization Infrastructure (NFVI) und einem Virtual Infrastructure Manager (VIM), bis hin zu Software-defined Management and Orchestration (MANO).

Im NFV-Umfeld gibt es einige Organisationen und Projekte, die sich intensiv mit dem Thema Sicherheit befassen: das European Telecommunications Standards Institute (ETSI), die NFV Security Working Group, die Open Platform for NFV (OPNFV) Security Group, die Cloud Security Alliance (CSA) und das OpenStack Security Project.

Das Europäische Institut für Telekommunikationsnormen (ETSI) ist eine nicht gewinnorientierte Organisation, die Standards für Informations- und Kommunikationstechnologien entwickelt. Ein NFV Security Framework geht zurück auf eine Initiative des ETSI, an der sich heute rund 230 Unternehmen, darunter alle großen Netzbetreiber und ITK-Hersteller, beteiligen.

Die NFV Security Working Group ist seit 2012 aktiv und hat seitdem eine Reihe von Spezifikationen veröffentlicht. Ein guter Überblick über die aktuelle Arbeit im Bereich Security findet sich bei der ETSI hier.

Die OPNFV Security Group wird von der Linux Foundation betrieben und befasst sich beispielsweise mit einer Verbesserung der Sicherheit in den Bereichen Architektur, Code Review und Vulnerability Management. Darüber hinaus arbeitet die Gruppe auch an einem Vorschlag eines Security-Management-Systems für OPNFV.

Red Hat etwa engagiert sich in einem Projekt zum Thema Security Scanning. Dabei geht es um die Sicherstellung von Security Compliance und die Durchführung von Vulnerability Checks bei einem automatisierten Continuous-Integration (CI)- und Continuous-Delivery (CD)-NFV-Plattform-Delivery-Prozess.

Das Projekt nutzt das vorhandene NIST-SCAP-Format und OpenSCAP-Tools, um tiefgehende Scans von NFVI-Knoten durchzuführen. Damit soll sichergestellt werden, dass diese gehärtet und frei von bekannten Schwachstellen sind.

Die Cloud Security Alliance ist eine gemeinnützige Organisation, die sich der Definition und Durchsetzung von Best Practices verpflichtet hat, um sichere Cloud-Computing-Umgebungen bereitstellen zu können. Bekannt ist die CSA für ihr seit dem Jahr 2013 verfügbares Security, Trust & Assurance Registry (STAR). In diesem kostenlosen, öffentlich zugänglichen Verzeichnis können Cloud-Service-Provider (CSP) ihre CSA-bezogenen Bewertungen veröffentlichen.

Ein wichtiger Bestandteil von STAR ist die Cloud Controls Matrix (CCM). Sie enthält in 16 Bereichen grundlegende Sicherheitsprinzipien und unterstützt damit Cloud-Anwender bei der Bewertung des Gesamtsicherheitsrisikos eines CSPs. Im Jahr 2016 hat die CSA außerdem ein Whitepaper veröffentlicht, das potenzielle Sicherheitsprobleme diskutiert und einen Leitfaden zur Verbesserung der Sicherheit in einer NFV-basierenden Architektur enthält.

Sicherheitsprojekt der OpenStack-Community

Das OpenStack Security Project und dessen Vulnerability Management Team (VMT) steuern und koordinieren die Aktivitäten, um Sicherheitsschwachstellen in den OpenStack-Projekten aufzuspüren und die Probleme zu lösen.

Ein Schwerpunkt der Arbeit ist die Veröffentlichung des OpenStack Security Guide. Er enthält Best Practices von Cloud-Providern und fasst deren Erfahrungen bei der Sicherung ihrer Infrastrukturen zusammen. Einen Schwerpunkt bilden die drei Security Domains Public, Management und Data und deren Zusammenspiel. Der Guide wird regelmäßig aktualisiert und berücksichtigt im Herbst 2017 die OpenStack Releases Pike, Okata und Newton.

Keith Basil, Red Hat

„Bei Open Source kooperieren viele Menschen, um die gleichen Herausforderungen zu bewältigen. Das gilt auch für die Sicherheit.“

Keith Basil, Red Hat

Zusätzlich zu den Guidelines stellt das OpenStack Security Project drei Werkzeuge zur Behandlung von Sicherheitsschwachstellen bereit: Bandit, Syntribos und Anchor.

  • Bandit ist ein eigenständiges Werkzeug zur Überprüfung von Python-Quellcode. Jeder Entwickler, der mit Python arbeitet, kann Bandit nutzen, um die Sicherheit seines Codes zu überprüfen. Bandit bietet damit eine gute Möglichkeit, IT-Sicherheit von Anfang an zum Herzstück von Software bereits während der Entwicklung zu machen und damit ein hohes Sicherheitsniveau über den gesamten Lebenszyklus hinweg zu erzielen.
  • Syntribos ist ein Tool, das automatisch Sicherheitsschwachstellen in OpenStack-RESTful-APIs aufdeckt.
  • Anchor ist ein PKI-Zertifizierungssystem (Public Key Infrastructure), das Anforderungen an einen einfachen, leicht zu implementierenden PKI-Service für OpenStack-Infrastrukturen adressiert. Es verwendet automatisierte Regeln und Zertifikate mit kurzer Laufzeit, um Sicherheitsprobleme bei Zertifikaten zu bewältigen.

Open-Source-Software bietet ein hohes Maß an Sicherheit

Bei Open Source kooperieren viele Menschen, um die gleichen Herausforderungen zu bewältigen. Das gilt auch für die Sicherheit. Die Mitglieder der Open-Source-Communities kümmern sich aktiv um Sicherheitsprobleme und arbeiten zusammen, um diese zu lösen, wenn sie auftreten. Unternehmen, einzelne Anwender und Softwarehersteller steuern Beiträge zu Open-Source-Projekten bei, da sie den Multiplikatoreffekt der Entwickler-Community schätzen. Als Ergebnis profitieren sie von Erweiterungen, Ergänzungen, Verbesserungen und Fehlerbehebungen. Durch diese Arbeitsweise trägt der Open-Source-Ansatz einerseits dazu bei, Sicherheitsschwachstellen und -risiken frühzeitig zu erkennen und Lösungsmöglichkeiten zu entwickeln. Andererseits fördert die Kooperation in der Community die Suche nach neuen Möglichkeiten und treibt die Innovation von Open Source voran.

Über den Autor:
Keith Basil ist Senior Principal Product Manager mit dem Schwerpunkt Cloud Security im OpenStack-Team bei Red Hat. Als Mitglied des Red Hat OpenStack Platform Product Management Teams konzentriert er auf den Ausbau der Sicherheitsfunktionen und des Profils der Red Hat OpenStack Platform. Keith Basil war Mitverfasser des OpenStack Security Guide, der einen Überblick über Best Practices, Richtlinien und Empfehlungen zur Erhöhung der Sicherheit eines OpenStack-Deployments bietet.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Probleme mit der NFV-Sicherheit berücksichtigen

Das Zusammenspiel von OpenStack und NFV MANO

Gratis-eBook: Grundlagen der Netzwerk-Virtualisierung

Artikel wurde zuletzt im Dezember 2017 aktualisiert

Erfahren Sie mehr über Software Defined Networking (SDN)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close