Les risques liés au SDN et à OpenFlow devraient préoccuper les RSSI
En direct des Assises de la sécurité. Le SDN est loin d'être une réalité, mais déjà plusieurs acteurs insistent sur son manque de sécurité. Si l'on en croit l'ANSSI ces risques sont loin d'être négligeables et restent très mal connus.
Le Laboratoire de la sécurité des réseaux de l'ANSSI a mis en place une plate-forme dédiée au SDN qui a identifié plusieurs failles. L'un des experts de l'Agence, Maxence Tury a mis le doigt sur les risques liés au SDN et surtout à OpenFlow. Pour lui, le protocole présente trois faiblesses principales : la perméabilité des liaisons entre le contrôleur et le switch, le risque lié au déni de service côté switch et celui lié à ce même déni de service côté contrôleur. Pour lui, « le SDN diffère des paradigmes réseaux classiques, ce qui introduit de nouveaux enjeux de sécurité aux côtés de pratiques essentielles (bien que non explicitées dans les normes) telles que l'utilisation d'un réseau d'administration dédié, la mise en place d'une solution d'authentification et d'intégrité telle que TLS, ou encore la redondance des équipements en charge du routage ».
Sur le même sujetLe Cesin s'inquiète pour la protection des données dispersées et transforméesSur ce thème, on commence à entendre quelques timides prises de position. Aux Assises de la sécurité, il fallait chercher les experts en SDN, Fortinet s'est jeté à l'eau en voulant intégrer la sécurité dans le SDN avec des partenaires technologiques. Exercice d'autant plus délicat que le SDN en est aux prémices, surtout en Europe, « on fait des POCs juste pour voir de quoi il retourne » explique un de nos interlocuteurs. Le décollage se fera quand même et de manière très rapide anticipe Fortinet.
Fortinet y travaille depuis 5 ans
Pour cette société, le SDN va se déployer de manière ouverte et rapide dans les environnements réseau, au début sur les switchs ensuite sur les routeurs. Il y a cinq ans que Fortinet travaille sur le sujet. L'idée est d'intégrer directement la sécurité dans les réseaux SDN, dans les sous-réseaux et au niveau du routage.
Fortinet déploie également un éco-système dédié à la sécurité du SDN avec HP, Ixia, PLUMgrid, Pluribus Networks, Extreme Networks et NTT. Elle base son offre, SDN Security, sur son appliance virtualisée FortiGate-VM et joue l'interopérabilité avec différentes plateformes SDN, grâce à des API propriétaires et ouvertes. Une appliance qui supporte tous les hyperviseurs du marché VMware, KVM, HyperV, Xen de Citrix...), l'offre donc n'a pas de limites. Fortinet dispose d'équipes aux Etats-Unis et au Canada et d'un expert en France sur cette offre de sécurité.
Un nouveau sujet pour les RSSI qui n'en finissent pas d'étendre leurs champs d'investigation. Il semble que les nombreuses phases et organismes de normalisation contournent le sujet de la sécurité. De même les contrôleurs offrent des points de passage pour les pirates et une faille toute trouvée. Sans parler du Shadow SDN, ce SDN qui se déploie, comme maintenant de nombreux aspects de l'informatique hors de tout contrôle de la DSI et du RSSI.
En illustration : Fortinet base son offre, SDN Security, sur son appliance virtualisée FortiGate-VM
