Tietoturvan toteutus SD-WAN -operaattoripalveluissa

Abstract

Tutkielmassa selvitettiin vaihtoehtoja, joiden avulla palomuuraukseen liittyvä tekninen tietoturva voidaan toteuttaa uusissa SD-WAN -pohjaisissa verkottamisratkaisuissa ja niihin liittyvissä hybridiverkoissa operaattorin näkökulmasta. Palomuuraukseen liittyvää ratkaisua tulisi voida hyödyntää operaattorin asiakasverkoissa ja sen tulee skaalautua asiakkaiden käyttämien palveluiden mukaisesti. Tutkielmassa analysoitiin, kuinka SDN- ja NFV-teknologioita voidaan hyödyntää palomuurauksen toteutuksessa ja kannattaako palomuuraus toteuttaa SDN-pohjaisessa verkossa keskitetysti vai hajautetusti. Lisäksi pohdittiin, kuinka verkon hallinta voidaan toteuttaa keskitetysti, jotta jokaista verkon laitetta ei tarvitse konfiguroida erikseen.

Osana tutkielmaa tehtiin kokeellinen tutkimus, jossa luotiin SDN-arkkitehtuurin SouthBound-rajapinnalla toimivan OpenFlow-protokollan vuo-sääntöihin perustuva palomuurisäännöstö. Tämän lisäksi tehtiin viisi SD-WAN -palveluihin liittyvää toteutusta, joiden yhteensopivuutta luotuun säännöstöön analysoitiin. Toteutukset antoivat kattavan kuvan SDN-teknologian ja siihen liittyvien komponenttien tarjoamista ominaisuuksista palomuuraukseen liittyen. Säännöstön avulla voidaan toteuttaa tehokkaasti asiakasverkon palomuuraus OSI-mallin 2-4 kerroksilla. Kun vuosäännöt asetetaan SDN-verkon kytkimille proaktiivisen mallin mukaisesti, saadaan samalla optimoitua kaistankäyttöä ja parannettua vikasietoisuutta. Lisäksi SDN-kontrollerien suorituskyky paranee, kun verkon kytkimet kykenevät välittämään verkkoliikennettä itsenäisesti lähettämättä paketteja kontrollerille. Tutkimuksessa todettiin, että kontrollerit ja niihin liittyvät ulkoiset sovellukset tukevat palomuurausta vielä melko heikosti. Kontrollerien graafisista käyttöliittymistä tehtävä vuosääntöjen määrittely tapahtuu yksitellen, joka ei ole kestävä ratkaisu operaattorien käyttämissä ympäristöissä.

Jotta kokonainen palomuurisäännöstö voidaan tuoda SDN-pohjaiseen asiakasverkkoon, siihen tulee olla erillinen sovellus tai toiminnallisuus tulisi sisällyttää kontrollerien toimintalogiikkaan. Tällöin vuosäännöt kyettäisiin asettamaan proaktiivisesti kaikille verkon SDN-kytkimille operaattorien asiakasverkoissa ja vuosäännöt voitaisiin tarvittaessa räätälöidä asiakkaiden käyttämien palveluiden mukaisesti. Tutkimuksessa luotuja palomuurisääntöjä voidaan käyttää vaatimusmäärittelyissä muun muassa SDN-arkkitehtuurin palomuuraukseen liittyvien sovellusten tai kontrollerien toimintalogiikan kehittämisessä.

Implementing Security in SD-WAN operator services.

This study examines options how firewall based security could be implemented in SD-WAN based networking services from operator’s point of view. Firewall solution shall be appropriate for operator’s customer network environments and it shall be scalable based on services used by the customers. The study analyses how SDN and NFV based technologies could be utilized in firewall implementations and should the firewall solution be centralized or distributed. Also, implementing centralized network management for the firewall solution was investigated to avoid configuring each device on the network individually.

An experimental research was conducted as a part of the study. In the research part, set of firewall policies were made based on OpenFlow protocol that is the most common protocol at SDN architecture’s southbound interface. Five practical SD-WAN services related implementations were made and combatibilities with created set of firewall policies were analyzed. The implementations gave a broad view on SDN technology and features provided by related components for firewall functionality. Created set of firewall policies can be used for implementing firewall functionality at OSI model 2-4 layers. Flow rules can be set to SDN switches in a network proactively which also optimizes a bandwidth usage and improves a fault tolerance of the network. Performance of SDN controller is improved since the switches on the network are capable to forward network traffic without sending packets to the controller. It was found within research that SDN controllers and related external applications aren’t supporting firewall functionalities well. Flow rules may be created from graphic user interface only individually which is not appropriate solution for operator environments.

To be able to import a whole set of firewall policies to SD-WAN customer environment, an external SDN application is needed. Another option is to develop SDN controller’s operation logic to support the firewall functionality. In that case flows could be set and distributed to all the switches on the SDN network proactively and flow rules could be modified based on services customer is using on the network. Set of firewall policies created within the study may be utilized as a base on requirement definitions for developing SDN architecture based applications and SDN controller’s operation logic.