Con l’acronimo Sdn (Software-defined network) si definisce la tecnologia che consente di separare lo strato di controllo della rete da quello di trasporto, di fatto creando una forma di virtualizzazione utile per centralizzare le decisioni di routing in un server di controllo dedicato. Le opportunità di creare efficienza sono più o meno acquisite, ma molte questioni restano irrisolte.
Gartner si è soffermata di recente sul tema della sicurezza, uno dei nodi che potrebbero minare il futuro delle Sdn, soprattutto per l’ancora eccessiva diversità delle soluzioni sul mercata e caratteristiche specifiche immature. Secondo Greg Young, vicepresidente e responsabile delle ricerche sulla sicurezza di rete, ancora pochi fornitori hanno fatto, a oggi, investimenti significativi. E quei pochi sono orientati a un’ottica proprietaria, che non incoraggia la collaborazione con specialisti terzi, capaci di creare soluzioni interoperabili. Young ritiene che sia poco probabile veder emergere, a breve scadenza, standard di sicurezza per le Sdn.
I pirati hanno già messo gli occhi sulla nuova tecnologia, poiché, visto che tutte le decisioni di routing vengono prese dal controller, riuscire a impadronirsi di quest’ultimo significa mettere le mani su tutta la rete. Young ammette che le tecnologie Sdn sono difficili da individuare, ma non sono immuni da attacchi su grande scala, come quelli di tipo Denial-of-Service (Ddos).
I prodotti Sdn, poi, dispongono di proprie console di amministrazione, che non sono generalmente interoperabili con altre console di gestione delle reti o della sicurezza. Questo aggiunge un livello di complessità ai processi di amministrazione e di sicurezza della rete.
Per fortuna, ci sono anche elementi positivi in chiave di protezione. Per esempio, mentre la maggior parte degli switch arrivano a contenere fino a 35 milioni di linee di codice, i prodotti Sdn utilizzano una versione leggera di Linux, che porta con sé fino a 2 milioni di linee, riducendo così la superficie di attacco. Poi, la logica di centralizzazione (nel controller) certamente aiuta che deve amministrare le policy di sicurezza della rete. Per ovviare a qualche problema che potrebbe sorgere, Gartner indica la possibilità di utilizzare un mix di soluzioni tradizionali (per esempio il firewall), per segmentare un’infrastruttura Sdn, attraverso la separazione fisica. Ovviamente, la centralità del controller implica una particolare attenzione nella protezione a questo livello.
Insomma, seguiti gli opportuni accorgimenti, si può procedere in direzione Sdn, per sfruttarne i vantaggi di implementazione e amministrazione.