No, y de alguna manera marca una mejora potencial.
Al igual que muchos cambios de paradigma, lo que sucede inicialmente no es necesariamente lo que sucederá a largo plazo. Lo que está sucediendo en este momento son las primeras etapas de la adopción de SDN en algunos casos y en prueba de concepto en muchos más. También vemos muchas interpretaciones diferentes de lo que significa SDN y cómo implementarlo. SDN para muchos de los fabricantes de equipos existentes solo está agregando una nueva capa de control que es externa a sus equipos existentes. Eso agrega un nuevo vector de ataque que, por definición, significa que tenemos más riesgos potenciales de seguridad. Para algunos de los nuevos proveedores, SDN tiene más que ver con la adopción de dispositivos virtualizados y NFV. En lugar de tener solo un controlador, que podría o no estar virtualizado, que pueda controlar conmutadores y enrutadores físicos, podemos ver un futuro en el que muchas partes de la red están virtualizadas.
Ahora, esto potencialmente agrega aún más vectores de ataque porque ahora también tenemos que preocuparnos por OpenStack u otra pila NFV, software de orquestación como Puppet, Chef, Ansible o Salt, y los controladores SDN como OpenDaylight Platform. Lo que potencialmente puede provenir de todo esto son mejores prácticas e implementaciones. Después de todo, el servidor de virtualización teóricamente proporciona más vectores de ataque, ya que también tenemos que asegurar el hipervisor, pero tiene muchas ventajas.
- ¿Por qué los desarrolladores de software siguen haciendo 'generadores' de algún tipo? Por ejemplo, un generador de sitios web. ¿No es eso quitarle el trabajo a otros desarrolladores?
- ¿Cómo debo prepararme para las entrevistas de los roles de ingeniero de software en empresas comerciales de alta frecuencia de Nueva York (por ejemplo, HRT, Citadel, KCG, TRC)?
- ¿Cuál es la mejor herramienta de scrum gratuita en línea?
- ¿Doodly es un buen software?
- ¿Debería estudiar ingeniería de software?
Algunas razones por las cuales SDN / NFV pueden terminar siendo más seguras de lo que tenemos hoy ”
- Reducción del bloqueo del proveedor. Hoy en día, cuando Cisco o Juniper tienen una explotación crítica, pueden pasar días o semanas para que las empresas y los proveedores de servicios arreglen el agujero y eso no puede comenzar hasta que el fabricante de equipos lance el parche. Con más jugadores en el mundo de las redes virtualizadas, deberíamos poder adoptar más fabricantes y tener menos posibilidades de que el agujero de un fabricante pueda conducir a exploits ampliamente extendidos.
- Instantáneas y restauración rápida de imágenes de versiones anteriores. En el mundo de los servidores, si un servidor físico se ve comprometido, puede ser un proceso largo y laborioso eliminar el exploit y encontrar cualquier cosa que el atacante haya dejado atrás. Si sus servidores están virtualizados y se les realiza una copia de seguridad como instantáneas, no solo tiene una forma de rastrear cuándo comenzaron a aparecer los cambios, sino que puede revertir un servidor a un estado anterior rápidamente y con más confianza de que realmente se ha librado de compromiso.
- Parches aplicados más regularmente. La mayoría de las vulnerabilidades aprovechan los agujeros conocidos que los proveedores de equipos ya han lanzado parches para abordar. Parte del problema es que parchear un enrutador de producción, incluso cuando tengo una configuración redundante usando HSRP u otro protocolo de conmutación automática por error, conlleva riesgos. Si puedo probar el parche en una copia del cuadro que necesito parchear, entonces tengo menos posibilidades de encontrar un problema en la producción, lo que significa que es más probable que aplique parches regularmente. Si algo sale mal que mi prueba no detecta, entonces puedo volver fácilmente a la versión anterior en menos de un minuto. Además, colocar la parte del controlador en su lugar significa que la automatización del proceso de parcheo está mucho más estandarizada en todos los proveedores y debería tomar menos tiempo para aplicar los parches.
Probablemente haya otras razones por las que nuestra seguridad a largo plazo puede mejorar debido a SDN y NFV, pero estos son algunos de los puntos clave.