SDNパラダイムを使用したセキュリティ
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/04/05 07:11 UTC 版)
「ソフトウェア定義ネットワーク」の記事における「SDNパラダイムを使用したセキュリティ」の解説
SDNアーキテクチャは、コントローラーのネットワークの中央ビューと、いつでもデータプレーンを再プログラムするその能力により、ネットワーク関連のセキュリティアプリケーションを有効化、促進、または強化する場合がある。 SDNアーキテクチャのセキュリティ自体は未解決の問題であり、すでに研究コミュニティで数回検討されているが、 以下の段落では、セキュリティアプリケーションに焦点を当てて説明する。 SDNに関するいくつかの研究は、SDNコントローラー上に構築されたセキュリティアプリケーションを、さまざまな目的であるでに調査している。 分散型サービス拒否(DDoS)の検出と軽減 だけでなく、ボットネットとワームの伝播は、そのようなアプリケーションの具体的な使用例である。基本的に、このアイデアは定期的にネットワークを収集することにある標準化された方法(Openflowを使用するなど)でネットワークの転送プレーンからの統計情報を取得し、それらの統計情報に分類アルゴリズムを適用してネットワークの異常を検出する。 異常が検出された場合、アプリケーションはデータプレーンを再プログラムしてデータプレーンを軽減する方法をコントローラーに指示する。 別の種類のセキュリティアプリケーションは、移動ターゲット防御(MTD)アルゴリズムを実装することにより、SDNコントローラーを活用する。 MTDアルゴリズムは通常、特定のシステムまたはネットワークの主要なプロパティを定期的に非表示または変更することにより、特定のシステムまたはネットワークへの攻撃を通常よりも困難にするために使用される。 従来のネットワークでは、MTDアルゴリズムの実装は簡単な作業ではありない。保護するシステムの各部分について、どのキープロパティを非表示または変更するかを決定できる中央機関を構築することは難しいためである。 SDNネットワークでは、コントローラーの中心性により、このようなタスクはより簡単になる。 たとえば、1つのアプリケーションが定期的に仮想IPをネットワーク内のホストに割り当てることができ、仮想IPと実際のIPのマッピングがコントローラーによって実行される。 別のアプリケーションは、攻撃者が実行する偵察フェーズ(スキャンなど)の間に重大なノイズを追加するために、ネットワーク内のランダムなホストで偽のオープン/クローズ/フィルターされたポートをシミュレートできる。 SDN対応ネットワークのセキュリティに関する追加の値は、それぞれFlowVisorおよびFlowCheckerを使用して取得することもできる。前者は、複数の分離された論理ネットワークを共有する単一のハードウェア転送プレーンを使用しようとする。 このアプローチに従うと、同じハードウェアリソースを本番環境と開発の目的で使用できるほか、監視、構成、インターネットトラフィックを分離できる。各シナリオには、スライスと呼ばれる独自の論理トポロジを設定できる。このアプローチと連携して、FlowChecker は、ユーザーが独自のスライスを使用して展開する新しいOpenFlowルールの検証を実現する。 SDNコントローラーアプリケーションは、ほとんどの場合、起こり得るプログラミングエラーの包括的なチェックを必要とする大規模なシナリオで展開される。NICEと呼ばれるこれを行うシステムが2012年に説明された。 包括的なセキュリティアーキテクチャを導入するには、SDNに対する包括的かつ長期にわたるアプローチが必要である。 それが導入されて以来、設計者はスケーラビリティを犠牲にしないSDNを保護するための可能な方法を検討している。 SN-SECA(SDN + NFV)セキュリティアーキテクチャと呼ばれる1つのアーキテクチャ。
※この「SDNパラダイムを使用したセキュリティ」の解説は、「ソフトウェア定義ネットワーク」の解説の一部です。
「SDNパラダイムを使用したセキュリティ」を含む「ソフトウェア定義ネットワーク」の記事については、「ソフトウェア定義ネットワーク」の概要を参照ください。
- SDNパラダイムを使用したセキュリティのページへのリンク