Les réseaux SDN - Software Defined Network

Depuis une dizaine d’années, les réseaux SDN sont de plus en plus utilisés en particulier dans les datacenters des fournisseurs de Cloud mais aussi par les opérateurs sur leur WAN et au sein des infrastructures réseaux des grandes entreprises. Google par exemple a été à la pointe en connectant ses data centers avec des commutateurs et des contrôleurs mettant en œuvre le protocole OpenFlow. D’autres groupes ont aussi annoncé utiliser OpenFlow comme Amazon, Microsoft et AT&T. Le SDN est au programme de la certification CCSP depuis son lancement et a aussi été intégré plus récemment au nouveau programme du CISSP. Les réseaux SDN facilitent la gestion des réseaux en environnements Cloud en permettant automatisation, évolution rapide, redondance et segmentation virtuelle des clients en optimisant les coûts d’infrastructure.

Fonctionnement

Un réseau SDN comprend des commutateurs et des contrôleurs avec une approche centralisée. Chaque commutateur dispose d’une table de flot pour prendre les décisions de routage des paquets. Contrairement au routage IP, par définition décentralisé sur chaque routeur, les opérations sont centralisées par le contrôleur SDN. Le commutateur peut ainsi être amené à transmettre le paquet au contrôleur. Les plans de données et de contrôle sont séparés, là-aussi contrairement à un réseau IP classique. Le protocole OpenFlow définit la communication entre les commutateurs et le contrôleur du réseau au travers d’un canal protégé. D’autres protocoles propriétaires existent. Chaque fois qu’un nouveau paquet atteint un commutateur SDN et qu’il n’y existe pas de configuration préalablement établie, les premiers octets du paquet sont expédiés vers le contrôleur, qui ouvre un chemin pour ce paquet en choisissant les commutateurs. La capacité de calcul se situe au niveau des contrôleurs. Des API, qu’il faut sécurisées permettent de programmer le réseau en passant par les contrôleurs. Les commutateurs peuvent être open source (Open vSwitch par exemple) ou être fournis par un constructeur (Cisco, Juniper…) avec un protocole réseau spécifique auquel est ajoutée la possibilité de récupérer les tables en utilisant OpenFlow. L’ONF (Open Networking Foundation) normalise l’architecture des réseaux SDN. Cette organisation regroupe des universités américaines, dont Stanford et des grands acteurs du Cloud et du réseau (opérateurs et équipementiers). C’est sur le site de l’ONF qu’on retrouve les spécifications OpenFlow.

OpenFlowSpecification

Les principaux composants d’un commutateur OpenFlow (source : ONF – version 1.5.1)

Sécurité

Les risques des environnements SDN sont essentiellement liés à la centralisation du contrôle :

  • En termes de disponibilité, un défaut de redondance des contrôleurs a des impacts élevés en cas de panne ou de dysfonctionnement.
  • La compromission d’un contrôleur par un attaquant lui permet de prendre la main sur l’ensemble du réseau.
  • L’écoute passive des messages OpenFlow peuvent fournir des informations utiles par l’attaquant.
  • Des attaques man-in-the-middle entre l’administrateur légitime et le contrôleur.

OpenFlowANSSILes risques d’OpenFlow et du SDN (source : ANSSI)

Le renforcement de la sécurité passera par une série de mesures :

  • Le cloisonnement des réseaux d’administration et de production.
  • L’utilisation de TLS pour apporter les services d’authentification et de chiffrement entre le contrôleur et les commutateurs. Cette utilisation est optionnelle dans les spécifications d’OpenFlow.
  • Le durcissement de la configuration du contrôleur.
  • Le renforcement des mesures de sécurité liés aux opérations d’administration.

Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

Cloud, CCSP, CCSK, SécuritéCloud, SDN