Агентство национальной безопасности (АНБ) выпустило Информационный бюллетень по кибербезопасности (CSI), “Управление рисками, связанными с программно-определяемыми сетевыми контроллерами”. В отчете содержатся рекомендации, которые помогут сетевым администраторам национальных систем безопасности (СНБ), Министерства обороны (DoD) и оборонно-промышленной базы (DIB) снизить риски, связанные с программно-определяемыми решениями для управления сетью, такими как программно-определяемые сетевые контроллеры (SDNC).

CSI_MANAGING_RISK_FROM_SDN_CONTROLLERS Скачать

SDNCS позволяют предприятиям настраивать сетевые политики и политику безопасности и контролировать доступ к приложениям из централизованного расположения. SDNCS позволяют динамически передавать конфигурации сетевым устройствам в среде программно-определяемых сетей (SDN), значительно сокращая количество отдельных устройств, к которым администратор должен иметь доступ для их обновления. Если эти функции скомпрометированы злоумышленниками, они могут получить доступ к SDNC и выполнять функции управления, как если бы они были законными администраторами. SDNCS обеспечивают выгодное централизованное управление корпоративной сетью, но такое централизованное управление делает их высокоприоритетной целью для злоумышленников.

“SDNCS представляют собой комплексные решения для использования единой точки для управления всей сетью”, – говорит Райан Ларсон, технический директор АНБ по системным угрозам и анализу уязвимостей. “Несмотря на удобство для сетевых администраторов, они могут стать единственной точкой отказа и высокоприоритетной целью для злоумышленников, если не защищены должным образом”.

CSI указывает, что типичный SDNC взаимодействует по двум отдельным типам сетевых потоков: один для управления SDNC, а другой для настройки сетевых устройств. Для обоих потоков сетевой трафик содержит информацию об аутентификации и конфигурации, которая может быть уязвима для методов “человек посередине” или пассивного просмотра, если информация недостаточно защищена.

CSI упоминает потенциальные способы атаки и угрозы, которые могут привести к неправильным настройкам и дальнейшим вредоносным действиям, таким как доступ к конфиденциальным данным конфигурации и аутентификации.

Среды SDNC требуют дополнительного контроля для предотвращения как вредоносной активности, так и непреднамеренных изменений в сети. АНБ рекомендует сетевым администраторам реализовать меры по смягчению последствий, перечисленные в отчете, включая следующие: