Wie (un)sicher sind SD-WANs?

Kästchen rot: SD-Wan Controller; blau: Management-Portal.
SD-WANs bieten weniger Sicherheit als vernünftig abgesicherte traditionelle WANs. Bei näherer Betrachtung zeigt sich, dass die meisten SD-WAN-Lösungen grundlegende Sicherheitsprinzipien verletzen. Eine Analyse von Gastautor Christoph Jaggi.
 
SD-WAN steht für software-definiertes Wide Area Network und gehört zur Kategorie von software-definierten Netzwerken (SDN). Grundlegende Unterschiede zu einem traditionellen WAN sind die Trennung von Data Plane (Datenebene) und Control Plane (Kontrollebene), das Hinzufügen eines zentralen SD-WAN-Controllers und eines Management-Portals. Das erhöht die Anzahl der zu sichernden Verbindungen und die Komplexität.
 
Das Management-Portal wird in der Regel für das Provisioning verwendet, während der SD-WAN-Controller die Weiterleitungsentscheidungen (forwarding decisions) der Geräte am Netzwerkrand (Edge Devices) kontrolliert und orchestriert. Die Aufgabenteilung zwischen Management-Portal und SD-WAN Controller hängen von der Implementierung des jeweiligen Anbieters ab. Gleiches gilt für den Betrieb. Während einige Angebote in Bezug auf Management-Portal und SD-WN-Controller rein Cloud-basiert sind, bieten andere Anbieter Lösungen, die auch in einer Private Cloud oder on premises betreiben werden können. Einen Standard gibt es nicht.
 
SD-WAN kann Netzwerke virtualisieren, muss das aber nicht zwangsläufig. Im Fall einer Netzwerkvirtualisierung wird das Transportnetzwerk zum darunterliegenden Netzwerk (Underlay Network) über das die virtuellen logischen Netzwerke (Overlay Network) geführt werden. Das tönt komplizierter als es eigentlich ist. Netzwerkvirtualisierung auf Layer 3 steckt noch in den Kinderschuhen, während Netzwerkvirtualisierung auf Layer 2 schon seit langem verbreitet ist. Ein VLAN entspricht einem Overlay-Netzwerk, das über ein Ethernet-Underlay-Netzwerk geführt wird. Entsprechend gibt es für Ethernet bereits Verschlüsselungslösungen, die entweder jedes Overlay-Netzwerk (VLAN) einzeln oder das Underlay-Netzwerk komplett verschlüsseln können. Diese stammen allerdings nicht aus dem Silicon Valley, denn amerikanische Hersteller hinken in Sachen Netzwerkverschlüsselung in Bezug auf Key Management dem aktuellen Stand der Technik um mindestens fünf Jahre hinterher. Das Manko zeigt sich entsprechend stark bei der Verschlüsselung von virtualisierten Netzwerken auf Layer 3.
 
SD-WAN kann auch in Kombination mit hybriden Netzwerken verwendet werden, ist aber nicht Voraussetzung. Bei hybriden Netzwerken wird der WAN-Verkehr über mehr als ein physikalisches Netzwerk abgewickelt.
 
Netzwerksicherheit
Die erreichbare Netzwerksicherheit wird durch das schwächste Element bestimmt. Grundsätzlich unterliegen alle Verbindungen zwischen den Standorten dem gleichen Bedrohungsszenario und sollten entsprechend gleich gut abgesichert sein. Das gilt sowohl für die Netzwerkschicht auf der verschlüsselt wird, als auch für die verwendeten Protokolle, die verwendeten Algorithmen und die Verschlüsselungsumgebung.
 
Je tiefer die verwendete Verschlüsselungsschicht, desto höher die Netzwerksicherheit bei Verwendung der gleichen Algorithmen und der gleichen Verschlüsselungsumgebung. Die Tiefe der Verschlüsselungsschicht bestimmt, wie viele Daten sichtbar und unverschlüsselt bleiben.
 
Bei einem SD-WAN kommen zu den Verbindungen zwischen den Standorten zusätzlich die Verbindungen zum SD-WAN Controller und zum Management-Portal hinzu. Diese sollten gleich gut abgesichert sein wie die Verbindungen zwischen den Edge Devices. Die Verbindung zwischen Edge Device und SD-WAN Controller transportiert sowohl die Control Plane als auch die Management Plane. Sie erfolgt auf Layer 3 (IP), weshalb auch die Verschlüsselung auf Layer 3 erfolgen sollte. Sonst reduziert sich das Schutzniveau auf Applikationssicherheit und verfehlt das Ziel der Netzwerksicherheit.
 
Die aktuellen Marktangebote gehören in die Kategoire Low Assurance. Das ist zwar bei näherer Betrachtung offensichtlich, entging scheinbar aber der Aufmerksamkeit von Firmen wie Gartner, Forrester Research und anderen Marktanalysten. Die Wertungen sind also mit entsprechender Vorsicht zu geniessen.
 
Worauf gilt es zu achten?
Das einzige, was unterschiedliche SD-WAN-Angebote gemeinsam haben, ist die Trennung von Data Plane (Datenebene) von der Control Plane (Kontrollebene) und die Übernahme der Control Plane durch einen SD-WAN Controller. Wenn man sich SD-WAN-Lösungen anschaut, dann gehört es zur Due Diligence, Key Management und Sicherheitsarchitektur im Detail anzuschauen.
 
Für die Netzwerksicherheit kommen unterschiedliche Ansätze in Frage. Deshalb sollte man sich zuerst die Sicherheitsarchitektur und das Key Management anschauen. Das bedingt, dass die Anbieter willens und fähig sind, die entsprechenden Dokumentationen zur Verfügung zu stellen. Sollte das ein Anbieter nicht können oder nicht wollen, so ist das eine "Red Flag". Schliesslich sind das Dokumentationen, die sowohl im Product Management als auch in der Entwicklung vorhanden sein müssen. Die öffentlich verfügbaren Marketingmaterialien und Dokumentationen der Anbieter bieten die nötige Informationstiefe häufig nicht.
 
Folgendes sollte bei der Due Diligence berücksichtigt werden:
  • Aktueller Stand der Technik in Bezug auf Key Management
  • Aktueller Stand der Technik in Bezug auf kryptographische Protokolle und Algorithmen
  • Ausreichend Entropie und Zufall für die Schlüsselgenerierung
  • Angemessene Schlüssellänge und Domain Parameter
  • Korrekte Wahl der Parameter für Kryptofunktionen
  • Korrekte Kombination von Kryptoausführungen
  • Robuste und angemessen evaluierte Lösung
Für Standard Assurance und High Assurance führt zur Zeit kein Weg an externen Verschlüsslungslösungen vorbei. (Christoph Jaggi)