AC-PKI - Application-centric public-key infrastructures

Abstract

Programvaredefinerte nettverk (SDN, software-defined networks) skal gjøre komplekse nettverk smidige, skalerbare og lettere å vedlikeholde. Selv om de underliggende idéene har eksistert i minst tjue år, er det først de siste årene at SDN har fått stor oppmerksomhet på grunn av stadig mer komplekse nettverk og datasentre. Cisco ACI (applikasjonssentrisk infrastruktur) er Ciscos tilnærm- ing til programvaredefinerte nettverk, og har samtidig bred støtte for tilgangskontroll. Når det gjelder sikkerheten rundt data som går gjennom nettverket (dataplansikkerhet) er det riktignok flere ubesvarte spørsmål.

Denne masteroppgaven har som formål å beskytte dataplanet i Cisco ACI ved hjelp av asymmetrisk kryptografi og digitale sertifikater. Ved å benytte tilgangskontrollen i Cisco ACI vil vi bedre sikker- heten både med hensyn til konfidensialitet og integritet for nettverkstrafikken, samtidig som vi in- tegrerer konfigurasjonen av nettverks- og sikkerhetsarkitekturen i samme prosess. På denne måten vil nettverkene bli sikrere, mer oversiktlige og lettere å vedlikeholde.

Det ble først gjennomført en litteraturstudie og gjennomgang av relevant teori og dokumentasjon. Vi så også på alternative metoder for å oppnå sikker kommunikasjon på dataplanet. Vi satte opp en oversikt over muligheter, begrensninger og krav til løsningen, utviklet en metode og arkitek- tur, og implementerete en prototype for å demonstrere løsningen. Til slutt evaluerte vi løsningen, diskuterte resultatene og implikasjonene det har for nettverks- og dataplansikkerhet.

Ved å hente tilgangsdata fra Cisco ACI klarte vi å tildele sertifikater til de enhetene som har lov til å kommunisere med hverandre. Løsningen setter opp en sikker og effektiv forbindelse mellom en klient og en tjener, og kommuniserer effektivt med Cisco ACI ved å abonnere på endringer i rele- vante nettverksdata. Prototypen bekreftet at løsningen fungerer i praksis, selv om den er primitiv og lagt ifra en storskala produksjonsløsning.

Som et resultat av bakgrunn, teori og resultater som beskrevet ovenfor, konkluderer vi med at løs- ningen vår har et potensiale for å tilby sikker dataplankommunikasjon i Cisco ACI-nettverk. Løsnin- gen tilbyr enklere, sikrere og mer effektiv håndtering av digitale sertifikater enn dagens alternativer. Det er riktignok flere spørsmål som må besvares før en produksjonsløsning kan implementeres.

Software-defined networking (SDN) has gained popularity in recent years as a result of the in- creased complexity of networks and data centres. By moving control of how traffic flows through the network to centralised controllers, SDNs aim to make networks more flexible, agile and scalable. Although the underlying ideas have been around for at least two decades, there is little work ded- icated to securing the traffic that flows through SDNs (the data plane). Cisco Application-Centric Infrastructure (ACI) is Cisco’s approach to SDN and includes a comprehensive policy framework.

This master’s thesis aims to secure the data plane of a Cisco ACI network using a public-key infras- tructure (PKI). Using policies from Cisco ACI, we generate peer-specific certificates that are only issued to pairs of endpoints with explicit permission to communicate (a contract). Doing so, we strengthen policy enforcement, validate peer identities and encrypt traffic using state-of-the-art en- cryption algorithms. The solution virtually eliminates the need for manual PKI configuration and significantly improves security compared to current alternatives.

First, relevant research and alternative methods were researched and evaluated. Second, we stud- ied relevant theory and existing technologies and frameworks, and defined the constraints, require- ments and superficial architecture of the solution. Third, we developed a methodology and archi- tecture for the solution and implemented a prototype as a proof-of-concept. Finally, we discussed the results and their implications for data plane security and concluded the thesis.

Requesting data from the Cisco ACI API, we were able to process it and use it to validate whether two endpoints are permitted to communicate. The design provides efficient communication with Cisco ACI by subscribing to any changes in relevant data, automated certificate validation and re- vocation and simple yet secure endpoint-to-endpoint security.

Based on the background research, theory, solution and prototype results, we consider AC-PKI to have great potential in making networks more secure and efficient. However, several questions must be answered before a production system could be implemented. These questions are presented in chapter 10 “Future work”.