Policy-based security management for SDN/NFV-aware next-generation IoT infrastructures

Abstract

Objetivo Al principio de esta tesis (2017), distintas fuentes estimaban cerca de veintitrés mil millones de dispositivos IoT conectados a la red y los estadistas pronosticaban que esos números podrían alcanzar hasta 50 mil millones de dispositivos en pocos años. Si bien es cierto que el manejo de esta sobrecogedora cantidad de dispositivos y conexiones representa per se un enorme desafío, la naturaleza de los dispositivos IoT también conlleva desafíos específicos para la gestión de la seguridad tales como su escalabilidad, dinamicidad, heterogeneidad o sus recursos limitados. Para contribuir a esta línea de investigación, esta tesis se centra en la investigación, diseño y desarrollo de un framework capaz de manejar políticas de seguridad a un alto nivel de abstracción las cuales son independientes a la infraestructura subyacente, desacoplando así los requisitos de seguridad de implementaciones específicas con el fin de mitigar problemas como la heterogeneidad. La combinación de la seguridad basada en políticas, la modularidad del diseño, su apropiada integración con tecnologías dinámicas y flexibles como SDN, NFV, así como distintas tecnologías de monitorización y nuevos componentes de seguridad específicamente diseñados para IoT dotan al framework de novedosas características tales como la automatización de la administración de seguridad sobre dichos entornos, mediante capacidades reactivas de autocuración y auto reparación con el fin de hacer frente a las nuevas amenazas. Metodología Para alcanzar el objetivo propuesto, éste fue dividido en diferentes bloques sobre los cuales, para cada uno se aplicó una metodología iterativa incremental, aplicándose ésta también entre bloques. Así, sobre cada bloque se realizó un análisis de requisitos, estado del arte, diseño de la solución, implementación de prueba de concepto, configuración, despliegue, evaluación y análisis de los resultados. Estos últimos proporcionaron nuevo conocimiento para refinar las siguientes iteraciones en el mismo bloque, así como sus posibles interacciones con el resto. De esta forma, cada bloque fue refinado a lo largo de la tesis, contribuyendo a la solución final de la misma. Resultados Durante el periodo de esta tesis, la metodología iterativa sobre los objetivos produjo diferentes resultados tales como un capítulo de libro, un artículo de conferencia y nueve publicaciones indexadas en JCR, de las cuales cinco conforman el compendio de la tesis. Debido a que los resultados de la tesis fueron también validados durante el proyecto europeo ANASTACIA H-2020, fueron también producidos múltiples informes técnicos (más de 20 entregables de proyecto europeo). En ese sentido, se han proporcionado resultados del diseño, implementación y validación para el aislamiento de dispositivos IoT comprometidos mediante la aplicación de políticas de filtrado de trafico de alto nivel. Se han desarrollado capacidades de AAA y protección de las comunicaciones dinámicas y bajo demanda para entornos IoT, inexistentes hasta el momento. Los componentes e interacciones del framework también han sido validados sobre el proyecto europeo ANASTACIA, donde se han integrado con los elementos de monitorización y reacción, proporcionando capacidades de reacción específicas sobre dispositivos IoT. También se han proporcionado los primeros resultados hasta el momento sobre la instanciación dinámica transparente de redes IoT virtuales que replican entornos reales IoT como una nueva contramedida de seguridad mediante la integración de SDN, NFV y emuladores específicos IoT. Finalmente, se han diseñado las políticas de orquestación para mejorar notablemente la capacidad de mitigación del sistema, las cuales albergan múltiples políticas de seguridad, así como su orden de aplicación, sus prioridades o incluso dependencias entre ellas, o entre las políticas y eventos del sistema. Es importante resaltar que los resultados de esta tesis, así como la implementación de sus distintos componentes han sido y están siendo explotados y reutilizados en proyectos europeos H2020 como ANASTACIA e INSPIRE 5G+.

Objectives At the beginning of this thesis (2017), different sources estimated about 23 billion IoT devices connected to the network and statisticians predicted that these numbers could reach up to 50 billion devices in a few years. While it is true that managing this staggering number of devices and connections represents an enormous challenge per se, the nature of IoT devices also brings specific challenges for security management such as their scalability, dynamism, heterogeneity or their limited resources. To contribute to this line of research, this thesis focuses on the research, design and development of a framework capable of managing security policies at a high level of abstraction which are independent of the underlying infrastructure, thus decoupling the security requirements of specific implementations in order to mitigate problems such as heterogeneity. The combination of policy-based security, the modularity of the design, its appropriate integration with dynamic and flexible technologies such as SDN, NFV, as well as different monitoring technologies and new security components specifically designed for IoT, provide the framework with new features such as the automation of security management over these environments, through reactive self-healing and self-repairing capabilities in order to deal with new threats. Methodology To achieve the proposed objectives, they were divided into different blocks on which, for each one, an incremental iterative methodology was applied, also being applied between blocks. Thus, an analysis of requirements, state of the art, solution design, proof of concept implementation, configuration, deployment, evaluation and analysis of the results were carried out on each block. The latter provided new knowledge to refine the following iterations in the same block, as well as their possible interactions with the rest. In this way, each block was refined throughout the thesis, contributing to the final solution. Results During the period of this thesis, the iterative methodology on the objectives produced different results such as a book chapter, a conference article and nine publications indexed in JCR, of which five compose the compendium of the thesis. Since the results of the thesis were also validated during the European ANASTACIA H-2020 project, multiple technical reports (more than 20 European project deliverables) were also produced. In this sense, results of the design, implementation and validation have been provided for the isolation of compromised IoT devices through the application of high-level traffic filtering policies. Dynamic and on-demand AAA and channel protection capabilities have been developed for IoT environments, non-existent so far. The components and interactions of the framework have also been validated on the European ANASTACIA project, where they have been integrated with the monitoring and reaction elements, providing specific reaction capabilities on IoT devices. The first results so far on the transparent dynamic instantiation of virtual IoT networks that replicate real IoT environments have also been provided as a new security countermeasure by integrating SDN, NFV and specific IoT emulators. Finally, the orchestration policies have been designed to significantly improve the mitigation capabilities of the system, which contain multiple security policies, as well as their order of application, priorities or even dependencies between them, or between the policies and system events. It is important to highlight that the results of this thesis, as well as the implementation of its different components, have been and are being exploited and reused in European H2020 projects such as ANASTACIA and INSPIRE 5G +.