Policy-based security management for SDN/NFV-aware next-generation IoT infrastructures

Resumen

Objetivo Al principio de esta tesis (2017), distintas fuentes estimaban cerca de veintitrés mil millones de dispositivos IoT conectados a la red y los estadistas pronosticaban que esos números podrían alcanzar hasta 50 mil millones de dispositivos en pocos años. Si bien es cierto que el manejo de esta sobrecogedora cantidad de dispositivos y conexiones representa per se un enorme desafío, la naturaleza de los dispositivos IoT también conlleva desafíos específicos para la gestión de la seguridad tales como su escalabilidad, dinamicidad, heterogeneidad o sus recursos limitados. Para contribuir a esta línea de investigación, esta tesis se centra en la investigación, diseño y desarrollo de un framework capaz de manejar políticas de seguridad a un alto nivel de abstracción las cuales son independientes a la infraestructura subyacente, desacoplando así los requisitos de seguridad de implementaciones específicas con el fin de mitigar problemas como la heterogeneidad. La combinación de la seguridad basada en políticas, la modularidad del diseño, su apropiada integración con tecnologías dinámicas y flexibles como SDN, NFV, así como distintas tecnologías de monitorización y nuevos componentes de seguridad específicamente diseñados para IoT dotan al framework de novedosas características tales como la automatización de la administración de seguridad sobre dichos entornos, mediante capacidades reactivas de autocuración y auto reparación con el fin de hacer frente a las nuevas amenazas. Metodología Para alcanzar el objetivo propuesto, éste fue dividido en diferentes bloques sobre los cuales, para cada uno se aplicó una metodología iterativa incremental, aplicándose ésta también entre bloques. Así, sobre cada bloque se realizó un análisis de requisitos, estado del arte, diseño de la solución, implementación de prueba de concepto, configuración, despliegue, evaluación y análisis de los resultados. Estos últimos proporcionaron nuevo conocimiento para refinar las siguientes iteraciones en el mismo bloque, así como sus posibles interacciones con el resto. De esta forma, cada bloque fue refinado a lo largo de la tesis, contribuyendo a la solución final de la misma. Resultados Durante el periodo de esta tesis, la metodología iterativa sobre los objetivos produjo diferentes resultados tales como un capítulo de libro, un artículo de conferencia y nueve publicaciones indexadas en JCR, de las cuales cinco conforman el compendio de la tesis. Debido a que los resultados de la tesis fueron también validados durante el proyecto europeo ANASTACIA H-2020, fueron también producidos múltiples informes técnicos (más de 20 entregables de proyecto europeo). En ese sentido, se han proporcionado resultados del diseño, implementación y validación para el aislamiento de dispositivos IoT comprometidos mediante la aplicación de políticas de filtrado de trafico de alto nivel. Se han desarrollado capacidades de AAA y protección de las comunicaciones dinámicas y bajo demanda para entornos IoT, inexistentes hasta el momento. Los componentes e interacciones del framework también han sido validados sobre el proyecto europeo ANASTACIA, donde se han integrado con los elementos de monitorización y reacción, proporcionando capacidades de reacción específicas sobre dispositivos IoT. También se han proporcionado los primeros resultados hasta el momento sobre la instanciación dinámica transparente de redes IoT virtuales que replican entornos reales IoT como una nueva contramedida de seguridad mediante la integración de SDN, NFV y emuladores específicos IoT. Finalmente, se han diseñado las políticas de orquestación para mejorar notablemente la capacidad de mitigación del sistema, las cuales albergan múltiples políticas de seguridad, así como su orden de aplicación, sus prioridades o incluso dependencias entre ellas, o entre las políticas y eventos del sistema. Es importante resaltar que los resultados de esta tesis, así como la implementación de sus distintos componentes han sido y están siendo explotados y reutilizados en proyectos europeos H2020 como ANASTACIA e INSPIRE 5G+.