לחימה מבוססת רשת – הדור הבא

מודל הלחימה מבוססת רשת שמאפיין צבאות מודרניים, בהם גם צה”ל, עומד לעשות קפיצת מדרגה. הצצה לעתיד תשתיות התקשורת בשדה הקרב

לחימה מבוססת רשת – הדור הבא

במאמר הראשון (“רשתות תקשורת אוטונומיות”) והשני (“מערכה וירטואלית”) שפורסמו בגיליונות קודמים ובאתר ישראל דיפנס, עסקתי בהרחבה בקונספט של טכנולוגיית SDN – Software Defined Networking, טכנולוגיה המאפשרת הפרדה מלאה או חלקית של מישור הבקרה (Control Plane) ממישור הנתונים (Data Plane) בכל הרכיבים האקטיביים הרלוונטיים ליצירת רשת מתקדמת ובטכנולוגיית NFV – Network Function Virtualization המאפשרת שימוש בחומרות מחשוב ותקשוב סטנדרטיות בשילוב שכבת אבסטרקציה ווירטואליזציה רוחבית לבנייה וייצוג של פונקציות תקשורת חיוניות.

במאמר זה ארצה לעסוק ביתרונות הטמונים ביישום טכנולוגיות אלו ברשתות קריטיות בכלל ורשתות ביטחוניות/צבאיות בפרט. כדי להבין את המשמעות בשילוב טכנולוגיות SDN ו/או NFV ברשתות ביטחוניות צריך להתחיל מהפרדה לוגית של סביבות התקשוב הרלוונטיות. כל מערך תקשורת קריטי מחולק ברמת המאקרו לארבעה אזורים עיקריים – שדרת הרשת המורכבת מליבה אופטית ורשת תקשורת מרחבית מתקדמת (MPLS, MPLS-TP וכו’), רשת גישה ואתרים מבוזרים, המערך הנפרס המשלב תקשורת נייחת וניידת ומרכזי המחשוב – Datacenters.

שדרת הרשת ורשת הגישה

בעשור האחרון רשתות צבאיות ביצעו מגרציה מערכתית מטכנולוגיות תקשורת מסורתיות לטכנולוגיות המבוססות על תפיסת Next Generation Networks, טכנולוגיות כגון NG DWDM ו-OTN בשכבה האופטית לצד טכנולוגיות כגון MPLS, MPLS-TP וכו’ ברשתות הליבה והקצה. יעילותן של האחרונות הוכחה ביישומים במגזר הטלקום האזרחי, והן אומצו על ידי המערכות הצבאיות ונמצאו כבעלי יכולת לתת מענה לדרישות הזמינות המחמירות גם בסביבה זו. הקונספט של הפרדת מישור הבקרה ממישור הנתונים בשדרת הרשת וברשתות האופטיות אינו חדש, אך לרוב התבסס על יישומים ורטיקליים נקודתיים.

טכנולוגיית SDN מאפשרת יישום מערכתי של קונספט זה שיתרום רבות לגמישות ההנדסית של הרשת. אותן טכנולוגיות NGN שאומצו באופן נרחב ברשתות צבאיות אומנם תרמו ליכולות משמעותיות, אך לרוב יכולות אלו הגיעו עם תג מחיר יקר. גמישות הנדסית ותפעולית היא תכונה חיונית בסביבה ביטחונית. רשת צבאית צריכה לתת מענה לתרחישים שונים ולמציאות משתנה ברמה היומית, כמו שינוי תוואי בתקשורת לטיפול דינמי בהקצאות רוחב פס ומשאבי רשת לתמיכה במערכים שונים. כל זה תוך שמירה על מידור והתמודדות עם איומים מורכבים. השינויים הללו מחייבים עבודה רבה של מהנדסי הרשת, עבודה שלוקחת זמן רב ולרוב כוללת גם סיכון לא מבוטל לטעויות אנוש ואף לפגיעה באבטחה הרשתית. טכנולוגיית SDN יכולה לבצע שינויים דינמיים ברשת על ידי שימוש בבקר מרכזי ואפליקציות נוספות שיפעלו כשכבת אוטומציה רשתית. היכולת לתכנת את הרשת באופן דינמי ממקור מרכזי מאפשר לבצע שינויים נרחבים בזמן קצר ובמינימום סיכון לזמינות הרשת.

המערך הנפרס הנייח

היתרון הטמון בטכנולוגיית SDN במערך הנפרס הנייח הוא היכולת לתכנת את הרשת לצרכי השטח באופן דינמי. במקום לייצר תצורה סטאטית המתבססת על הנחות ייסוד של הצרכים בשטח, ניתן לבצע תכנות והתאמת הרשת והאפליקציות הרשתיות בהתאם לצרכים משתנים. לדוגמא – ייתכן שמערך שנפרס בשטח מתוך כוונה לתמוך בסוג מסוים של כוחות, נדרש בשלב כלשהו לתמוך באפליקציות נוספות או יחידות אחרות. טכנולוגיית SDN מאפשרת ביצוע אוטומציה ושינוי הארכיטקטורה הרשתית בהתאם לצורך בשטח.

לצד יישום SDN במערך הנפרס אפשר לציין יתרונות רבים ליישום טכנולוגיית NFV במערך זה. טכנולוגיית NFV מאפשרת להטמיע ולהפעיל פונקציות רשתיות, שבעבר היו פיזיות ודרשו חומרה ייעודית ולהמיר אותם בתוכנות ואפליקציות המופעלות בשכבה וירטואלית מעל חומרה סטנדרטית.

היתרון למערך הנפרס הוא אדיר הן בגמישות המתאפשרת מייצוג של עשרות פונקציות ייעודיות כיישומים וירטואליים וכלה בחיסכון פוטנציאלי במקום פיזי. באופן תיאורטי שרת מוקשח אחד יכול להחליף ארונות ציוד רבים. כבר היום ניתן לייצג רכיבי תקשורת מסוימים כגון מתגים, נתבים, ציוד גישה ועוד כפונקציות וירטואליות.

המערך הנפרס הנייד

במערך התקשורת הניידת, בין אם מדובר ברשתות אלחוטיות נפרסות או סלולאריות, כבר מיושמים חלקים משמעותיים בתפיסת SDN ו-NFV. בתחום הרשתות האלחוטיות ניתן לציין יישומים כגון SDR – Software Defined Radio המשלב בין רכיבים פיזיים (אנטנה, כרטיסים וכו’) לאפליקציית מקמ”ש המותקנת על חומרת מחשוב סטנדרטית. בתחום הרשתות הסלולאריות המבצעיות, ההפרדה בין מישור הבקרה למישור הנתונים הוא חלק משמעותי מתפקוד הרשתות והתמודדות עם הנדסה רשתית מורכבת ועלייה בנפחי מידע. יישומים כגון PCRF (Policy Charging Rule Function), שהם חלק מהיישום המובנה ברשתות דור 4, כבר משמשים כרכיב “החלטות” מרכזי. לכן, סביבות אלו כבר מיישמות תפיסת SDN, אולי לא על בסיס אותם פרוטוקולים אבל ארכיטקטונית הקונספט מיושם. האבולוציה המשמעותית בתחום זה יכולה להגיע מיישום NFV רחב היקף שיאפשר החלפה של רכיבים פיזיים מסוימים ואף מכלולים שלמים בפונקציות וירטואליות.

במקביל לתחום האזרחי, גופים ביטחוניים בכל העולם מבצעים מיגרציה, השבחה וקונסולידציה של מרכזי מחשוב ומעבר ממודל מרכז המחשבים המסורתי ליישום Next Generation Datacenters, המשלבים טכנולוגיות FABRIC ליצירת רשת אחודה ודינמית שיכולה לתת מענה לאפליקציות שונות ולצרכים משתנים.

טכנולוגיית SDN התפתחה באופן משמעותי בסביבה זו והיא מהווה את קצה האבולוציה והחדשנות הטכנולוגית במרכזי המחשוב. מכיוון שטכנולוגיית SDN אינה בעלת השפעה רק על מערכי התקשורת ויש לה התממשקות לרכיבי אבטחה, מחשוב ואחסון, הרי שמדובר במיגרציה אפשרית רחבת היקף. טכנולוגיית SDN יכולה לשמש כשכבת תכנות רשתית המופעלת ממערכות אוטומציה או ישירות מאפליקציות שפותחו עם ממשק מתאים. באופן זה ניתן לבצע שינויי מיקרו ומאקרו במרכזי המחשוב, להקצאות משאבים ולבנות רשתות וירטואליות באופן אוטומטי ולפי הצורך.

טכנולוגיות SDN ו-NFV נבחנות בעולם על ידי גופים בטחונים ופדרליים כבסיס ליישומי תקשורת צבאית מתקדמים ומענה לרשתות קריטיות שונות (שירותי חילוץ, HLS וכו’). היישום המשמעותי ביותר כיום הוא של משרד ההגנה האמריקאי שבחר בטכנולוגיה זו כחלק ממהלך יישום ענן פנימי, השבחה וקונסולידציה של 1,200 מערכי Datacenters בצבא ארה”ב. יישומים דומים נבחנים כיום ב NATO ובגופים נוספים. ברמה הטכנולוגית יכולים להיות מספר חסמי כניסה נפוצים: אי מוכנות התשתיות למיגרציה – אין ספק שטכנולוגיית SDN מחייבת התאמת התשתית ואף התאמת האפליקציות ליישום גורף. מכיוון שטכנולוגיה זו מסתמנת כנקודת מפנה בכל מפת דרכים טכנולוגית בתחום התקשוב, היצרנים הרלוונטיים כבר מספקים חומרות מתאימות הן עבור בקרי ה SDN והן בהתאמת רכיבי התקשורת, האבטחה, המחשוב והאחסון. התאמה למערכות תומכות – רשתות ביטחוניות משלבות מערכות תומכות כגון תוכנות שו”ב (שליטה ובקרה) שעברו התאמה לסביבה הצבאית – הוצאת מישור הבקרה מתוך הרשת עלול לפגוע ביעילות של מערכות אלו.

הדרך להתמודד עם אתגר זה הוא ביישום SDN היברידי, בו רק חלק מהפונקציות והאפליקציות הרשתיות מוסרות ומועברות לבקר מרכזי. אבטחת מידע - בכל הנוגע לאבטחת מידע בסביבות המשלבות טכנולוגיית SDN יש שתי אסכולות בגישה לנושא. האחת טוענת שהשימוש בבקר (Controller) SDN מרכזי, שמכיל את כל מישור הבקרה במקום מרכזי ומאובטח הוא ערובה לשרידות הרשת ולזמינות מקסימלית ללא יכולת לבצע התקפות, “הרעלות” רשת הקשורות למישור הבקרה. האסכולה השנייה טוענת שהשימוש בפרוטוקולים כגון Open Flow להעברת איתותים ותצורות מהבקר לרשת מהווה נקודת חולשה והזדמנות לאיומים חדשים. אין ספק שבעתיד הלא רחוק נראה פתרונות אבטחה ל-SDN אבל שובר השוויון פה הוא העובדה שטכנולוגיית SDN מאפשרת בניית “מעטפת אבטחה” דינמית, למנוע התקפות ולאכוף מדיניות מידור ואבטחת מידע באופן הדוק על משתמשים ואפליקציות. 

****

הכותב הוא סמנכ”ל טכנולוגיות בחברת תים-נטקום

אולי יעניין אותך גם