All About Security
  • Aktuelle Sicherheitsartikeln als RSS Feed
  • All About Security auf Twitter
  • All About Security auf Xing
  • Unter4Ohren IT-Security Podcast auf YouTube

Security-Management, Fachartikel

Netzwerke sicher virtualisieren mit Software-defined Networking (SDN)

Netzwerke sicher virtualisieren mit Software-defined Networking (SDN)

Die Ansprüche, welchen unsere IT-Landschaft gerecht werden muss, verändern sich ständig. Agilität ist gerade im digitalen Zeitalter eine der wichtigsten Kenngrößen. Das Virtualisieren von IT-Ressourcen ist aktuell schon als „Best Practice“ zum Erlangen von höchstmöglicher Flexibilität anzusehen. Seit einiger Zeit ist nun auch das Virtualisieren der Netze in aller Munde. Entscheidungsträger sind aufgefordert, diese Architekturen zu bewerten, wenn es darum geht, den vorhandenen Netzwerkinfrastrukturen mehr Flexibilität zu geben oder neue hoch skalierbare Netze zu errichten. Software-defined Networking scheint die vielversprechendsten Lösungen für mehr Flexibilität und Agilität im Netz bereitzustellen. Ob es sich hierbei nur um den Hype einer neuen Netzarchitektur oder eine zukunftsträchtige Lösung handelt, soll dieser Artikel beleuchten.

Im Bereich der IT ist die Virtualisierungstechnik längst nicht mehr neu. Schon in den 60er Jahren experimentierten Hardwarehersteller wie IBM mit virtueller Speicherverwaltung zur Partitionierung von Ressourcen in deren Mainframes. Das ermöglichte ein quasi Multitasking und somit ein beinahe paralleles Rechnen. Virtualisierung beschreibt ein Verfahren in der IT, Rechentechnik zu abstrahieren und konsolidiert durch eine Virtualisierungssoftware auf physikalischen Maschinen zu reproduzieren. Auf einem physikalischen Rechner können so mehr als ein Betriebssystem parallel und voneinander gekapselt betrieben werden, obwohl sie sich die Hardware-Ressourcen teilen.

Der Virtualisierung der IT-Infrastruktur wird zukünftig eine immer größer werdende Bedeutung zukommen. Während ein Softwareprodukt durchschnittlich sechs Monate Entwicklungszeit benötigt, wird für ein vergleichbares, in Hardware umgesetztes Produkt, mehrere Jahre Entwicklung benötigt. Der Vorteil der kürzeren Entwicklungszeit beeinflusst Entscheidungsträger bei der Wahl der Mittel und wird so die Virtualisierung weiter vorantreiben. Der daraus resultierende finanzielle Vorteil gegenüber traditioneller Betreibertechnik wird der größte Treiber sein. Nach der mittlerweile etablierten Client/Server/Storage-Virtualisierung wird nun der nächste Schritt, hin zur Virtualisierung der Netzwerkinfrastruktur folgen.

So sollte gerade im Bereich der Automation und der flexibleren Administrierbarkeit ein Schritt nach vorn gegangen werden. Eine zentrale Steuerung der IT-Netzwerkinfrastruktur ist, nicht zuletzt aufgrund der angespannten personellen Lage bei den meisten Unternehmen, von enormer Bedeutung. Durch bessere Kontrollmöglichkeiten soll die Revisionsfähigkeit erhöht werden. Benötigt wird auch eine Steigerung der Leistungsfähigkeit und der Skalierbarkeit im Netzwerk. Auch muss die Fähigkeit der bereits vorhandenen Netzwerkgeräte überprüft werden, SDN nutzen zu können. Sollte das nicht der Fall sein, muss geprüft werden, ob es grundsätzlich möglich ist und wie hoch der Aufwand ausfällt, die Geräte auf die neue Architektur zu migrieren. Allgemein muss die neue Architektur den zukünftigen Anforderungen gewachsen sein. Dazu zählen die ständig wachsenden Anforderungen der Benutzer an die Antwortzeiten der genutzten Applikationen, die stetige Steigerung der Anzahl der Benutzer, welche über das Netzwerk auf Dienste zugreifen und eine Dynamisierung der Applikationsarchitekturen. Das bedeutet auch das Betreiben von Netzwerk verteilten Applikationen. Ferner muss das Netzwerk dem Wachstum der systembedingten Kommunikation durch die allgemeine Virtualisierung standhalten können. Und nicht zuletzt, die erhöhten Anforderungen an die technischen Antwortzeiten durch die Systemkomponenten selbst (Netzwerk-Overhead).

Grundlagen SDN

Welche Philosophie verbirgt sich hinter SDN? Im Großen und Ganzen geht es um Erhöhung der Flexibilität im Netz und Minimierung von Kosten. Ganz neu ist die SDN-Philosophie nicht. Schon in den Achtzigern lief auf spezialisierten Unix-Systemen Software für das Routing von Datenpaketen unter einer abgekoppelten Kontrollinstanz. Seit den frühen Neunzigern versuchten Firmen wie Enterasys Networks im experimentellen Stadium in ihren Netzwerkkomponenten die Kontroll- von der Datenebene zu trennen. Um die Jahrtausendwende verwarf man die Idee zwischenzeitlich, da der benötigte Durchsatz nicht erlangt wurde, um einen Vorteil gegenüber der herkömmlichen Paketübermittlung zu erreichen. Dank der heutigen Rechen-technik ändert sich das nun. Um den Unterschied zu traditionellen Netzwerken darzulegen, ist zunächst ein Blick auf die Technik der herkömmlichen Netzwerkinfrastruktur nötig.

Ein Router oder Switch sind speziell für eine bestimmte Anwendung entworfene Geräte. Auch diese bestehen aus einer Control- und Dataplane. Um Funktionsrobustheit und Schaltgeschwindigkeit zu maximieren, setzen Hersteller seit den 80er Jahren ausschließlich auf die Verwendung von applikationsspezifischen integrierten Schaltkreisen, sogenannten ASICs, kompakte Chips, in denen, fest verdrahtet, die Funktionalitäten der Komponenten eingebrannt sind. Dies garantiert schnellstmögliche Paketbearbeitung, senkt allerdings die Flexibilität auf ein Minimum. Jedes Gerät wird proprietär vom Hersteller auf seine fest eingerichteten Funktionen festgelegt und muss zusätzlich noch vom Anwender für den vorgesehenen Betrieb konfiguriert werden. Um die Barriere der Inflexibilität zu durchdringen, wurde nach Ansätzen geforscht, welche herkömmliche Netzwerktechnik dynamischer gestalten lässt. Einer dieser Ansätze ist die Nutzung von SDN.

Die Idee um SDN ist schon ein paar Jahre alt. In seiner Doktorarbeit an der Stanford University, beschrieb Martin Casado im Jahr 2008 die Idee der logischen Trennung von Kontrollmechanismen und Datenfluss. Er gilt somit gemeinsam mit seinen Betreuern Nick McKeown, Scott Shenker und Dan Boneh als Vater dieser Architektur.

Eine herkömmliche physikalische Netzwerkinfrastruktur ist ein relativ starres physisches Konstrukt aus Switches, Routern, Kabeln und Endgeräten. Netze lassen sich informationssicher komfortabel überwachen und es ist relativ einfach, Konfigurationen oder Log-Dateien auszulesen, einzuspielen und grafisch darzustellen. Allerdings müssen die unterschiedlichen Komponenten für sich konfiguriert und administriert werden. Eine Zentralisierung und Konsolidierung ist nicht, oder nur ansatzweise möglich. Infrastrukturelle Änderungen sind aktuell in vielen Unternehmen ein mittelgroßes bis großes Projekt, begleitet vom drohenden Totalausfall, wie beispielsweise beim Umbau bzw. der Umkonfigurierung der produktiv verwendeten Geräte. Der höchst mögliche Grad an Flexibilität wird aktuell in statischen Netzwerken mit der Erzeugung von VLANs bzw. VPNs erreicht. Beide Technologien überschneiden sich funktional und haben die gleichen Ziele - die Agilität und Sicherheit eines Netzwerkes zu erhöhen. Das wird erreicht, indem bei beiden “Packet Encapsulation“ für das Routen in einem physikalischen Netzwerk genutzt wird. Doch da, wo die technischen Möglichkeiten der Separierung durch VLANs aufhören, beginnen die Funktionalitäten eines SDN erst.

Die technische Realisierung von SDN

Wie kann sich der Anwender die SDN-Funktionalität vorstellen? In einem traditionellen Netzwerk, welches überwiegend aus physischen Netzwerkkomponenten besteht, muss jede Instanz bei Einbau und Veränderung, für sich an das Netzwerk angepasst werden. Über Konfigurationen, welche in jedem Switch und jedem Router separat implementiert werden, kann der Netzwerkverbund miteinander interagieren. Jede Komponente beinhaltet so eine eigene Zentrale, die über den Umgang mit ankommenden und abgehenden Datenpaketen entscheiden muss. Alle Geräte sind grundsätzlich hierarchisch gleichgestellt. Eine Priorisierung gibt es nur bezüglich einiger Protokolle, wie beispielsweise bei OSPF oder BGP. Ändert sich nun beispielsweise die Unternehmensstruktur, was in der Regel auch den Umzug der Mitarbeiter beinhaltet, werden meist neue Anforderungen an die Netzwerkinfrastruktur gestellt. Zugänge müssen verändert, Ports gesperrt und andere freigeschaltet werden. In einem physikalischen Netzwerk ist es nötig, jede betroffene Komponente den neuen Ansprüchen händisch anzupassen und die Konfiguration zu ändern. Das erfordert mitunter erheblichen Zeitaufwand bei der Administration und verursacht somit unnötige Kosten. Die SDN-Architektur kann hier für Abhilfe sorgen. Durch eine Trennung von Daten- und Kontrollebene wird es möglich, eine übergeordnete Instanz (SDN-Controller) zu schaffen, welche die Schalt- und Entscheidungsprozesse für alle, sich im Netzwerk befindlichen aktiven Komponenten übernimmt. 

Abbildung-1: SDN-Controller-Architektur

<< Erste < Vorherige Page 1 Page 2 Page 3 Page 4 Nächste > Letzte >>

Diesen Artikel empfehlen

Einblicke in die Preise für gestohlene Daten

Intel Security veröffentlicht heute seinen Bericht The Hidden Data Economy, der einen Einblick gibt, wie und mit welchen Arten von gestohlenen Daten im Internet gehandelt wird. Dabei wird anhand von Beispielen die Preispolitik für den Handel mit diesen sensiblen Daten erläutert. Die McAfee Labs der...

Neue Bitkom-Checkliste zur elektronischen Archivierung

„Der Gesetzgeber schreibt zwar vor, was zu tun ist, beantwortet aber nicht die Frage danach, wie Unternehmen diese Anforderungen erfüllen können“, sagt Jürgen Biffar, Vorstandsvorsitzender des Kompetenzbereichs ECM im Bitkom. Die neue „GoBD*-Checkliste für Dokumentenmanagement-Systeme“ des...

IT-Sicherheit aus einem anderen Blickwinkel - Change or die

Gleichzeitig sind in den vergangenen Jahren die Anstrengungen zur Erhöhung der IT-Sicherheit massiv angestiegen, was sich nicht zuletzt auch in einer nationalen Cyber-Sicherheitsstrategie niedergeschlagen hat. Doch warum ist keine Verbesserung zu bemerken bzw. wann wird diese endlich...

Sichere Integrationsinfrastruktur – der Einstieg

Beim Aufbau und Betrieb einer Plattform zur System- oder Prozessintegration stößt man auf verschiedene technische und organisatorische Probleme. In diesem Artikel soll zunächst einmal auf Grundlagen eingegangen werden, um die verschiedenen Herausforderungen – insbesondere auch zur...

IT-SiG verabschiedet – was kommt auf uns zu?

Die Informationstechnologie prägt seit Jahrzehnten die Unternehmen in immer stärkerem Maße und spätestens seit Mitte der 90-er Jahre kann man dies auch für das Internet feststellen. Dass das Internet somit schon lange kein „Neuland“ mehr für deutsche Unternehmen ist, dies hat nun mittlerweile auch...

Neue Vorgaben der Finanzverwaltung für die IT-Compliance

Eine Verwaltungsverordnung kann zwar dem Bürger keine direkten Pflichten auferlegen, dennoch ist die GoBD von erheblicher Bedeutung, da die Finanzämter das Schreiben des BMF bei der Bearbeitung der Steuerangelegenheiten zwingend befolgen müssen und sich daher die Bearbeitungspraxis der Finanzämter...

Reputationsdienst für Zertifikate

Der jüngsten Untersuchung des Ponemon Instituts zufolge, mussten alle 2.300 befragten Unternehmen in den letzten zwei Jahren auf wiederholte Angriffe auf Schlüssel und Zertifikate reagieren. Die Bedrohungsforschung von FireEye, Intel, Kaspersky und Mandiant identifiziert immer wieder den Missbrauch...

Sichere Systeme – Security beim Hardwaredesign

Als eines der kritischen Systeme ist unser Straßenverkehr zu sehen. Jeder kennt es: In dicht besiedelten und infrastrukturell gut ausgestatteten Regionen reicht ein Kfz mit Defekt, um große Teile des Straßenverkehrs zu stören oder gar zum Erliegen zu bringen. Dies, und vorrangig die...

Das Ende der Ära von SSLv3

Wer hätte das gedacht, dass ein Pudel (engl. poodle) die lange Amtszeit von SSLv3 so abrupt beenden würde? Immerhin hat es vor diesem Angriff viele andere Angriffe auf das Protokoll gegeben, wie zum Beispiel BEAST, CRIME oder auch BREACH, denen man namentlich eher den Sturz von SSLv3 zugetraut...

eHealth – Der „Neue Markt“ für Cyber-Kriminelle?

Hinweise auf bereits festgestellte oder befürchtete Datenschutzverletzungen im Gesundheitswesen ereilen uns nahezu täglich. Bei immer mehr elektronisch gespeicherten medizinischen Daten und zunehmendem Datenaustausch müssen wir wohl zukünftig mit noch mehr Alarmmeldungen wie den nachstehenden...

Gefährliche Dinge(r) im Internet-of-Things?

Viele sprechen heute schon von der vierten industriellen Revolution (nach Erfindung der Dampfmaschine, der Einführung der Elektrizität und dem Beginn des Computerzeitalters) und meinen damit die bereits angelaufene Vernetzung im Internet-of-Things (IoT). Gartner geht in der Studie „Forecast: The...

Out-Of-Band-Management mit eingebauten Sicherheitsproblemen

„Turnschuhadministration“ - dieser Begriff ist sicherlich ein Albtraum für jeden Administrator, der etwas von seinem Handwerk versteht oder dessen Server nicht gerade im Raum nebenan stehen. Damit nicht für jede Tätigkeit der Weg in den Serverraum angetreten werden muss, bedient man sich...

Neuer Entwurf des IT-Sicherheitsgesetzes veröffentlicht

Eine erste Durchsicht des Entwurfs brachte folgende wesentliche Punkte und Neuerungen gegenüber dem Entwurf der alten Legislaturperiode für Betreiber Kritischer Infrastrukturen zu Tage: • Die Definition Kritischer Infrastrukturen und damit die Abgrenzung des Geltungsbereiches des Gesetzes ist...