Rückblick auf den NetEvents Cloud Innovation Summit

SDN und NFV – neue Wege für Security

| Autor / Redakteur: Martin Cassado / Andreas Donner

"Der gegenwärtige Paradigmenwechsel beim Networking schafft Möglichkeiten, um Architekturen ganz neu zu definieren".
"Der gegenwärtige Paradigmenwechsel beim Networking schafft Möglichkeiten, um Architekturen ganz neu zu definieren". (Bild: Vmware / Zonicgroup)

Martin Casado hat maßgeblich an der Entwicklung von OpenFlow mitgewirkt und gilt vielen als der Vater von SDN. Nachdem er Nicira Networks gegründet und später an VMware verkauft hat, nimmt er dort heute die Rolle des CTO Networking ein. Auf dem NetEvents Cloud Innovation Summit skizzierte Cassado, wie wichtig SDN im Bereich Sicherheit ist.

Der wichtigste Trend der vergangenen Jahre war im Prinzip nicht die Entwicklung von SDN (Software-Defined Networking) oder NFV (Network Function Virtualization), sondern es war der Aufbau riesiger Rechenzentren hinter Cloud-Services durch Unternehmen wie Google, Facebook, Amazon, Azure, Tencent, Baidu oder Yahoo! Diese Datacenter sind in jeder Hinsicht außergewöhnlich. Doch wer hat den Betreibern die notwendige Technologie verkauft? Die Antwort ist: niemand. Man hat sie selbst entwickelt. Und tatsächlich haben die Betreiber dabei sogar Funktionalitäten wie etwa Security, Fehlererkennung, Transparenz oder Fehlerbehebung, die normalerweise im Netzwerk vorgehalten wurden, von der Hardware in Software verlagert.

Diese Verlagerung bringt manche Vorteile. Die Entwicklung kann schneller erfolgen, es gibt einen besseren Kontext durch die größere Nähe zur Anwendung, und die Skalierung ist einfacher. Warum macht es dann also nicht jeder?

Der Grund ist einfach. Dies ist nur möglich, wenn der Anwender seine Applikation selbst verändern kann. Google mit seinen ureigensten Anwendung kann die Sicherheit, das Load-Balancing oder das Billing in die eigene Anwendung verlagern, weil man dort die Kontrolle über die Applikation hat. Wie kann aber ein Rechenzentrum gestaltet werden, wenn keine Kontrolle über die Anwendung besteht? Die Antwort lautet Network Virtualization.

Von der Hardware in die Software

Ein Rechenzentrum verfügt über ein physisches Netzwerk. Cisco-Infrastruktur, IP-Netzwerk, IP-over-Infiniband oder dergleichen. Hinzu kommen virtualisierte Server. Die Idee der Netzwerkvirtualisierung ist es also, die Position am Rande dieses Netzwerkes zu nutzen, um so etwas wie einen Netzwerk-Hypervisor zu schaffen – ebenso wie die Mega-Rechenzentren Funktionalität aus dem physischen Netz in die Anwendung verlagert haben. Übrig bleibt eine virtuelle Abstraktion des physischen Netzes.

Diese Abstraktionen haben das gleiche Betriebsmodell wie eine VM: Sie können dynamisch erstellt, vergrößert und verkleinert oder verlagert werden. Auf diese Weise entstehen die gleichen Charakteristika wie in den Mammut-Rechenzentren – Funktionalität in Software gefasst. Als wir mit der Umsetzung dieser Idee in Zusammenarbeit mit Cloud-Anbietern, Telcos und Unternehmen begannen, dachten die meisten Beobachter, dass wir schlicht verrückt wären.

Als die Computervirtualisierung ihren Anfang nahm, wurde sie meist zur Konsolidierung genutzt – ein einfacher Weg zur Kostensenkung. Einmal etabliert, entwickelte sie sich zu einem leistungsfähigen Weg, viel mehr Aufgaben damit zu erfüllen. Das Gleiche passiert nun mit der Netzwerkvirtualisierung.

Zunächst ging es um die Verkürzung der Bereitstellungszeiten. Eine VM aufzusetzen benötigt 30 Sekunden. Ein Netzwerk zu konfigurieren dauert zwei Monate. In den vergangenen drei Jahren haben zuerst Service-Provider die Netzwerkvirtualisierung genutzt. Danach die Cloud-Anbieter, gefolgt von Test- und Entwicklungseinrichtungen und zuletzt vor allem die Finanzbranche. Im letzten Jahr erfolgte der allgemeine Durchbruch.

Viele große Unternehmen betreiben nun entsprechende Projekte. Dabei hat sich die Fokussierung von der reinen Zeitersparnis in Richtung Security gedreht – etwa 40 Prozent der neuen Anwendungsfälle gehen in diese Richtung. Das war so nicht zu erwarten.

Hauptaugenmerk Security

Datacenter-Security ist heute eine Verteidigungsmauer am Perimeter. Rund 80 Prozent der Investitionen werden hierfür ausgegeben. Wenn aber ein Angreifer hinter diese Verteidigungsmauer kommt, indem er sich etwa im Gebäude selbst befindet, dann gibt es herzlich wenig Verteidigungsmöglichkeiten. Es ist sehr schwierig, ein Terabit Bandbreite zu verteidigen. Deshalb wurden so viele Boxen an den Perimeter gestellt.

Angenommen, es wurde ein Weg in das Rechenzentrum gefunden und Code auf einem beliebigen alten Server installiert. Auf was kann dieser Code nun zugreifen? Die Antwort ist: auf alles. Er hat Zugang zum gesamten physischen Netzwerk, zu allen Betriebssystemversionen und vielen Millionen von Codezeilen inklusive aller anderen Server und shared DHCP, DNS und AD. Wenn es also möglich ist, eine Anwendung zu kompromittieren, dann entsteht daraus der Zugang zu allen Komponenten des Rechenzentrums inklusive der verteilten Speicher.

Die Lösung liegt darin, das Prinzip der geringsten Privilegien umzusetzen. Dabei erhält jede Anwendung im Rechenzentrum Zugang zu exakt den Komponenten, die notwendig sind, um die Aufgabe zu erfüllen – und nicht mehr. Tatsächlich wird Netzwerkvirtualisierung hier dazu verwendet, grundlegende Netzwerkbausteine, so genannte Mikrosegmente, zu schaffen. Alle Elemente in diesem Mikrosegment haben lediglich Zugang zu anderen Elementen in diesem Segment. Diesem virtuellen Netzwerk können eigene Security-Services auf den Layern vier bis sieben zugewiesen werden. Wenn es kompromittiert wird, dann kann auch die Lokalisierung in diesem Mikrosegment erfolgen.

Kostenfaktor Security

Die Ausgaben für IT-Security überholen mehr und mehr die Ausgaben für die gesamte IT-Infrastruktur. Daran hat sich in den letzten zehn Jahren nichts Fundamentales verändert. Das Einzige, was die Ausgaben für IT-Security übertrifft, sind die Schäden durch Sicherheitslücken. Es scheint, dass wir einen Kampf verlieren. Darin liegt aber auch eine Chance. Offensichtlich läuft etwas grundsätzlich falsch.

Seit kurzem hat die so genannte „Goldilock Zone“ einige Aufmerksamkeit erregt. Der Ausdruck aus der Astronomie beschreibt die perfekte Entfernung zwischen einem Planeten und einer Sonne, um die optimalen Voraussetzungen für Leben zu schaffen. Im Falle der Rechenzentren beschreibt dieser Ausdruck einen horizontalen Security-Layer, der beides bietet: Kontext und Isolation.

Wird ein Security-Agent wie etwa eine Firewall in einer Applikation platziert, dann verfügt er über den gesamten Kontext inklusive Anwender, Daten und so weiter. Aber es gibt keine Isolation. Eine Sicherheitskontrolle an dieser Stelle ist wie ein Alarmknopf außerhalb des Gebäudes. Auf der anderen Seite führt die Positionierung einer Sicherheitskontrolle wie etwa ACL auf Switches oder Routern zu einem deutlich kleineren Angriffsbereich. Aber nun besteht Isolation.

Mit rund vierzig Millionen installierten virtuellen Maschinen sind etwa 70 bis 80 Prozent der Unternehmensprozesse virtualisiert. Wenn also der Hypervisor dazu genutzt werden kann, den notwendigen Kontext aus der Anwendung zu ziehen und gleichzeitig den erforderlichen Schutz zu garantieren, dann bietet er die optimale Zone, in der Transparenz, Kontext und Isolation koexistieren können: Die Goldilock Zone der Sicherheit.

Fazit

Wenn die Entwicklung wie bisher voranschreitet, dann werden wir unsere gesamte Zeit und sämtliche Budgets der Sicherheit opfern. Gefordert ist ein völlig neuer Ansatz bei der Architektur. Gesucht ist ein horizontaler Layer für inhaltsbezogene Sicherheit. Wenn dies als Plattform geschaffen ist, können neue Security-Services darauf aufsetzen einschließlich Next-Generation-Firewalls mit Einblick in die Hosts oder Network Access Control mit Verständnis für Objekte, Anwender, Policies oder Schwachstellenanalyse.

Das grundsätzliche Computing-Modell verändert sich nur selten. Vom Mainframe zu Client-Server, von Client-Server zur Cloud. Gegenwärtig erfahren wir einen Wechsel beim Networking. Das schafft neue Möglichkeiten, um Architekturen neu zu definieren, etwa um Sicherheit als Grundelement einzubauen. Wenn es gelingt, diesen Layer zu entwickeln, dann kann Security in ähnlicher Weise voranschreiten wie die Netzwerktechnologie in den letzten sieben Jahren. Zumindest gibt es hierfür die Chance.

Über den Autor

Martin Cassado ist CTO Networking bei VMware.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42819944 / Technologie)