Network-Visibility-Architektur

Durchblick im Netzwerk schafft mehr Sicherheit

| Autor / Redakteur: Jeff Harris / Peter Schmitz

In den komplexen Netzwerk-Umgebungen von heute mit physischen, virtuellen und Cloud-Komponenten braucht es eine neue Visibility-Architektur um Probleme frühzeitig zu erkennen und zu lokalisieren.
In den komplexen Netzwerk-Umgebungen von heute mit physischen, virtuellen und Cloud-Komponenten braucht es eine neue Visibility-Architektur um Probleme frühzeitig zu erkennen und zu lokalisieren. (Bild: Pixabay / CC0)

Der Einsatz unterschiedlicher Monitoring- und Security-Tools führt in komplexen Netzwerken nicht nur zu potentiellen Sicherheitslücken, sondern verhindert auch einen effizienten Betrieb dieser Tools. Eine sorgfältig designte Visibility- und Security-Architektur sorgt für die Integration aller Tools und schafft gleichzeitig definierte Schnittstellen zwischen den Verantwortlichkeiten für die Tools und die Netzwerkinfrastruktur.

Jedes Unternehmen ist abhängig von gewissen Kernanwendungen, die auf irgendeine Weise vernetzt sind. Unternehmenskunden und Nutzer erwarten, zu jeder Zeit und von jedem Ort aus Zugriff auf diese Anwendungen zu haben. Es ist Aufgabe der IT, dafür zu sorgen, dass die Infrastruktur diese Anwendungen zuverlässig, schnell und sicher zur Verfügung stellen kann. Diese hohen Anforderungen an Zuverlässigkeit, Performance und Sicherheit zu erfüllen, kann eine große Herausforderung sein. Ein wesentliches Problem besteht dabei darin, Probleme frühzeitig zu erkennen und zu lokalisieren. Tatsächlich wird laut Zeus Kerravala, Chefanalyst bei ZK Research, 85 Prozent der Mean Time to Repair (MTTR) darauf verwendet, herauszufinden, dass es tatsächlich ein Problem gibt. Diese Tatsache steht in der Regel einer schnellen Problemlösung im Wege.

Einer der Gründe ist die zunehmende Aufteilung von Verantwortlichkeiten in der IT. Unterschiedliche Teams kümmern sich um die verschiedenen Aspekte des Netzes, etwa Netzwerkbetrieb, Applikationen, Sicherheit, Server-Administration, Forensik, Datenschutz oder Audits. Jedes dieser IT-Teams beschafft sich seine eigene Palette an Analyse- und Monitoring-Tools wie:

  • Network Performance Monitoring and Diagnostics (NPMD)
  • Application Performance Monitoring (APM)
  • Threat Intelligence Gateways
  • Customer Experience Monitoring (CEM)
  • Forensik Probes und/oder Crash Carts
  • Intrusion Detection Systeme (IDS)
  • Security Information und Event Management (SIEM)
  • Firewalls und Firewalls der nächsten Generation
  • Intrusion Prevention Systeme (IPS)

In der Regel wird jedes dieser Systeme individuell eingeführt und betrieben. Auf der einen Seite führt dies zu einem erheblichen Implementierungsaufwand, da jede Tool-Einführung ein eigenes Projekt darstellt. Zum anderen führt die fehlende Integration dazu, dass es weiterhin blinde Flecken im Unternehmensnetz gibt und Teile des Netzwerkverkehrs nicht so analysiert werden können, wie es für einen sicheren und unterbrechungsfreien Betrieb erforderlich wäre.

In den komplexen Umgebungen von heute mit physischen, virtuellen und Cloud-Komponenten wird daher auch ein neues Visibility-Modell benötigt. Ein solches Modell muss den richtigen Analyse-, Monitoring und Security Tools kompletten Zugriff auf den Ende-zu-Ende Datenverkehr ermöglichen, sie idealerweise um globale Application und Threat Intelligence ergänzen und eine Visibility-Lösung umfassen, die diese Systeme verbindet. Ein solches Modell ist nicht nur geeignet, das Out-of-Band Monitoring zu verbessern, sondern ermöglicht auch einen effektiven und unterbrechungsfreien Einsatz von Inline Security Tools. Zudem können neue Tools schneller integriert werden, und auch die Fehleranalyse und -beseitigung werden deutlich beschleunigt. Schließlich kann eine durchdachte Visibility-Architektur bei einem Ausbau der Bandbreite auch die Nutzungsdauer bestehender Tools verlängern. Eine solche Architektur vereinigt drei wesentliche Komponenten:

  • Visibility Framework – damit die richtigen Daten zur richtigen Zeit zum richtigen Tool gelangen
  • Security Framework – für ausfallsicheren Betrieb von Inline Security Tools
  • Monitoring Framework – zur Validierung aktiver SLAs und Customer Experience Monitoring

Intelligent Visibility Framework

Das Intelligent Visibility Framework ermöglicht ein effektives und effizientes Out-of-Band Monitoring für Netzwerk, Anwendungen und Security. Ziel ist es, Out-of-Band Monitoring Tools durch einfachen Zugang zum Datenverkehr und auf externe Intelligence einen umfassenderen Einblick in das Unternehmensnetz zu verschaffen. So können sich diese Tools effizient auf die wichtigen Dinge konzentrieren. Es geht darum, umfassenden Einblick in die Netze zu haben, um so die sprichwörtliche Nadel im Heuhaufen leicht finden zu können.

Typischerweise werden dabei eine Vielzahl an physischen und virtuellen Netzwerk-Taps, intelligente Network Packet Broker, externe Application und Threat Intelligence Feeds, sowie IT-Monitoring und Security Tools implementiert. Richtig eingesetzt, ermöglichen diese Komponenten den zuverlässigen Zugriff auf Ende-zu-Ende Datenverkehr, die Datenfilterung, das Entschlüsseln von SSL-Traffic für das Monitoring, die Generierung von NetFlow-Daten mit erweiterten kontextbezogenen Metadaten, die Maskierung sensibler Inhalte wie Kreditkartennummern und bei Bedarf einen Lastenausgleich auf mehrere Monitoring Tools. Ein sorgfältig geplantes Visibility Framework führt zu einem deutlich effizienteren Einsatz von Monitoring Tools und dadurch zu geringeren Monitoring-Kosten. Weitere Vorteile sind kürzere Fehlersuche und Mean Time to Repair (MTTR) sowie höhere Zuverlässigkeit und Performance. Schließlich ermöglicht ein solches Framework auch eine deutlich effizientere Zusammenarbeit zwischen den verschiedenen IT-Teams.

Resilient Security Framework

Das Resilient Security Framework macht Schluss mit der gefährlichen Praxis, mehrere Inline Security Tools direkt in das Netz zu integrieren. Das ermöglicht ein ausfallsicheres Deployment solcher Tools und führt somit zu wesentlich weniger Spannungen zwischen den Netzwerk- und Security-Teams. Ein solches Framework führt eine High-Availability-Zone ein, in der Security Tools mit maximaler Verfügbarkeit, Flexibilität und Performance eingesetzt werden können. Geschaffen wird diese Zone über Bypass Switches, die den Security Tools den ausfallsicheren Zugang zum gesamten eingehenden Verkehr aus dem öffentlichen Netz ermöglichen. Die Switches leiten diesen Verkehr an Network Packet Broker weiter, die die Pakete inspizieren und an die jeweils relevanten Tools oder Toolfarmen weiterleiten. Nach Durchlaufen der Sicherheitssysteme wird der Traffic dann über die Bypass Switches an das interne Netzwerk übergeben. Die Bypass-Funktion stellt dabei sicher, dass die Daten auch beim Ausfall von Sicherheitssystemen ihr Ziel erreichen.

Packet Broker können den Traffic anwendungsspezifisch nur an die Tools weiterleiten, die für die jeweilige Applikation benötigt werden. Verlangsamt beispielsweise YouTube- oder Social-Media-Verkehr ein Tool, das diesen gar nicht inspizieren muss, kann er einfach daran vorbei geleitet werden. Zudem fungieren die Packet Broker als Load Balancer und können daher beispielsweise E-Mail-Verkehr effizient auf mehrere Anti-Virus-Systeme verteilen. Das gewährleistet nicht nur eine hohe Verfügbarkeit und Performance, sondern erhöht auch die Skalierbarkeit, da bei Upgrades einfach die entsprechende Toolfarm um ein weiteres System ergänzt werden kann. Müssen nicht alle Pakete alle Sicherheitstools durchlaufen, kommt dies überdies der Latency zugute. Um maximale Verfügbarkeit zu erreichen, sollten sowohl die Bypass Switches als auch die Packet Broker redundant ausgelegt sein.

Der Ansatz, die verschiedenen Sicherheitssysteme parallel statt in Reihe zu betreiben, hat auch gravierende Auswirkungen auf den Betrieb und das Change Management. Upgrades oder Wartungsarbeiten an einem einzelnen Tool haben so keinen negativen Einfluss auf das Gesamtsystem, da andere Tools davon nicht beeinträchtigt werden. Da die Bypass Switches praktisch die einzigen echten Inline-Systeme sind und das Sicherheitsteam ein komplett eigenes Spielfeld erhält, können sowohl das Netzwerk- als auch das Security-Team sich auf ihre jeweiligen Prioritäten konzentrieren, ohne sich dabei gegenseitig in die Quere zu kommen. Upgrades, Patches und Erweiterungen innerhalb der Sicherheitsarchitektur haben so keine negativen Auswirkungen auf Verfügbarkeit und Performance des gesamten Netzwerks.

Proaktives Monitoring Framework

Das Proaktive Monitoring Framework ermöglicht eine einfache Überwachung der SLA und Customer Experience für eine Vielzahl an Diensten, darunter Voice, Video, Web Services und kritische Enterprise-Anwendungen. Das Ziel ist es, sicherzustellen, dass die Infrastruktur zu jeder Zeit eine einzigartige Customer Experience liefert. Typischerweise umfasst ein solches Deployment aktive Software- oder Hardware-Endpunkte, emulierten Anwendungs-Traffic und eine einfache webbasierte Management- und Monitoring-Oberfläche. Es ermöglicht SLA und Experience Monitoring, Site-to-Site und Site-to-Datacenter Reliability und Performance Monitoring, sowie proaktive Fehlererkennung und -isolation.

Über den Autor: Jeff Harris ist Vice President, Solutions Marketing bei Ixia.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44645751 / Security Monitoring)