metamorworks - stock.adobe.com
Neudefinition von Secure Networking für Edge und Cloud
Netzwerke sind nicht mehr klar begrenzt und daher schwer zu schützen. Eine ganzheitliche Verteidigungsstrategie ist nötig, meint Michael Kagan, CTO von Mellanox Technologies.
Das heutige Netzwerk ist nicht mehr ein Element, das leicht von äußeren Bedrohungen abgeschirmt werden kann, es ist vielmehr zu einer Umgebung geworden, in die Gefahren eindringen, in der sie latent schlummern oder an einem beliebigen Ort auftauchen können. Wenn das Netzwerk sich selbst verteidigen soll, anstatt sich voll und ganz auf reaktive Unterstützungsmechanismen zu verlassen, müssen Netzwerk und Sicherheit konvergieren.
Das Wachstum von Cloud Computing und Edge Computing hat die physischen und virtuellen Grenzen des Rechenzentrums neu definiert. Die Verbreitung von drahtlosen Netzwerken, mobilen Geräten und BYOD (Bring Your Own Device) bedeutet, dass die IT nicht mehr ein geschlossenes Netzwerk von Standard-Desktop-Computern mit klar definierten Sicherheitsrichtlinien verwaltet.
Diese portablen Geräte sparen Zeit, werden von den Mitarbeitern bevorzugt und erhöhen die Produktivität. Das kontinuierliche Wachstum von Cloud-Diensten bedeutet auch, dass jedes Gerät heute einen Endpunkt darstellt, der für Angriffe anfällig ist. Und es gibt kein Zurück: denn genau diese Entwicklungen sind die Motoren der heutigen digitalen Transformation.
Gleichzeitig entwickeln sich die Cyberbedrohungen rasch weiter. Sie richten sich immer stärker auf verwundbare Organisationen und suchen nach spezifischen Schwachstellen, um in das System einzudringen. Aber sie werden auch immer diffuser, da Botnets die Cloud mit Milliarden ungezielter Malware verseuchen, in der Erwartung, dass manches davon auf fruchtbaren Boden fällt.
Es ist extrem schwierig, sich gegen die toxische Mischung aus großen Mengen und hochpräzisen Angriffen zu verteidigen. Fügt man noch die ständige Weiterentwicklung der Angriffsvektoren und -strategien hinzu, sind die Organisationen gezwungen, ihre Sicherheitspolitik kontinuierlich zu bewerten und nach besseren Lösungen zu suchen. Der Trend geht nun hin zu ganzheitlicheren Verteidigungsstrategien – zu Strategien, die sowohl physische, virtuelle als auch menschliche Faktoren berücksichtigen.
Ein alter Krieg in neuen Konstellationen
Der Krieg gegen die Cyberkriminalität läuft nunmehr schon seit einem halben Jahrhundert, obwohl die Angriffe erst seit der Verbreitung des Public Internet wirklich bösartig geworden sind. Man vergleiche dazu die Bemühungen mit denen der Natur, die ähnliche Kämpfe nicht erst seit Jahrzehnten, sondern seit Millionen von Jahren führt.
Nimmt man den menschlichen Körper als Beispiel für eine natürliche Organisation, so verfügt er auf den ersten Blick über eine offensichtliche Peripherie – die menschliche Haut – mit eigenen Abwehrschichten gegen Schmutz und Krankheiten. Es gibt zudem ein Kommunikationsnetzwerk von Nerven, die Signale an das Datenzentrum im Gehirn senden, um vor größeren Bedrohungen zu warnen – wie dem Treten auf einen Dorn oder dem Schneiden eines Fingers – und diese können Ausweichmanöver auslösen, um den Schaden zu verringern.
Aber, wie in den heutigen Netzwerken, reicht es nicht aus, nur die Peripherie zu sichern. Malware kann an jedem weniger geschützten Endpunkt eindringen, ihre Zeit abwarten und sich dann seitwärts durch das System bewegen, um nach Möglichkeiten zu suchen.
Ebenso können Viren und Bakterien in die Lunge, die Augen und die Ohren eindringen, und sie können überall im Körper unentdeckt schlummern, bevor sie sich plötzlich vermehren und in den Blutkreislauf gelangen. Sogar das Gehirn selbst kann beeinträchtigt werden.
Die Natur hat also ganzheitliche Abwehrstrategien entwickelt, bei denen die Intelligenz nicht nur im Gehirn konzentriert ist, sondern sich im gesamten Körper verteilt. Wenn der Fuß auf einen Dorn tritt, müssen die Nervensignale das Gehirn nicht unbedingt erreichen, bevor die Gefahr erkannt und dem Fuß der Rückzug befohlen wird – stattdessen gibt es lokale Reaktionen, die nahezu in Echtzeit funktionieren. Wenn Mikroben aus einer Zyste ausbrechen, lösen sie sofortige lokale Reaktionen des Immunsystems aus, bevor die Gefahr bewusst wahrgenommen wird.
Millionen von Jahren der Evolution angesichts der allgegenwärtigen Bedrohungen haben dazu geführt, dass die Intelligenz in die Hardware im gesamten menschlichen Körper eingebaut wurde – eine ganzheitliche Strategie, die die jüngsten und laufenden Entwicklungen in der Rechenzentrums- und Netzwerktechnologie inspiriert.
Verteilte Intelligenz, universelle Verteidigung
Vikram Phatak, der Gründer des Analystenunternehmens NSS Labs, erklärt dazu: „Da unzählige neue wirtschaftliche Möglichkeiten durch softwaredefinierte Cloud-Technologien erschlossen werden, bringen sie zahlreiche Sicherheitsanforderungen mit sich. Reine softwaredefinierte Sicherheitslösungen für das Internet, die von der zugrunde liegenden Hardware entkoppelt sind, sind gefordert, um einen angemessenen Schutz, eine angemessene Skalierbarkeit und Effizienz zu erreichen.“
Phatak ist der Ansicht, dass verteilte, speziell entwickelte Netzwerkhardware in Kombination mit nativer Cloud-Software erforderlich ist, um die Art von hardwarebeschleunigter, feinkörniger Sicherheit zu liefern, die zur Verbesserung der Netzwerkeffizienz und -agilität bei gleichzeitiger Aufrechterhaltung des höchsten Sicherheitsniveaus erforderlich ist.
Moderne Netzwerkkarten (NIC) sind beispielsweise derartige intelligente Geräte mit eigenen integrierten Prozessoren. Diese über das Netzwerk verteilte Intelligenz in der Art eines Immunsystems, kann normalen Traffic verstehen und anomales Verhalten erkennen und vor Ort Abwehrmaßnahmen einleiten.
Dies ist der Schlüssel zur Schaffung einer verteilten, vertrauenswürdigen Sicherheitsarchitektur, die die herkömmliche Perimetersicherheit auf jeden Endpunkt im gesamten System ausdehnt. Neben der Durchsetzung einer robusten Sicherheit im gesamten Netzwerk werden die Verbindungen in Echtzeit verfolgt und spezifische Anforderungen für eine optimale Anwendungsleistung verwaltet.
Aber wie wirkt sich dieser Ansatz auf die Systemleistung aus? Die neue Generation intelligenter Netzwerkkarten übernimmt einen Großteil der zusätzlichen Arbeit, die mit dem Betrieb eines softwaredefinierten Netzwerks verbunden ist – Prozesse, die sonst auf den Servern des Rechenzentrums laufen würden. Dadurch wird die Belastung dieser Server verringert und Rechenleistung für die Bedienung von Anwendungen freigesetzt – das Netzwerk selbst wird so zu einem leistungsstarken Co-Prozessor, der die Anwendungsleistung um das Zehnfache oder mehr steigert.
Genauso wie der menschliche Körper Ressourcen neu zuweisen kann, um auf einen Systemausfall zu reagieren, kann ein intelligentes Netzwerk den Datenverkehr umleiten, um Staus zu reduzieren oder einen ausgefallenen Knoten zu umgehen – so wird die Leistung nicht nur gesteigert, sondern auch zuverlässiger. Konfigurationen, für die früher ein Team von Technikern jedes Element des Systems mühsam neu konfigurieren musste, erfolgen jetzt automatisch in Echtzeit.
Sicherheit ist nicht länger ein Add-On
Die Zeit, in der man ein Netzwerk entwerfen und einrichten und die Frage der Sicherheit auf später verschieben konnte – in dem beruhigenden Glauben, dass dann die allerneuesten Firewalls, Intrusion Detection und andere Lösungen für eine hochmoderne Verteidigung hinzugefügt werden können – gehört der Vergangenheit an. Dazu schreitet die Entwicklung zu schnell voran.
Netzwerke sind an den Rändern unscharf geworden, und jeder mit der Cloud verbundene Knoten wird zu einem potenziell verwundbaren Endpunkt. Das Netzwerk selbst muss Funktionen enthalten, um die erste Reaktion auf eine Bedrohung irgendwo im System auszulösen – seien es Malware oder Fehlfunktionen.
„Das Netzwerk muss lernen, sich selbst zu verteidigen. Dazu müssen allerdings Netzwerk und Sicherheit jetzt zusammenwachsen.“
Michael Kagan, Mellanox Technologies
----
Um in der heutigen toxischen Umgebung – in der hochgradig gezielte Angriffe unter den Schleiern der Malware lauern – auf dem Laufenden zu bleiben, können wir uns nicht mehr auf reaktive Unterstützungsmechanismen verlassen. Das Netzwerk muss lernen sich selbst zu verteidigen. Dazu müssen allerdings Netzwerk und Sicherheit jetzt zusammenwachsen.
Über den Autor:
Michael Kagan ist CTO und Mitbegründer von Mellanox Technologies. Zuvor war er als VP Architecture im Unternehmen tätig. Von 1983 bis 1999 hatte er verschiedene Positionen bei der Intel Corporation inne. Er leitete unter anderem das Design des Pentium MMX sowie das Architekturteam der Basic-PC-Produktgruppe. Michael Kagan hat einen Bachelor of Science in Elektrotechnik vom Technion - Israel Institute of Technology. Mellanox Technologies ist ein Anbieter von End-to-End-Ethernet- und InfiniBand-Lösungen und -Services für intelligente Verbindungen für Server und Speicher.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.