sommersby - stock.adobe.com
Wie Sie einen vTAP für Cloud-Netzwerke einsetzen
Ein vTAP kann für Unternehmen bessere Einblicke in ihre Cloud-Netzwerke bedeuten. Erfahren Sie, wie virtuelle Netzwerk-TAPs funktionieren und welche Optionen verfügbar sind.
Netzwerkpakete an strategischen Punkten innerhalb eines Netzwerks erfassen zu können, ist von unschätzbarem Wert, egal ob zum Troubleshooting oder Security Monitoring.
Wenn etwa User berichten, dass eine Website zeitweise nicht erreichbar ist, kann die IT die erfassten Netzwerkpakete analysieren und das zugrunde liegende Problem finden. Dazu sieht sie sich die Interaktionen zwischen dem Client und dem Webserver oder Router an.
Es ist ebenfalls möglich, ein Intrusion Detection System (IDS) einzusetzen, das den Datenstrom abhört. Wenn es anhand von bekannten Signaturen oder Traffic-Anomalien verdächtigen oder bösartigen Traffic identifiziert, werden die Nutzer alarmiert.
Was ist ein TAP?
Um diese Pakete zu erhalten, muss man sie abhören. Ein Netzwerk-TAP (Terminal Access Point) kann ein virtuelles oder physisches Gerät sein, das den Traffic an den Netzwerkschnittstellen belauscht und entweder Kopien der Pakete an ein anderes System sendet oder sie direkt auf einem Datenträger speichert.
Ein physischer TAP kann einfach eine Box mit Spiegeln sein, die das Licht, das über ein Glasfaserkabel transportiert wird, dupliziert. Es kann sich aber alternativ auch um ein Powered Device (PD) handeln, das über eine integrierte Logik sowie Software- und Netzwerkschnittstellen verfügt. Auch viele professionelle Switches bieten die Option, eine Schnittstelle als TAP-Port zuzuweisen. Das wird als Switched Port Analyzer (SPAN) bezeichnet.
Ein virtueller TAP, kurz vTAP, befindet sich in einem Hypervisor, zum Beispiel VMware ESX oder Oracle VM VirtualBox. Er arbeitet auf ähnliche Weise, indem er sich mit einem virtuellen Traffic-Fluss oder virtuellen Switch verbindet. Ein vTAP ist unter anderem deshalb vorteilhaft, weil er Traffic zwischen zwei virtuellen Maschinen innerhalb desselben Hypervisors überwachen kann, ohne dass der Traffic die Hardware verlässt. Mit der Virtualisierung von Netzwerkgeräten, wie Firewalls, Switches und Proxy-Servern, ist dies in den letzten Jahren immer beliebter geworden.
TAPs in der Cloud
Einige Cloud-Service-Provider (CSP) bieten Lösungen, die es den Kunden ermöglichen, ihren Netzwerk-Traffic mitzuhören. Das ist wichtig, weil detaillierte Einblicke ins Troubleshooting und Security Monitoring von entscheidender Bedeutung sind. Dabei ist es unerheblich, ob ein System im lokalen Data Center eines Unternehmens steht oder in einer Cloud-Instanz gehostet wird.
Doch durch den Umstand, dass die Plattformumgebungen der CSPs mehrmandantenfähig sind, entstehen einige Herausforderungen bezüglich Datenschutz und Sicherheit. In einer Umgebung mit mehreren Mandanten kann der CSP keinen Kundenzugriff auf die unteren Schichten der Netzwerkinfrastruktur bieten.
Als weitere Schwierigkeit kommt die standortunabhängige Natur der Public Cloud hinzu. Die Infrastruktur einer Organisation – inklusive deren virtueller Server – lässt sich jederzeit zwischen Data Centern und physischen Systemen verschieben. Das ist kein Problem, solange der CSP die Verfügbarkeit sicherstellt und alle Einschränkungen berücksichtigt, die der Kunde verlangt, etwa dass Daten innerhalb bestimmter geografischer Grenzen bleiben. Allerdings wird es dadurch kompliziert, einen statischen, zuverlässigen vTAP auszuwählen.
Zudem nutzt Netzwerk-Traffic in der Cloud häufig verschiedene CSP-spezifische Header, während die Pakete übertragen werden. Der CSP entfernt diese Header bei Übergabe des Traffics wieder. Doch wenn der Traffic während der Übertragung mitgeschnitten würde, wäre es schwierig, ihn mit den üblicherweise verwendeten Sicherheitsgeräten und -anwendungen zu nutzen.
Da die vTAP-Konfiguration für Kunden recht komplex ist, haben sich kreative Anwender und Wissenschaftler Workarounds ausgedacht – zum Beispiel Network Address Translation (NAT) für AWS.
Unternehmen, die auf Netzwerk-TAPs angewiesen sind, damit ihre Produkte funktionieren, etwa Gigamon, haben zudem neue Produkte und Services entwickelt, beispielsweise TAP as a Service für OpenStack.
Microsoft und Amazon
Microsoft kann Netzwerkdaten über den Azure Network Watcher mitschneiden. Dazu wird ein Network Watcher an einem bestimmten Punkt im Netzwerk konfiguriert. Er kann Traffic erfassen und zur späteren Analyse in einer Datei in einem bestimmten System oder an einem bestimmten Ort speichern.
Das funktioniert gut, wenn es um das Troubleshooting spezifischer netzwerkbezogener Probleme geht. Nicht möglich ist jedoch ein kontinuierliches Monitoring des Traffics in Echtzeit, das notwendig ist, um verdächtige Aktivitäten zu entdecken. Dafür ist ein Live Feed von Daten erforderlich. Das lässt sich erreichen, indem man ein Sicherheitsgerät, etwa ein IDS, direkt in den Traffic-Fluss einbindet oder einen rund um die Uhr gespiegelten Stream des Traffics einrichtet und diesen Stream an ein Sicherheitsgerät, zum Beispiel einen vTAP, sendet.
Nun ist Microsoft mit dem Ende 2018 angekündigten Azure Virtual Network TAP einen Schritt weiter gegangen. Unter Sicherheitsaspekten bieten sich durch die detailliertere Sichtbarkeit eine Fülle neuer Möglichkeiten in der Azure Cloud. Anbieter können jetzt zusätzliche Sicherheitsprodukte entwickeln und auf den Markt bringen, während Anwender Open-Source-Sicherheitskontrollen wie das IDS Snort und eine Reihe von Anomalie-Erkennungssystemen programmieren können.
Obwohl es auf den ersten Blick nicht so scheint, ist dies doch ein großer Schritt vorwärts. Für jedes Unternehmen, das derzeit die Azure-Plattform nutzt, ist Azure Virtual Network TAP eine Entwicklung, die sie im Auge behalten sollten.
Bei Amazon kann der Kunde mit VPC Traffic Mirroring den Netzwerk-Traffic einer EC2-Instance innerhalb seiner Amazon Virtual Private Cloud (Amazon VPC) mitschneiden. VPC Traffic Mirroring benötigen im Gegensatz zu Azure Virtual Network TAP keine Agenten.