Netzwerksicherheit
Das Netzwerk als Sensor
Fortsetzung des Artikels von Teil 1
Herausforderung: Serverless Computing
Allerdings erschweren neue Konzepte wie Serverless Computing das umfassende Monitoring. Bei Serverless Computing handelt sich um ein Modell, bei dem Anwendungen oder Services in der Cloud entwickelt und ausgeführt werden, ohne dass sich Nutzer um Bereitstellung, Skalierung oder Management der verwendeten Server kümmern müssen. In der Regel funktioniert dies über Laufzeitumgebungen, die dynamisch vom Provider zugewiesen werden.
In dieser Umgebung verändern sich die Strukturen und Prozesse sehr schnell. Zudem werden Netzwerk und Server vom Dienstleister bereitgestellt und sind nicht Eigentum des nutzenden Unternehmens. Wie sichert man also Netzwerk und Server, wenn es im Prinzip gar keine Server gibt, auf denen man etwas installieren darf?
Lösung: Server-Modellierung
Eine Lösung bietet die dynamische Modellierung des Servers. Dazu nimmt eine geeignete Anwendung die entsprechenden Metadaten auf und erstellt daraus ein Modell – in diesem Fall für einen Server. Da sich die gesamte Umgebung um dieses Modell herum verändert, wird der Status so gehalten, als gäbe es wirklich einen Server. Das Modell lässt sich dann wie jeder andere Endpunkt im Netzwerk behandeln. Die Anwendung führt die gleiche Art von Analysen wie bei realen Servern durch, um mögliche Anomalien zu erkennen.
Eine solche Modellierung ist entscheidend für die künftige Analytik. Denn dadurch lassen sich Diagramme zur Auswertung erstellen, die genauso aussehen wie bei einem Bare-Metal- oder virtuellen Server, der über einen längeren Zeitraum verwaltet wird. Diese Art der Modellierung ermöglicht es daher, Bedrohungsanalysen auch in nativen, serverlosen Cloud-Umgebungen auf einfache Weise durchzuführen.
Dabei gibt es keine Blacklists von IP-Adressen, bekannten Cyberkriminellen oder voll qualifizierten Domainnamen. Stattdessen werden ungewöhnliche und möglicherweise gefährliche Ereignisse hervorgehoben. So erfasst die Methode auch Vorgänge, von denen nicht einmal bekannt war, dass sie überhaupt auf eine Liste gesetzt werden sollten. Denn es handelt sich um unbekannte Abläufe in potenziellen Grauzonen, die auf mögliche Bedrohungen hin zu überprüfen sind.
Software-defined Networks
Einen weiteren wichtigen Bereich stellen Software-definierte Netzwerke (SDN) dar. Die dafür genutzten Technologien reichen von MPLS (Multiprotocol Label Switching) über VXLAN (Virtual Extensible Local Area Network) bis hin zu TrustSec für die Netzwerksegmentierung. Der Vorteil besteht darin, dass Unternehmen ihr Netzwerk nicht mehr neu nummerieren müssen, um die Segmentierung darzustellen. Stattdessen lässt sich durch Kapselung die gewünschte Segmentierungspolitik umsetzen.
Das Overlay-Netzwerk verwendet die Kapselung, um Richtlinien zu definieren, die nicht auf zielbasiertem Routing, sondern auf Labels basieren. Bei einem SDWAN lässt sich einfach erkennen, was sich dadurch in traditionellen Netzwerkarchitekturmodellen ändert. Es gibt immer noch die Zugangsebene oder den Edge des Netzwerks, aber alles andere in der Mitte ist jetzt ein programmierbares Mesh. Damit können sich die Administratoren auf die Zugriffsrichtlinien konzentrieren und müssen sich nicht mehr um die komplexen IP-Adressierungsschemas kümmern.
Unternehmensnetzwerke lassen sich damit etwa so einfach einrichten wie ein Heimnetzwerk. Es spielt dabei keine Rolle, ob es sich beim Edge um eine reguläre Niederlassung, einen Hypervisor in einer Private Cloud, eine Anwendung in einer Public Cloud oder etwas Ähnliches handelt. Beim Übergang in das Internet durchquert Datenverkehr von diesem Edge ein Overlay-Netzwerk. Dieses beschreibt, wohin die Reise gehen soll, und stellt die notwendigen virtuellen Verbindungen bereit.
Dabei gibt es einige wichtige Dinge zu beachten. Bei der Modellierung holt sich die Anwendung die notwendigen Informationen von NetFlow oder IPfix. Wenn sie virtuelle Sensoren nutzt, die auf Hypervisoren oder ähnlichen Komponenten sitzen, kann sie die Overlay-Labels (oder -Tags) zuverlässig interpretieren. Zudem sucht die Lösung nach einer Schnittstelle mit dem eigentlichen SDN Controller, damit sie das Overlay sinnvoll nutzen kann. Denn das Ziel ist die Zusammenstellung sämtlicher Informationen darüber, wer mit wem für wie lange spricht. Dabei nutzt sie sowohl die Daten aus dem Overlay als auch dem darunterliegenden Netzwerk.
Intelligente Netze erkennen Gefahren
Serverless Computing und Software-defined Networks stellen neue Herausforderungen für die Sicherheitsarchitekturen von Unternehmen dar. Mit Hilfe intelligenter Lösungen können sie jedoch das Netzwerk selbst als eine Art Sensor nutzen, um unbekannte und neuartige Bedrohungen zu entdecken und anschließend abzuwehren. Schließlich müssen Unternehmen moderne Technologien einsetzen, damit sie stets geschützt bleiben und Cyberkriminellen keine Chance geben.
Torsten Harengel, Head of Cyber Security Germany bei Cisco
- Das Netzwerk als Sensor
- Herausforderung: Serverless Computing
Lesen Sie mehr zum Thema
