Monitoring in SDN-Umgebungen
Durchblick in komplexen Netzen
Software-Defined Networking (SDN) ermöglicht den Aufbau sehr flexibler und dynamischer IT-Infrastrukturen. Für das Monitoring, Management und die Security ergeben sich daraus ganz neue Herausforderungen, die nur durch eine übergreifende "Visibility" in den Griff zu bekommen sind.SDN gilt als die nächster große Hype im Netzwerkmarkt. Der SDN-Ansatz bricht die konventionelle Architektur von Switches, Routern und Netzwerk-Appliances auf: Er lagert die Management-Funktionen (Control Plane) aus den einzelnen Geräten aus und fasst diese zu einer übergreifenden Kontrollebene zusammen, die sich von zentraler Stelle aus über einen SDN-Controller steuern lässt. Der Vorteil: Da die Switches und Router nicht mehr separat zu verwalten und nur noch für das Übertragen der Daten zuständig sind, können die Hersteller deren Hard- und Software einfacher und damit preisgünstiger gestalten. Die dabei zentralisierte Netzwerkintelligenz soll den Betrieb von komplexen, dynamischen Netzwerken erheblich vereinfachen. So ist es beispielsweise möglich, über den SDN-Controller Regeln und Zugriffsrechte für einzelne Nutzer zu definieren, zu kontrollieren und sie an die Switches zu senden, die die Policies schließlich umsetzen. An das Monitoring stellt der SDN-Ansatz jedoch große Herausforderungen. Beispielsweise müssen alle Netzwerkgeräte mit dem SDN-Controller synchron laufen, sonst ist der Zustand des Netzwerks undefiniert. Paketverluste sowie nie auszuschließende Soft- und Hardwareprobleme erschweren jedoch eine dauerhafte, zuverlässige Synchronisierung. Hinzu kommt, dass die im SDN eingesetzten Produkte unterschiedliche technische Leistungsmerkmale aufweisen, die beim Aufbau und Betrieb des Netzwerks zu beachten sind. Herausforderung Virtualisierung In SDN kommen Techniken wie "Virtual Extensible LAN" (VXLAN) zum Einsatz. Ein VXLAN baut logische Tunnel zwischen verschiedenen Endpunkten im Netzwerk auf. In Cloud-Umgebungen lassen sich solche Tunnel auch innerhalb von Hypervisoren, also in den virtuellen Maschinen, generieren und terminieren. Dabei spielt es keine Rolle, ob die physischen Host-Systeme in einem einzigen Rechenzentrum stehen oder über mehrere Standorte weltweit verteilt sind. Das logische Overlay ist vollkommen unabhängig von der zugrunde liegenden physischen Netzwerkinfrastruktur. Und: VXLAN-Tunnel lassen sich dynamisch aufbauen - zum Beispiel initiiert durch mobile Endgeräte. Troubleshooting und Netzwerk-Performance-Management in einer solchen Struktur sind sehr schwierig. Wird zum Beispiel ein Paket in einem VXLAN-Overlay von einer virtuellen Maschine zu einer anderen gesendet und kommt nicht dort an, ist es schwer nachzuvollziehen, ob es im Hypervisor oder auf physischer Netzwerkebene verloren gegangen ist. Vielleicht hat auch das Routing des Datenverkehrs im virtuellen Switch nicht korrekt funktioniert, oder das Empfängersystem hat das Paket schlicht ignoriert. Hinzu kommt die hohe Innovationsgeschwindigkeit in diesem Bereich. Hersteller von paketbasierend arbeitenden Analyse-Tools stellt dies vor Probleme. Zum Beispiel können neue Verfahren zum Verkapseln des Datenverkehrs dem Paket-Header Informationen hinzufügen, die die Analysewerkzeuge nicht erkennen. Verarbeiten müssen sie diese aber trotzdem, was Rechenressourcen kostet. Dies verdeutlicht, dass die durch SDN gewonnene Flexibilität die Anforderungen an Monitoring, Management und Security drastisch erhöht. Denn die vom physischen Netzwerk entkoppelten Overlays bilden eine weitere Ebene, die die Administration verwalten, überwachen und absichern muss. Beide Bereiche, der logische und der physische, können Schwachstellen aufweisen und sind Sicherheitsbedrohungen ausgesetzt. Dynamische IT-Infrastrukturen überwachen Der SDN-Ansatz bietet sich für den Aufbau dynamischer Netzwerkumgebungen an. Typisch dafür ist der große Anteil an Nutzern, die mit mobilen Endgeräten flexibel auf Applikationen sowie Computer- und Speicherressourcen zugreifen. Wie in konventionellen Netzwerken hängt die Performance einer Applikation dabei von Faktoren wie Netzwerkauslastung, Server-Performance und Speicherlatenz ab. In herkömmlichen, eher statischen Netzwerken lässt sich die Performance relativ gut vorhersagen, zum Beispiel auf der Basis der Anforderungen einer Applikation und den Leitungsgeschwindigkeiten am Ziel. An definierten Zugangspunkten (TAPs, Test Access Points) angeschlossene Tools können dann den Datenverkehr einer bestimmten Anwendung in Echtzeit messen. In dynamisch konfigurierten Netzwerken ist die Vorhersage von Applikations-Performance und "User Experience" ungleich schwieriger. Logische Overlays, die bei Bedarf auf- und wieder abgebaut werden, verändern die Topologie und Konnektivität der Applikationen sowie der Computer- und Speicherressourcen fundamental. Häufig ist der Datenverkehr einer bestimmten Applikation gar nicht mehr im physischen Netzwerk sichtbar, und der TAP-basierende Monitoring-Ansatz läuft ins Leere. Koexistenz von SDN und konventionellen Netzwerken Ein übergreifender Mechanismus ist erforderlich, der den Datenverkehr im Overlay abgreifen und an zentrale, Traffic-basierende Analyse-Tools senden kann. Diese Aufgabe kann eine sogenannte "Unified Visibility Fabric" übernehmen. Diese ermöglicht es zudem, dass jede IT-Abteilung Zugriff auf die für sie wichtigen Informationen des überwachten Datenverkehrs erhält und so zum Beispiel das Einhalten spezifischer SLA kontrollieren kann. Als relativ junge Technik ist SDN noch lange nicht im Mainstream-Markt angekommen. Meistens wird SDN daher auf lange Sicht im Verbund mit herkömmlichen IT-Infrastrukturen im Einsatz sein. Häufig durchläuft Datenverkehr beide Bereiche. Beispielsweise kann eine Applikation oder ein Server in einem SDN-Umfeld einen realen Client in einem konventionellen Netzwerk mit Daten versorgen. Nur eine Monitoring-Lösung, die grenzüberschreitend agiert, kann sicherstellen, dass der zwischen beiden Welten fließende Datenverkehr korrekt weitergeleitet und schnell übertragen wird und keiner Sicherheitsbedrohung ausgesetzt ist. Für ein erfolgreiches Monitoring über die Grenzen von SDN und konventionellen Netzwerken hinweg ist es erforderlich, Ereignisse auf physischer und logischer Ebene zu korrelieren. Auch diese Aufgabe kann eine Unified Visibility Fabric übernehmen: Sie sammelt den Datenverkehr beider Ebenen - der logischen und der physischen - und leitet ihn an die Analysewerkzeuge weiter. Zuvor bereitet die Fabric den Traffic so auf, dass die Tools ihn schnellstmöglich verarbeiten können. SDN-basierende, dynamische Netzwerke absichern Anwender greifen immer häufiger mit verschiedenen Geräten und Anwendungen von unterschiedlichen Orten auf Netzwerke zu. Sind Letztere als SDN dynamisch konfigurierbar, erschwert dies auch Aspekte wie Security, Compliance und Audits erheblich. Um in solchen volatilen Umgebungen Sicherheitsbedrohungen überhaupt dingfest machen zu können, muss die Administration auffällige Datenströme zunächst einmal erkennen und ihren Ursprung erforschen. Darüber hinaus muss über die gesamte Infrastruktur hinweg ersichtlich sein, wer wann auf das Netzwerk zugreift und was ein Benutzer, Gerät oder eine Anwendung gerade macht. Erschwerend kommt hinzu, dass sich die Quelle eines Angriffs beziehungsweise der Zugriffspunkt eines Hackers ebenso verändern kann wie die Applikation, die er belauscht. Nur mit einer umfassenden Lösung, die sowohl den Datenfluss (Flow) als auch die einzelnen Datenpakete analysiert, ist es möglich, solchen Ereignissen auf die Spur zu kommen. Über eine Visibility Fabric können Unternehmen den erforderlichen tiefen Einblick in die Aktivitäten auf ihrem Netzwerk erlangen: Die Fabric sammelt den Datenverkehr und leitet ihn an dedizierte Security Tools. Fazit SDN sowie heterogene, aus SDN und konventionellen Netzwerken bestehende IT-Infrastrukturen lassen sich letztlich nur mit Monitoring-Lösungen sicher überwachen, die ebenso flexibel sind wie die softwaredefinierten Netzwerke selbst. So ähnelt beispielsweise die "Unified Visibility Fabric"-Architektur von Gigamon einer SDN-Architektur: Die Fabric ist ein zentral verwaltetes, offenes, programmierbares und automatisierbares Framework. Ihre Aufgabe ist es, den Datenverkehr von physischen, virtuellen und logischen Netzwerkebenen abzugreifen und an zentrale Analyse-Tools zu senden. Dadurch wird es möglich, Aktivitäten auf dem Netzwerk unabhängig, durchgängig und detailliert zu überwachen - über die Grenzen von SDN und konventionellen Netzwerken hinweg.
Lesen Sie mehr zum Thema
