Visibility für offene, virtuelle Netze
Monitoring in dynamischen Netzwerken
Netzwerk-Virtualisierungstechniken wie SDN (Software-Defined Networking) gelten als effizienter Weg, die IT zu vereinfachen und agiler zu machen. Teil dieses Ansatzes sind White-Box-Lösungen - auf verfügbarer Standardhardware basierende Netzwerkkomponenten. Sie lassen dem Anwender die Wahl, welches Netzwerk-Betriebssystem er darauf installieren will. Ihr Einsatz stellt jedoch neue Anforderungen an das Überwachen und Absichern der Netzwerke sowie an die Fehlersuche.Spätestens seit 2014 manifestiert sich die Vision von einer offenen, programmierbaren und mehr auf Anwendungen ausgerichteten Netzwerkumgebung. Diese ist besonders interessant für Unternehmen, die ihre IT-Infrastruktur als Wertschöpfungsquelle ansehen und damit Umsätze generieren wollen - etwa "Web-Scale"-Service-Provider. Marktforscher Gartner prognostiziert, dass 2017 rund 50 Prozent der Unternehmen weltweit einen Web-Scale-orientierten Ansatz für ihre IT-Architektur verfolgen werden.Ein wesentlicher Aspekt dieses Ansatzes sind White-Box-Lösungen. Diese funktionieren bislang dort besonders gut, wo die Ansprüche an die Leistungsfähigkeit und Funktionsvielfalt nicht zu hoch sind. Dies gilt auf jeden Fall für den traditionellen Netzwerkmarkt. Bei höheren Anforderungen - Stichwort: Carrier-Class - kommen hingegen nach wie vor überwiegend proprietäre Netzwerkausrüstungen, sogenannte Black Boxes, zum Einsatz. Die meisten White-Box-Switches unterscheiden sich von den Black-Box-Varianten durch eine geringere Intelligenz: Während normale Switches und Router eigene Forwarding- und Routing-Tabellen generieren und warten, können White-Box-Produkte dies nicht. Letztere sind auf externe Networking-Intelligenz angewiesen. Genau dies ist der Ansatz von Software-Defined Networking. Dort übernehmen auf einem SDN-Controller aufsetzende Applikationen die Steuerungsaufgaben. Sie definieren die Verbindungsrouten und übertragen diese über das SDN-Kommunikationsprotokoll Openflow an die darunterliegende Switch-Logik. White-Box-Hardware eignet sich bislang primär für den Zugangsbereich (Edge) von SDN. Anforderungen an das Monitoring steigen Unabhängig davon, ob ein Netzwerk auf White- oder Black-Boxes basiert, benötigen Administratoren die Möglichkeit, den Datenverkehr jederzeit detailliert analysieren zu können. Diese Traffic Visibility gewinnt nicht zuletzt deswegen an Bedeutung, weil Unternehmen mit einer steigenden Zahl immer komplexerer Bedrohungen zu kämpfen haben, die die Sicherheit ihrer Netzwerke und letztlich des Unternehmens gefährden. Auch die zunehmende Installation von verteilten Anwendungen auf virtualisierten Infrastrukturen und die potenziell ungesicherten Schwachstellen, die durch verkapselten und verschlüsselten Datenverkehr entstehen, erfordern eine genaue Analyse des Traffics. Die Migration hin zu Netzwerkarchitekturen der nächsten Generation wie SDN oder Network Functions Virtualization (NFV) erhöht den Druck zusätzlich. Das Überwachen und Analysieren des Datenverkehrs können dedizierte Monitoring-, Management- und Security-Appliances übernehmen. Dieser Ansatz ist in großen Netzwerken allerdings sehr aufwendig. Eine Alternative ist das Auslagern von Funktionen wie das weitreichende Inspizieren und Modifizieren, Korrelieren und Duplizieren von Paketen in eine zentral verwaltete Visibility Plane. Darüber lassen sich die Monitoring-Aufgaben kosteneffizient und schnell zentral bearbeiten. Dieses Auslagern erfordert jedoch Paketverarbeitungsfunktionen, über die viele White-Box-Switches nicht verfügen. Dort bleibt bislang nur die Möglichkeit, die genannten Funktionen auf dedizierte Monitoring Tools zu verteilen. White-Box-Switches unterstützen Visibility-Lösungen Doch die Entwicklung bleibt nicht stehen. Mittlerweile sind erste White-Box-Lösungen verfügbar, die leistungsfähig genug für den Einsatz von Unified-Visibility-Software sind. Mit diesem Ansatz ist es möglich, Schlüsselfunktionen zur Überwachung, für die in herkömmlichen Netzwerkumgebungen Monitoring-, Management- und Security-Tools zuständig sind, auszulagern und zentral zu verwalten. Traffic-Visibility-Spezialist Gigamon beispielsweise hat diese Entwicklung erkannt und seine Gigavue-OS-Software für ausgesuchte Anbieter von White-Box-Hardware verfügbar gemacht - aktuell sind dies die Hersteller QCT (Quanta Cloud Technology) und Agema Systems. Weitere geeignete Anbieter, die der Hersteller bislang noch nicht unterstützt, sind etwa Accton und Celestica. Durch diesen Schritt ist es möglich, White-Box- und Black-Box-Hardware in einem Netzwerk zu kombinieren und den Datenverkehr über beide Techniken hinweg zentral zu überwachen. Letzteres kommt nicht zuletzt in der Open-Networking-Branche gut an: "Dieser Ansatz löst ein großes Problem für IT-Unternehmen mit Web-Scale-Rechenzentren, die die Visibility in ihren Infrastrukturen verbessern wollen", ist beispielsweise Nick Lippis, Mitgründer der Open Networking User Group (ONUG) überzeugt. Durch sogenanntes Clustering ist es möglich, die gesamte Traffic Intelligence an jedem Port einer White-Box-Hardware verfügbar zu machen - selbst dann, wenn die White Box selbst nicht nativ mit den nötigen Ressourcen für das Bereitstellen dieser Traffic Intelligence ausgestattet ist. Im Endeffekt lässt sich so auch beim Einsatz von White-Label-Hardware der Datenverkehr im Zugangsbereich erheblich verbessern. Zudem ermöglicht das Clustering eine durchgängige Ende-zu-Ende-Policy für die IT-Sicherheit und das Monitoring. Grundsätzlich ist es nun möglich, vom Edge bis zum Core ein einheitliches Betriebssystem zu verwenden. Betreiber würden in diesem Fall davon profitieren, dass sie eine leistungsfähige und intelligente Visibility über die gesamt Infrastruktur hinweg nutzen können. Visibility im Software-Defined Networking Das Virtualisieren von Rechenzentren und Storage-Komponenten ermöglicht Unternehmen schon heute, Rechenleistung und Speicherressourcen schnell und dynamisch dort einzusetzen, wo sie aktuell benötigt werden. Damit die IT-Infrastruktur dabei nicht zum Bremsklotz wird, stellt die Virtualisierung von Netzwerken den nächsten logischen Schritt dar. SDN ist dabei ein noch relativ junger Ansatz für den Aufbau und das Verwalten von Infrastrukturen, die die Netzwerkintelligenz von der Switching-Hardware trennt. Netzwerk-Virtualisierungtechniken versprechen einerseits, IT-Infrastrukturen zu vereinfachen und IT-Unternehmen ein dynamischeres Handeln zu ermöglichen. Andererseits erschweren sie jedoch das Überwachen und Absichern der Netzwerke sowie die Fehlersuche. Die Fähigkeit, diese Aufgaben auch in den virtuellen Umgebungen sicher durchführen zu können, ist aber Voraussetzung für eine breitere Akzeptanz von SDN. In einer virtuellen Netzwerkumgebung ist es beispielsweise sehr schwierig zu entscheiden, ob ein Problem innerhalb des Hypervisors des virtuellen Switches, im virtuellen Overlay-Netzwerk oder doch im physischen Underlay-Netzwerk vorliegt. Hinzu kommt, dass die Virtualisierungstechniken die bislang klaren Grenzen zwischen Computing- und Netzwerkausrüstungen aufweichen - und damit auch die bisherigen unternehmenstypischen Zuständigkeiten untergraben. In einer zunehmend virtuellen Netzwerkwelt stellt sich die Frage, ob Visibility nicht direkt als Funktion in den SDN-Controller oder in die Cloud-Management-Plattform integriert sein sollte. Dies hieße aber, dass lediglich Informationen des SDN-Controllers als Grundlage für das Monitoring dienen würden - unter dem Strich ein unvollständiger und damit fehlerbehafteter Ansatz. Denn selbst wenn der Controller keine Probleme sieht, kann eine Komponente der darunterliegenden Infrastruktur defekt sein oder sich falsch verhalten - etwa ein virtueller oder physischer Switch oder Router. Diese Information würde dem Anwender vorenthalten bleiben. Darüber hinaus hat ein SDN-Controller nur sehr begrenzte Möglichkeiten, Datenverkehr von bestimmten Anwendern und Applikationssitzungen über die ersten Pakete hinaus weiterzuverfolgen. Um dies sicherzustellen, ist nicht nur die Initialisierung eines Datenstroms zu untersuchen, sondern jedes neu eintreffende Paket. Letzten Endes liefert nur ein Traffic-basierender Ansatz, der alle Pakete und Datenströme analysiert, ein zuverlässiges und aussagekräftiges Gesamtbild der Situation auf dem Netzwerk in Echtzeit. Heute ist es möglich, Schlüsselfunktionen für die Paket- und Flow-Analyse, für die in herkömmlichen Umgebungen Monitoring-, Management- und Security-Tools zuständig sind, in eine zentral verwaltete Visibility Plane auszulagern. Dies trägt maßgeblich zu einer besseren Skalierbarkeit der Infrastrukturen bei. Unternehmen gewinnen dadurch Flexibilität, mit der sie auf die gestiegenen Anforderungen in heutigen dynamischen Märkten reagieren können. Ausblick auf künftige Monitoring-Infrastrukturen In zukünftigen Infrastrukturen, die auch mithilfe von White-Box-Lösungen aufgebaut sein können, lassen sich virtuelle Netzwerke ohne manuellen Eingriff dynamisch aufbauen und terminieren. Ein Administrator wird möglicherweise nicht einmal mehr erfahren, dass ein Netzwerk initiiert, über physische Hosts verschoben und wieder terminiert wurde. Trotzdem ist er dafür verantwortlich, zu gewährleisten, dass eine verwendete Applikation jederzeit sicher und performant arbeitet. Dazu müssen wichtige Funktionen in die Monitoring-Infrastruktur implementiert sein, auf die sich aus der realen Administrationswelt zugreifen lässt. Dazu zählt die Fähigkeit, jede einzelne Plane eines virtualisierten Netzwerks überwachen zu können - sowohl den virtuellen Aufsatz als auch den physischen Unterbau. Darüber hinaus muss die Monitoring- und Security-Infrastruktur innerhalb des virtualisierten Netzwerks-Overlays effizient arbeiten - auch dann, wenn sie selbst keine Kenntnis von diesem Overlay hat. Zu guter Letzt muss klar sein, dass sich mit den virtuellen Maschinen, die dynamisch verschoben werden, auch die Netzwerk-Overlays ändern können. Die Möglichkeit, den zu einer virtuellen Maschine und von ihr weg fließenden Datenverkehr unabhängig von ihrer Position nachverfolgen zu können, stellt eine wichtige Voraussetzung dar für die Sicherheit und eine konsistente Applikations-Performance. Diese Anforderungen lassen sich nur mit einer Lösung erfüllen, die eine übergreifende, skalierbare Visibility über den physischen wie auch den virtuellen Bereich einer Netzwerkinfrastruktur ermöglicht.
Lesen Sie mehr zum Thema
