Bandbreiten- und Security-Management
Zusammenspiel erfordert Umdenken
Die wirksame Verteidigung der Unternehmens-IT gegen komplexe, räumlich und zeitlich verteilte Bedrohungen hat ihren Preis, nicht nur in monetärer Hinsicht: Vermehrtes Datenaufkommen kann zu Performance-Verlusten im Netzwerk führen - vor allem bei WAN-Verbindungen. Oft gilt dies als notwendiges Übel. WAN-Optimierungs- und Security-Lösungen können aber auch gut zusammenarbeiten.
Eine Serverkonsolidierung bietet zahlreiche Vorteile wie Kostensenkung, Vereinfachung der
IT-Infrastruktur und ein vereinheitlichtes Qualitätsmanagement. Zudem erweist sie sich vor allem
bei der Umsetzung und Überwachung unternehmensweiter Security-Konzepte als sinnvoll. Gerade
zeitkritische Software-Patches und Updates der Security-Lösungen sind so ohne großen Aufwand von
zentraler Stelle aus steuerbar. Auch die Überwachung der Einhaltung der Sicherheits-Policies
(Regelwerke) und der Compliance (Konformität mit gesetzlichen Vorgaben) gestaltet sich über eine
konsolidierte Infrastruktur einfacher und effektiver.
Das Problem einer solchen Maßnahme liegt in der Anbindung der Niederlassungen an die nunmehr
zentralisierten Server über das Weitverkehrsnetz (WAN). In der Praxis bedeutet dies, dass sich der
Zugriff auf Daten und Anwendungen für die Nutzer in den Filialen häufig zu einer argen Geduldsprobe
entwickelt. Denn WAN-Verbindungen verfügen in aller Regel über deutlich weniger Bandbreite als
LAN-Links. Die typischen "geschwätzigen" Applikationen – zum Beispiel Webanwendungen – verengen
diese ohnehin geringe Bandbreite dann weiter, sodass sich Latenzzeiten in den Minutenbereich hinein
verlängern. Dann hilft nur noch Bandbreitenoptimierung, um ein produktives und gleichzeitig
sicheres Arbeiten auch in den Niederlassungen zu ermöglichen. Das zugrunde liegende Prinzip setzt
auf den Einsatz von WAN-Beschleunigern (Accelerators oder auch WAN Optimization Controllers, WOCs
genannt), die idealer Weise sowohl auf der Anwendungs- als auch auf der Infrastrukturebene arbeiten
und neben QoS-Funktionen (Quality of Service) auch Kompressionsverfahren bieten.
Sicherheit frisst Bandbreite
Unabhängig von Projekten zur Serverkonsolidierung ist eine Optimierung der vorhandenen Bandbreite meist schon sinnvoll, um vermehrten Datenverkehr, der den Sicherheitsroutinen geschuldet ist, zu kompensieren und ein produktives Arbeiten zu ermöglichen. So verschlingen regelmäßige Backups und Storage Continuity (Sicherung des Zugriffs auf aktuelle Speicherdaten) ebenfalls Bandbreite. Ein teures Bandbreiten-Upgrade ist nicht unbedingt das Mittel der Wahl, um Staus im Netzwerk zu vermeiden und den Ablauf aller sicherheitsrelevanten Prozesse trotzdem unbeeinträchtigt zu lassen: Es reicht oft schon aus und ist auch sinnvoller, zunächst dafür zu sorgen, dass vorhandene Kapazitäten optimal genutzt werden. Dank der QoS-Funktionen in WAN-Optimierungslösungen können Administratoren beispielsweise Backup-Prozesse nachts optimieren, während sie geschäftskritischen Anwendungen und Sicherheitsapplikationen via Priorisierung tagsüber absoluten Vorrang einräumen. Die in den meisten WOC-Lösungen integrierte Kompressionstechnik sorgt zusätzlich für "schlanken Traffic" und deutlich verkürzte Antwortzeiten der Anwendungen. QoS-Funktionen bieten gerade hinsichtlich der Sicherheit einen interessanten Nebeneffekt: Da der Administrator genau festlegt, welche Applikationen im Netz erlaubt sind und ihnen entsprechend Bandbreite zuweist (Traffic Shaping), hat es Malware sehr schwer, sich unbehindert per Netzwerk zu verbreiten.
Auch die ständig weiterentwickelten Techniken zur Zugangskontrolle sorgen für erhöhtes Datenaufkommen im Netzwerk. Als Beispiel sei hier auf die biometrischen Zugangskontrollen verwiesen: Die gescannten Daten reisen zum Abgleich mit den gespeicherten Daten des Mitarbeiters meist über das Unternehmensnetz. Je nach Größe des Unternehmens kommt bei mehreren An- und Abmeldevorgängen am Tag eine beträchtliche Menge an Biometriedaten - darunter auch Bilddateien - zusammen. Es liegt auf der Hand, dass dieses Datenaufkommen negative Auswirkungen auf die Verfügbarkeit von Bandbreite hat. Bandbreitenoptimierung und Kompression schaffen auch hier Abhilfe.
Abgesehen vom aktiven Bemühen um Sicherheit gilt es auch, den reaktiven Aspekt zu beachten, jene Maßnahmen also, die im Notfall garantieren, dass die Ausfallzeiten der Anwendungen möglichst gering sind und kein Datenverlust auftritt. Projekte zur Wiederherstellung des Regelbetriebs im Notfall (Disaster Recovery) können den Datenverkehr im Netzwerk allerdings bis auf das Doppelte des normalen Aufkommens anschwellen lassen. Und selbst wenn ein Bandbreiten-Upgrade erfolgt, kann eine Überlastung danach die Ausführung der Datensicherungen und Synchronisationen oder - noch schlimmer - der anderen geschäftskritischen Anwendungen erheblich verlangsamen. Selbst ohne Überlastung können Transfers großer Dateien wie zum Beispiel der Sicherungen umfangreicher Datenbanken möglicherweise aufgrund der TCP-eigenen Steuermechanismen nicht mit Leitungsgeschwindigkeit erfolgen. Dies bedeutet, dass Übertragungen erstaunlich lange dauern können und ein hohes Timeout-Risiko besteht.
Die Bereitstellung zusätzlicher Bandbreite durch WAN-Optimierung ist eine wirksame Maßnahme zur Wiederherstellung im Notfall. Zudem können die QoS-Funkti-onen ein separates Netzwerk zur Aufrechterhaltung des Geschäftsbetriebs überflüssig machen, da sie das Datenaufkommen von Anwendungen nach Geschäftspriorität regeln. So kann der durch Geschäftsanwendungen bedingte Datenverkehr gleichzeitig mit Traffic zum Schutz des Betriebs (Synchronisation und Datensicherungen) über das gleiche Netzwerk laufen.
Problemfall blinde Firewalls
Mit der Implementierung einer WOC-Lösung allerdings schafft eine IT-Abteilung sich mitunter mehr
Probleme, als sie löst. Denn herkömmliche WAN-Optimierungstechniken erstellen Tunnel zwischen
Geräten, um den Datentransport und die Gerätesynchronisation effizient durchführen zu können. Diese
Tunnel "wrappen" den optimierten Datenverkehr, sodass der IP-Header verborgen wird. Das hat Folgen:
WAN-seitige Analyse- und Reporting-Tools funkti-onieren nun nicht mehr, da sie lediglich den
Informationsaustausch zwischen den WAN-Beschleunigern wahrnehmen, den sie aufgrund der maskierten
IP-Header aber nicht auswerten können. Weitaus kritischer ist jedoch, dass die für Firewalls
relevanten Informationen zur Zugangskontrolle nicht mehr ihr Ziel erreichen und die Lösung
praktisch blind für Malware machen.
Ein weiterer Sicherheitsaspekt ist zu beachten: Jeder Netzwerkbetreiber tut gut daran, für sein
Netz und insbesondere das WAN Security-Policies festzulegen. Sind nun Beschleuniger im Einsatz, ist
ein zweiter, an die neue Situation angepasster Regelsatz zu definieren. Was passiert aber, wenn der
Accelerator ausfällt und die ursprünglichen TCP/IP-Sessions über das WAN wieder sichtbar sind?
Mittlerweile gibt es Lösungen auf dem Markt, die auf dieses Problem reagieren und den Datenverkehr
in einem Transparenzmodus optimieren, also die Original-IP-Header beibehalten. Die
WAN-Beschleunigung berührt hier also die Quell- und Zieladressen der Datenpakete nicht. Dies wahrt
die Sicherheit und nutzt trotzdem die vorhandene Bandbreite optimal.
Fazit
Ein umfassendes Sicherheitskonzept und eine gut funktionierende Netzinfrastrukur müssen kein
Widerspruch sein. Notwendig für einen reibungslosen Geschäftsbetrieb ist beides. Um komplexe
Maßnahmen zur Aufrechterhaltung der Sicherheit über das Netz durchführen zu können, ohne dass
andere, nicht minder geschäftskritische Aufgaben darunter leiden, ist der Einsatz von
Bandbreitenoptimierung eine praktikable Lösung.
Lesen Sie mehr zum Thema
