NAS-Appliances gliedern sich gut in bestehende IT-Strukturen ein.

Auch bei gesicherten Netzwerktransporten, egal ob SSL-Acceleratoren oder VPN-Servern, greifen Systemverwalter gerne zu Appliances. Auch diese Funktionen ließen sich mit freier Software umsetzen. Wie schon zuvor bei den Firewalls steht der Aufwand in keinem Verhältnis zu der möglichen Kostenersparnis. Auch hier gilt: Konfigurationsfehler verursachen im Handumdrehen gefährliche Sicherheitslücken.

Beim Netzwerkmanagement und Monitoring halten Appliances ebenfalls Einzug. Entsprechende Lösungen überwachen den Verkehr des Netzwerkes, warnen vor Engpässen und decken Fehler in der LAN-Konfiguration auf. Weiterführend helfen dann Load-Balancing-Appliances, den Datenfluss im Intra- und später im Internet störungsfrei am Laufen zu halten. Besonders in diesem Bereich eignen sich Appliances außerordentlich, denn selbst versierte Administratoren könnten diese Funktionen nicht oder nur mit sehr großem Aufwand mit Standard-Hard- und Softwarelösungen realisieren.

WLAN-Appliances

Ob Wireless-LAN-Access-Points bereit die Vorgaben einer Appliance erfüllen, kommt auf den Blickwinkel des Betrachters an. Doch gerade im Bereich Wireless Networking fordern die Anwender immer stärkere Sicherheitsmaßnahmen. Jede IT-Zeitung, egal ob im Business-to-Business- oder Consumer-Umfeld, hat mindestens einen Artikel über das »War-Driving« veröffentlicht, und selbst wenig begabte und unerfahrene Anwender können sich in der Zwischenzeit mit einem Laptop und einer WLAN-Karte in Netzwerke fremder Unternehmen einklinken. Wie bei anderen Sicherheitsdiensten gilt: Der geschulte Anwender verfügt über alle Mittel und Wege, von Hand eine sichere Infrastrutktur aufzubauen. Aber neben der Komplexität der Angelegenheit spielen hier vor allem Verantwortlichkeiten eine Rolle. Hacken sich Eindringlinge durch eine vom IT-Manager handgestrickte Sicherheitslösung, darf der betroffene Verantwortliche seinen Hut nehmen und sich einen neuen Arbeitgeber suchen. Verzichtete er auf den eigenen Konfigurationsaufwand und kauft eine fertige Appliance, kann ihm das nicht passieren. Wenn Fremde dann den Zugangsschutz knacken, bekommt der Aplliance-Hersteller den schwarzen Peter zugeschoben, während der IT-Manager auf seinem Posten sitzen bleiben darf – und so funktioniert das natürlich auch in anderen Bereichen.

Daher steht zu erwarten, dass in den kommenden Wochen und Monaten immer mehr WLAN-Appliances auf dem Markt erscheinen, um bestehende Netzwerke mit einheitlicher Verschlüsselung nebst Roaming zu versehen. Auch stehen 802.1X-Appliances mit Radius-Server hoch im Kurs, denn boslang mussten Anwender diese Funktionen an ihrem Windows 2003- oder Linux-Server händisch aktivieren.

Network-Attached-Storage

Auch beim Netzwerkspeicher geht der Trend zu professionellen Systemen. Das bedeutet nicht zwangsläufig, dass es sich dabei dann um besonders große Systeme im Terabyte-Bereich handeln muss. Aber an den kleinen Tischgeräten, die eine einzige Platte im LAN bereitstellen, zeigen nur noch wenige Anwender Interesse. Auch NAS-Anwender fordern Sicherheit. Das beginnt bei fehlertoleranten RAID-Verbänden. Darüber hinaus fordern Anwender zügige Backup-Lösungen für NAS-Filer. Der Trend geht hier zu funktionell umfangreichen Geräten wie Systemen mit dem Windows-Storage-Server, die neben Datei-Shares auch gleich das Enterprise-Tape-Backup-Verwalten ohne weitere Maschinen dafür beanspruchen.

NAS-Server neuerer Bauart implementieren zunehmend SAN-Funktionen. So kündigen fast alle NAS-Hersteller iSCSI-Features für kommende Filergenerationen an. Neben reinen Filediensten liefen diese Geräte dann auch Block-Devices. Als Add-on für die File-Dienste integrieren diese NAS-Server Storage-Funktionen wie synchrone und asynchrone Spiegelung, Serverless-Backup und Snapshots.

Fehlende Bausteine

So gut die Appliances verschiedener Hersteller ihren vorbestimmten Dienst verrichten, so schlecht kommunizieren sie untereinander. Jedes Gerät verwaltet seine Konfiguration selbst in proprietären lokalen Dateien. Auch greift die Mehrzahl der Geräte auf lokale Benutzerdaten und lokal gesicherte Zugriffsrechte zu. Lediglich NAS-Filer nutzen Benutzerverzeichnisse anderer Server, und das stellenweise auch nicht richtig. Viele auf Linux oder Samba basierenden Filer können Logins von NT-Servern verifizieren lassen. Doch dabei übernehmen sie die Benutzerinformationen nicht in das Dateisystem. So kann später nicht nachvollzogen werden, welcher Benutzer welche Datei erstellt oder benutzt hat. Auch funktionieren benutzerspezifische Einschränkungen dann nicht, weil alle Files dem lokalen Anwender »nobody« gehören.

Theoretisch ließe sich eine komplette IT-Infrastruktur rein aus Appliance-Servern erstellen, doch in diesem Modulbaukasten fehlen wesentliche Komponenten. Der größte Mangel besteht bei einem einheitlichen Benutzer-Directory. Hier müsste es ein zentrales Gerät geben, das die Benutzerdaten und Rechte aller Anwender enthält. Dieses Gerät musste dabei so flexibel funktionieren, dass sich die Directory-Schemata an die speziellen Anforderungen anderer Appliances anpassen lassen. Doch eine solche Directory-Appliance gibt es nicht, und selbst wenn ein solches Gerät zur Verfügung stünde, könnten bestehende Appliances gar nicht damit umgehen. Vereinzelt existieren Geräte, die als Directory auftreten, doch diese passen entweder nur in ein Umfeld mit anderen Appliances des gleichen Herstellers, oder sie stellen nur ganz besondere Dienste im LAN zur Verfügung. Selbst wenn Administratoren ein eigenes Directory auf Basis offener Standards wie LDAP und Radius aufsetzten, würden sie nur wenige Appliances finden, die sich mit ihren Funktionen direkt in diese Verzeichnis einbinden.

Zudem fehlt es Appliances am zentralen Management. Jedes Gerät offeriert sein eigenes Web-Interface, und das sieht nicht mal bei verschiedenen Appliances eines Herstellers gleich aus. Wie sollte da erst ein IT-Manager ein Umfeld mit Dutzenden Appliances verschiedener Hersteller sinnvoll verwalten? Auch hier fehlt ein offener Standard zum Austausch von Management-Informationen zwischen Appliances und damit die Möglichkeit, eine zentrale Management-Appliance zu bauen, die alle anderen Geräte überwacht und als zentrale Anlaufstelle für den Administrator dient.

Das Tragische an der Sache ist, dass es ausreichend offene Protokolle und Schnittstellen wie LDAP, RADIUS, XML oder SNMP gibt, mit denen sich sowohl ein einheitliches und flexibel erweiterbares Appliance-Management als auch ein zentrales Directory erstellen ließen. Doch investieren Appliance-Hersteller nicht in die Entwicklung von Technologien, die dazu dienen, besser mit Geräten fremder Hersteller zusammen zu arbeiten.

Inseln im LAN

So bleiben Appliances Insellösungen für bestimmte Einsatzgebiete, die, wenn möglich, keine eigenen Benutzerdienste erfordern oder diese von einem bestehenden Windows- oder Unix/Linux-Server übernehmen können. Wegen der fehlenden Bausteine im Appliance-Komplettkonzept werden sich vorgefertigte, funktionsangepasste Server aber nach wie vor nicht im gesamten LAN durchsetzen können. [ ast ]