Burton Group Catalyst Conference, 20.-23.10., Prag
Empfehlungen zu WLAN, IDM und SOA
Die jährlich in USA und Europa abgehaltene Catalyst-Konferenz will nicht nur Markttrends analysieren, sondern zu den brennenden Fragen und Problemen der IT Antworten und strategische Unterstützung anbieten. In Prag standen Themen wie SOA (Service-Oriented Architecture), SaaS (Software as a Service), Identity-/Access-Management, Security, Virtualisierung, Unified Communications und Wireless LAN auf der Agenda.
Bereits zum fünfzehnten Mal hielt Burton seine Catalyst-Konferenz ab. Mit nach eigenen Angaben rund 500 angemeldeten Besuchern war es die erfolgreichste Konferenz in Europa seit Bestehen. Anders als bei vielen anderen Fachkonferenzen dominieren auf einer Catalyst nicht Firmenvorträge von Sponsoren, sondern aus unabhängigen Untersuchungen und Tests resultierende Best-Practice-Präsentationen der Analysten selbst. Den Sponsoren war eine dezente Rolle an Nebenschauplätzen zugewiesen - in Prag waren es kleine Besprechungsräume, in denen Aveksa, CA, IBM, Novell, Oracle, Quest, Passlogix, Sailpoint, SAP, Sun und Xirrus zu Diskussionen luden. Das Themenspektrum reflektierte das, was den IT-, Netzwerk- und Kommunikationsarchitekten in den Unternehmen derzeit unter den Nägeln brennt. Das Modethema Green IT hingegen blieb bei den Workshops und Vorträgen außen vor.
Eine der vielleicht überraschendsten Empfehlungen der Prager Konferenz kam aus der Wireless-Ecke. Während die Branche noch heftig diskutiert, ob und, wenn ja, wann der Einsatz der neuen WLAN-Technik auf Basis des IEEE-802.11n-Drafts 2.0 in Unternehmensumgebungen vertretbar ist, rief Paul Debeasi, Senior Analyst bei der Burton Group, quasi zur ungehemmten Nutzung ab sofort auf. "In der Tat ist der finale Standard inzwischen irrelevant", so Debeasi im Gespräch mit LANline. "Worauf es ankommt, ist im Draft 2.0 klar geregelt - und die Wi-Fi-Alliance sorgt für zertifizierte Interoperabilität. Das ist es, was der Markt und die Nutzer brauchen."
Was im finalen Standard noch abgehandelt werde, seien Dinge, die in der Praxis kaum Bedeutung hätten, die aber in einem IEEE-Standard eben definiert sein müssten. Es geht hier laut Debeasi beispielsweise um das Handling bei der Einbindung älterer APs und Clients nach a/b/g/h-Standard in den verschiedenen Kombinationen. Hier jede Eventualität zu definieren sei sehr aufwändig - für die Praxis aber unerheblich, da die Hersteller hier vielleicht nicht perfekte, aber bereits gangbare Lösungswege implementiert hätten. Das Problem mit 802.11n in einer Unternehmensumgebung sieht Debeasi -wie viele andere Netzwerkstragegen - eher in der Gesamtnetzwerkarchitektur und dem Einfluss auf das Backbone. Unter dem Strich sei 802.11n bereits in der aktuellen Gerätegeneration schnell, stabil und sicher genug, um unternehmenskritische Applikationen abbilden zu können.
Aber der Burton-Mann hat noch mehr provokante Thesen: "Was wir derzeit mit 802.11n sehen, ist der Anfang vom Ende von Ethernet als dominierender Access-Technik." Zwar werde Ethernet auf absehbare Zeit nicht völlig vom Desktop verschwinden, wie es einige WLAN-Hersteller proklamieren, aber schon binnen zirka drei Jahren werde Ethernet hier nur noch die zweite Geige spielen: "Wir erwarten, dass 2008 die 100-Millionen-Grenze bei den verkauften 11n-Chipsets durchbrochen wird - damit ist 802.11n bereits heute Realität."
Rollenwechsel im WLAN
In der Langzeitentwicklung von WLANs sieht Debeasi vor allem einen Wechsel bei der Steuerungsarchitektur: "Während im WLAN die Clients entscheiden, über welchen Access-Point sie ihre Kommunikation abwickeln und wann sie von einem zum anderen wechseln, regeln solche Dinge im Mobilfunk die Infrastrukturkomponenten. Dieses Modell sehen wir künftig auch bei WLANs." Die beiden IEEE-Standards 802.11k und w, beide bereits in Arbeit, sollen diese Aufgabe aus technischer Sicht regeln. In diesem Zuge bekämen Access-Points künftig dann auch bessere Sensoren, die sich im Nebenjob gleichzeitig um ein verbleibendes Sicherheitsproblem mit WLANs kümmern könnten: "Rogue APs", also unberechtigt ins Netz geschleuste Access-Points. "Wir erachten dieses Problem aber bereits mit den heutigen WLANs als nicht mehr gravierend", so Debeasi. Bei höchsten Sicherheitsanforderungen müsse gegebenenfalls mithilfe von Drittanbietern eine zusätzliche "Luftsicherung" eingebaut werden. "Der WLAN-Verkehr an sich ist heute sicherer als im Ethernet, denn im WLAN ist die gesamte Kommunikation verschlüsselt", so Debeasi.
Noch höhere Übertragungsraten - als Funkpendant zu Gigabit Ethernet (GbE) - stünden bei WLAN ebenfalls auf dem Plan. Zunächst werde die Performance innerhalb des 11n-Standards weiter ausgereizt. Während die aktuelle Produktgeneration Bruttoraten von 300 MBit/s liefert, sollen es in den nächsten Generationen bis zu 600 MBit/s sein. Für das eigentliche GbE-Gegenstück gäbe es bislang im IEEE-Gremium nur Forschungsgruppen (Study Groups). Wann daraus eine Arbeitsgruppe (Task Group) gebildet wird, aus deren Arbeit ein Standard entstehen wird, sei im Augenblick noch nicht absehbar.
Defizite im Identity-Management
Eine eigene Vortragsreihe war dem Identity-Management gewidmet. Mark Diodati, Senior Analyst Identity and Privacy Strategies, identifizierte hier unter anderem Themen wie "Identity Insurance" und "Privileged User" als kritisch. Die Identitätssicherung erfordere dringend adäquate Identitätnachweise (Proofing). "Ohne Identity Proofing ist das Geld für Authentifizierung und damit verbundene Prozesse komplett zum Fenster hinausgeworfen", so Diodati. Immer noch sei in Unternehmen das Passwort das Authentifizierungsmittel Nummer eins - in strengeren Sicherheitsumgebungen in Form von OTP-Lösungen (One-Time Password). Zertifikate für die Benutzeridentität seien noch so gut wie überhaupt nicht verbreitet (außer in Verbindung mit Smart Cards), biometrische Verfahren kämen nur in wenigen Branchen oder als Teil eines Zeiterfassungssystems zum Einsatz. Das Interesse für Smart Cards sei zwar deutlich gestiegen, aber tatsächliche Implementierungen seinen noch selten. Als Ersatz eines OTP-Tokens sei die Smart Card ohnehin nicht sinnvoll, als Konvergenzprodukt aus beiden Lösungen sei sie primär für besonders sicherheitssensitive Bereiche interessant.
Den nächsten "Tsunami" - immerhin mit Frühwarnsystem - sieht Diodati beim Thema "Privileged User": Jeder Server, jedes Speichersystem, jede Datenbank und jede Anwendung verfügt über einen mit besonderen Rechten ausgestatteten Account, über den in der Regel die Administratoren Systeme einrichten und konfigurieren. Typische Beispiele sind der "root"-Account bei Unix, der "Administrator"-Account bei Windows oder der "sa"-Account bei MS SQL Server. Diese Accounts sind laut Diodati eine tickende Zeitbombe, denn vielen Unternehmen seien die umfassenden Privilegien dieser Accounts nicht gewärtig. So ließen sich damit die meisten Kontrollen umgehen, vertrauliche Daten einsehen, Transaktionen ausführen oder Überwachungsdaten löschen. "Nicht selten sind die Accounts in Tausende von Skripts und Servicestartroutinen eingebunden - ein eindeutiger Besitzer dieser Accounts ist so nicht wirklich festzumachen", so Diodati. Konsequenterweise seien die privilegierten Accounts inzwischen das Ziel Nummer eins für Insider-Angriffe.
"Rennen Sie - und ich sage ‚rennen‘, nicht ‚gehen‘ - um das Problem mit den privilegierten Accounts in den Griff zu bekommen", so der Rat des Analysten. Als konkrete Empfehlung nennt er den Einsatz einer dedizierten Account-Managementlösung, die Umsetzung des interaktiven und des automatisierten Zugangs (in dieser Reihenfolge) sowie die Integration des Privileged-Account-Managements in das Provisioning und das SEIM (Security-Event-Information-Management).
Am "Spielfeldrand" brachten sich CA und Novell in Position. CA hat kürzlich das Unternehmen Idfocus übernommen, um so seine Identity-Managementtechniken weiterzuentwickeln. Novell hat während der Konferenz seine neue, aus der OEM-Beziehung mit Aveksa hervorgegangene Access Governance Suite vorgestellt, die unter anderem den Netzwerkzugang in ein umfassendes, an den Geschäftsprozessen des Unternehmens orientiertes Regelsystem einbindet. Die Access Governance Suite besteht aus den beiden Produkten Roles Lifecycle Manager und Compliance Certification Manager.
Derzeit scheitern die weitaus meisten SOA-Projekte grandios, so SOA-Expertin Anne Thomas Manes. Dennoch sollten sich Unternehmen laut Manes nicht entmutigen lassen und weiterhin voll auf SOA setzen. Wer sich davon tatsächlich wieder aufbauen ließ, dem verpasste Chefanalyst Chris Howard einen weiteren Dämpfer: Selbst wer in Sachen SOA technisch alles richtig mache, könne im Ergebnis voll daneben liegen.
Doch auch er versuchte es anschließend mit Ermunterung: Jeder solle SOA ohne Zweifel in Angriff nehmen - selbst wenn zunächst nicht alles rund laufe, sei das wesentlich besser, als SOA-Projekte zu verschieben oder gar sterben zu lassen.
Lesen Sie mehr zum Thema
