Cloud Computing wird in Deutschland immer mehr zu einem zentralen Begriff. Damit einher geht die Diskussion um die Sicherheit in der Cloud. Immer häufiger berichten Medien über aufsehenerregende Angriffe. Im August 2011, machte das Sicherheitsunternehmen McAfee eine internationale Hacker-Angriffswelle, die "Operation Shady RAT", bekannt. Es wurden 72 Unternehmen und Organisationen in 14 Ländern attackiert. Unter den Zielen waren IT-Infrastrukturen der Regierungen Indien, Kanada und den USA.
Die Sicherheit von vertraulichen Informationen wird in einer globalen Welt immer wichtiger. Institutionen bemühen sich daher Datenbanken, Router, Server und Switches vor unbefugten Zugriffen zu sichern. Im Vergleich zu früher bedarf es heute mehrer Vorkehrungen. Daten werden auf verschiedenen Wegen ausgetauscht. Informationen lassen sich in privaten Clouds, im Internet und außerhalb des Unternehmens-Computer-Netzwerks abhören. Deswegen muss eine Security-Strategie entwickelt und angewendet werden, die auch den Datenverkehr außerhalb des eigenen Netzwerkes unabhängig vom eigenen Equipment schützt.
Glasfasernetzwerke lassen sich entgegen weitreichender Meinung belauschen. Aus diesem Grund bedarf es neben geschützten Servern und Data-At-Rest-Verschlüsselung einer starke In-Flight-Codierung. Diese hilft sensible Daten vor unberechtigtem Zugriff im optischen Netzwerk abzusichern. Es ist möglich Daten-Traffic zu verbergen, um ihn vor Manipulation zu schützen oder zu verschleiern, dass Datenverkehr existiert.
Optical Tapping Methods - Übliche Abhörmethoden
Beharrlich halten IT-Verantwortliche am Irrtum fest, dass Daten in optischen Datenleitungen sicher vor Hacker seien. Konkret lässt sich Datenverkehr in Glasfasernetze mittels Know-how und entsprechenden Tools mithören. Im Jahr 2000 wurde der Frankfurter Flughafen Opfer eines Angriffs. Hacker verschafften sich Zugang zu drei Hauptleitungen.
Kriminelle bedienen sich unterschiedlicher Praktiken, um an Informationen zu kommen, die mittels Licht in Glasfasern übertragen werden. Hierbei wird von Optical Tapping Methods gesprochen.
Beim Bending, der so genannten Coupler-Technik, setzen Hacker einen Clip-On-Koppler ein. Mit dem Koppler biegen sie eine Glasfaser, damit ein Mikro-Knick entsteht. Das übertragende Licht folgt größtenteils der Krümmung. Die Kriminellen fangen das abgeleitete Licht mit einem Fotodetektor auf. Um die Daten mithilfe eines Packet-Sniffer-Tools auszulesen, wird das Licht per optisch-elektrischen Konverter in ein binäres, elektrisches Signal umgewandelt. Bending ist schwer feststellbar.
Dagegen ist die Gefahr, dass der Hack beim Splicing entdeckt wird, hoch. Bei dieser Methode wird die Glasfaser aufgedreht, um ein entsprechendes Gerät anzubringen. Dieses leitet das Signal an eine andere Faser weiter. Die Herstellung einer Verbindung (Spleiß) führt zu einer Unterbrechung des Signals. Eine Millisekunden-Störung kann auf eine Abhörung hinweisen und IT-Verantwortliche alarmieren.
Mittlerweile existieren auch Techniken, bei denen der direkte Kontakt mit dem Glasfaserkabel vermieden wird. Diese Techniken heißen Non-Touching-Methoden. Die Angreifer leiten zusätzliches Licht in das Kabel. Via Analyse der Wechselwirkung unter den Lichtströmen werden Informationen über das transportierte optische Signal ausgelesen.
Optimaler Schutz durch Verschlüsselung
Aufgrund der Beschaffenheit optischer Kommunikation erfassen die genannten Methoden das gesamte Signal, das durch den Netzwerk-Core läuft - damit bleibt für den Schutz der Daten einzig die Verschlüsselung als effektive präventive Methode.
Foto: Ciena
Häufig wird auf der Anwendungsebene verschlüsselt, da viele Anwendungen im Unternehmensnetzwerk für Übertragungs- und Kommunikationsprozesse das Internet Protocol (Netzwerk Layer 3) verwenden. Die Daten werden bereits verschlüsselt, bevor sie die optischen Netzwerkelemente erreichen, um von dort weitertransportiert zu werden. Der Ansatz ist allerdings nicht für datenintensive oder latenzempfindliche Anwendungen wie Echtzeit-Festplattenspiegelung oder Audio- und Videodatentransfers geeignet. Zu groß sind die Overheads, die zu den Datenpaketen hinzukommen, und auch der Verschlüsselungsprozess erhöht die Latenz des Datentransfers.
Ein weiterer Nachteil: das herkömmliche Modell kann umständlich und kostspielig sein, da die einzelnen Datenströme individuelle Verschlüsselungs-Geräte erfordern, die häufig speziell auf das genutzte Protokoll zugeschnitten sind. Das belegt mehrere Anschlüsse auf jedem MAN/WAN (Metropolitan Area Network & Wide Area Network)-Netzwerkelement, was Komplexität und Kosten erhöht.
Worauf es bei einer optischen Verschlüsselungs-Lösung ankommt
Eine Verschlüsselungs-Lösung, die sich auf die unteren Netzwerkebenen bezieht, kann in diesem Zusammenhang viele Vorteile bieten. Mit diesem Ansatz kann bei höchstem Sicherheitsstandard die Anzahl der notwendigen Netzwerk-Elemente - und damit auch Kosten und Komplexität des Netzwerks - reduziert werden.
Foto: Ciena
Die vorhandene Netzwerk-Bandreite kann voll genutzt werden und dank der minimalen Latenz beim Verschlüsselungsprozess kommt es nicht zu Performance-Verlusten, wovon bandbreitenintensive und latenzempfindliche Applikationen profitieren. Bei der Wahl der richtigen Verschlüsselungs-Lösung sollten folgenden Punkte beachtet werden:
a) Compliance
Sind Unternehmen international tätig, bedeutet das auch, dass eine Vielzahl von Rechtsvorschriften bezüglich der Datensicherheit zu beachten sind - die gewählte Lösung muss daher mit allen gesetzlichen Vorgaben in den verschiedenen Ländern konform sein, wo das Unternehmen agiert.
b) Sicherheits-Level und Compliance der Sicherheitsstandards
Für einen hohen Sicherheitsstandard ist ein Verschlüsselungs-Algorithmus mit 256-Bit zu empfehlen, zudem sollte die regelmäßige Erstellung neuer Schlüssel möglich sein. Zertifizierungen können bei der Einordnung der Lösung helfen. Hat die Lösung beispielsweise einen FIPS (Federal Information Processing Standard)-zertifizierten Advanced Encryption Standard (AES 256)?
c) Latenz
Die Performance latenzempfindlicher Netzwerkprotokolle oder Anwendungen kann je nach angewandter Verschlüsselungs-Lösung deutlich variieren. Moderne Verschlüsselungs-Lösungen sollten in der Lage sein, mit Hardware-bezogenen Latenz-Parametern in der Größenordnung einiger Mikrosekunden die Latenz unter Kontrolle zu halten.
d) Protokoll-Transparenz und -Skalierbarkeit
Ein Unternehmens-Netzwerk ist selten statisch, es entwickelt sich stets weiter, weshalb Dienste, die heute über das Netzwerk laufen, in Zukunft höchstwahrscheinlich durch andere ersetzt werden. Für die Verschlüsselungs-Lösung heißt das, dass sie Protokoll-agnostische Verschlüsselung unterstützen sollte, die eine Reihe verschiedener Transport-Typen tragen kann (zum Beispiel 10-Gigabit Ethernet LAN/WAN, 8/10G FC, PSIFB, OC-192, STM-64, OTU-2). Die Netzwerkbandbreite selbst wird sich vermutlich auch verändern - wie skalierbar ist die Lösung?
e) Kontrolle und Handhabung
Ob die verschlüsselten WAN-Verbindungen vom Unternehmen verwaltet und gewartet werden oder der Service Provider dies übernimmt - in jedem Fall sollte sichergestellt sein, dass der Anwender die Kontrolle über die Kodierungs-Schlüssel hat. So kann das Unternehmen, wenn nötig, neue Schlüssel zuweisen und bleibt immer im Bilde über Sicherheits-Alarme und -Berichte auf End-to-End-Basis. Dafür sollte das optische Transport-Management von der Verwaltung der Schlüssel getrennt sein. Kauft man beispielsweise den verschlüsselten Dienst von einem Service Provider, verwaltet dieser die Verbindungen, ihre Bereitstellung, die Administration und das Performance Monitoring, wie bei jedem anderen Dienst - hat allerdings keine Kontrolle über die Zuteilung der Schlüssel oder die Wartung. In Abstimmung mit den Sicherheits-Policies kann dies manuell oder automatisch über sichere, verschlüsselte Kanäle erfolgen.
Fazit
Die Wichtigkeit der Netzwerksicherheit hat im gleichen Verhältnis zugenommen wie die steigende Verbreitung kritischer Geschäftsdaten über die Wide Area Network-Infrastruktur. IT-Manager müssen die gleichen Sicherheitsstandards, die sie an die Daten im Rechenzentrum legen, auch für die Daten anwenden, die gerade übertragen werden.
Ein umfassender Sicherheitsansatz muss daher alle drei Schlüsselelemente abdecken: Server-Sicherheit, At-Rest-Verschlüsselung und In-Flight-Verschlüsselung. Netzwerk-Verschlüsselungs-Lösungen auf der optischen Ebene spielen dabei eine wichtige Rolle. Informationen in einer virtualisierten Umgebung zu sichern, während man ein ungesichertes Netzwerk betreibt, wäre vergleichbar damit, alle Fenster im Haus abzuschließen, aber die Haustür offenstehen zu lassen.
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation TecChannel. (sjf)