Worauf es bei einer optischen Verschlüsselungs-Lösung ankommt

Eine Verschlüsselungs-Lösung, die sich auf die unteren Netzwerkebenen bezieht, kann in diesem Zusammenhang viele Vorteile bieten. Mit diesem Ansatz kann bei höchstem Sicherheitsstandard die Anzahl der notwendigen Netzwerk-Elemente - und damit auch Kosten und Komplexität des Netzwerks - reduziert werden.

Die vorhandene Netzwerk-Bandreite kann voll genutzt werden und dank der minimalen Latenz beim Verschlüsselungsprozess kommt es nicht zu Performance-Verlusten, wovon bandbreitenintensive und latenzempfindliche Applikationen profitieren. Bei der Wahl der richtigen Verschlüsselungs-Lösung sollten folgenden Punkte beachtet werden:

a) Compliance

Sind Unternehmen international tätig, bedeutet das auch, dass eine Vielzahl von Rechtsvorschriften bezüglich der Datensicherheit zu beachten sind - die gewählte Lösung muss daher mit allen gesetzlichen Vorgaben in den verschiedenen Ländern konform sein, wo das Unternehmen agiert.

b) Sicherheits-Level und Compliance der Sicherheitsstandards

Für einen hohen Sicherheitsstandard ist ein Verschlüsselungs-Algorithmus mit 256-Bit zu empfehlen, zudem sollte die regelmäßige Erstellung neuer Schlüssel möglich sein. Zertifizierungen können bei der Einordnung der Lösung helfen. Hat die Lösung beispielsweise einen FIPS (Federal Information Processing Standard)-zertifizierten Advanced Encryption Standard (AES 256)?

c) Latenz

Die Performance latenzempfindlicher Netzwerkprotokolle oder Anwendungen kann je nach angewandter Verschlüsselungs-Lösung deutlich variieren. Moderne Verschlüsselungs-Lösungen sollten in der Lage sein, mit Hardware-bezogenen Latenz-Parametern in der Größenordnung einiger Mikrosekunden die Latenz unter Kontrolle zu halten.

d) Protokoll-Transparenz und -Skalierbarkeit

Ein Unternehmens-Netzwerk ist selten statisch, es entwickelt sich stets weiter, weshalb Dienste, die heute über das Netzwerk laufen, in Zukunft höchstwahrscheinlich durch andere ersetzt werden. Für die Verschlüsselungs-Lösung heißt das, dass sie Protokoll-agnostische Verschlüsselung unterstützen sollte, die eine Reihe verschiedener Transport-Typen tragen kann (zum Beispiel 10-Gigabit Ethernet LAN/WAN, 8/10G FC, PSIFB, OC-192, STM-64, OTU-2). Die Netzwerkbandbreite selbst wird sich vermutlich auch verändern - wie skalierbar ist die Lösung?

e) Kontrolle und Handhabung

Ob die verschlüsselten WAN-Verbindungen vom Unternehmen verwaltet und gewartet werden oder der Service Provider dies übernimmt - in jedem Fall sollte sichergestellt sein, dass der Anwender die Kontrolle über die Kodierungs-Schlüssel hat. So kann das Unternehmen, wenn nötig, neue Schlüssel zuweisen und bleibt immer im Bilde über Sicherheits-Alarme und -Berichte auf End-to-End-Basis. Dafür sollte das optische Transport-Management von der Verwaltung der Schlüssel getrennt sein. Kauft man beispielsweise den verschlüsselten Dienst von einem Service Provider, verwaltet dieser die Verbindungen, ihre Bereitstellung, die Administration und das Performance Monitoring, wie bei jedem anderen Dienst - hat allerdings keine Kontrolle über die Zuteilung der Schlüssel oder die Wartung. In Abstimmung mit den Sicherheits-Policies kann dies manuell oder automatisch über sichere, verschlüsselte Kanäle erfolgen.