Ethernet-Verschlüssler: Virtuell und in der Cloud

Virtualisierung und Cloud-Computing sind die heute dominierenden Themen im IT-Bereich. Doch was bedeutet Virtualisierung für die Verknüpfung von Standorten über Ethernet (Metro und Carrier Ethernet), die immer beliebter wird? Eine Einführung von Christoph Jaggi.
 
Ethernet-Verschlüssler sind ein "heisses" Thema, da immer mehr Anwender den Netzwerkstandard für die Verbindung für verschiedenen Standorten mit Metro und Carrier Ethernet einsetzen. Dies zeigt sich unter anderem daran, wie intensiv unser letzter Feature-Artikel zum Thema Ethernet-Verschlüsselung, "Ethernet-Verschlüssler: Die ganze Übersicht" gelesen worden ist. Zudem werden unsere neuen Marktübersichten (neu auch in Englisch!) zu Tausenden herunter geladen. Kam das Interesse bei der ersten Marktübersicht im Jahr 2008 vorwiegend von Regierungsorganisationen, öffentlichen Verwaltungen, Banken, Versicherungen, IT-Firmen und Carriern, so hat sich das in den letzten beiden Jahren deutlich geändert. Mittlerweile interessieren sich Firmen aus den unterschiedlichsten Wirtschaftsbereichen, denen eines gemein ist: Sie verwenden Ethernet- oder ethernet-basiertes MPLS zur Kommunikation zwischen Standorten.
 
Doch wie werden Ethernet-Verschlüssler in virtualisierten Umgebungen eingesetzt? Geht das überhaupt - und wenn ja - was gilt es zu beachten?
 
Virtuelle und "echte" Ethernet-Verschlüssler
Theoretisch kann jeder Verschlüssler, der auf einer x86-CPU basiert, auch auf einer virtuellen x86-CPU laufen. Der Verschlüssler läuft dann als Applikation auf einer virtuellen Maschine (VM). Zwischen einer echten und einer virtuellen Appliance gibt es aber einige wichtige Unterschiede, die berücksichtigt werden müssen. So fehlt neben dem physischen Geräteschutz auch die benötigte "Entropiequelle", die man für die hardware-basierte echte Zufallszahlenerzeugung braucht, und der manipulationssichere Schlüsselspeicher. Der physische Geräteschutz muss durch einen äquivalenten physischen Schutz des Servers kompensiert werden, während die für Schlüsselerzeugung und -Lagerung notwendige Hardware entweder über eine lokale Smart Card oder über ein netzwerk-basiertes Hardware Security Module (HSM) zur Verfügung gestellt wird. Die lokale Smart Card wird am Host über USB angeschlossen und kann von der virtuellen Appliance, die auf dem Host läuft, angesprochen werden. Die benötigte Sicherheit und der geforderte Schutz sind so auch bei einer virtuellen Appliance vorhanden, aber eben nur, falls die entsprechende Hardware nicht nur virtuell, sondern auch reell vorhanden ist.
 
Siehe Grafik oben: schematische Darstellungen eines Verschlüsslers als Appliance.
 
Die Performance
Die Performance der virtuellen Appliance ist von mehreren Faktoren abhängig. Dazu gehören die Hardware-Ausstattung des physischen Hosts, die Leistungsfähigkeit des Hypervisors, die Anzahl der nebst der virtuellen Appliance auf dem Host laufenden virtuellen Maschinen (VMs) und die CPU-, Speicher- und I/O-Belastung durch die anderen virtuellen Maschinen. Die Virtualisierung bringt es mit sich, dass die bestehenden Hardware-Ressourcen geteilt werden und zu einem bestimmten Zeitpunkt jeweils nur einer virtuellen Maschine zur Verfügung stehen. Werden mehrere Echtzeitdienste auf dem gleichen Host in unterschiedlichen virtuellen Maschinen betrieben, so hat das zwangsläufig Auswirkungen auf Latenz und Jitter. Man muss also grundsätzlich davon ausgehen, dass virtualisierte Verschlüssler Performance-Probleme verursachen können und dies bei hohen Bandbreiten auch machen werden.
 
Sicherheit
Die Sicherheit der virtuellen Appliance hängt von mehreren externen Faktoren ab: Einerseits muss der Server, auf dem die virtuelle Appliance läuft, vor unerlaubtem Zugriff geschützt sein. Andererseits bilden auch das Gastbetriebssystem, der Hypervisor und die anderen auf dem Host laufenden virtuellen Maschinen Sicherheitsrisiken.
 
Der Einsatz von virtualisierten Verschlüsslern ist deshalb auf spezifische Szenarien beschränkt. Ein typisches Beispiel wäre eine virtuelle Appliance auf einem Host, auf dem noch Firewalls laufen. Zudem macht es nur dort Sinn, wo der zu verschlüsselnde Datenverkehr im unteren Bereich, d.h. zur Zeit unter 50-70 Mbit/sec liegt und die im Vergleich zu einer dedizierten Appliance erhöhte Latenz und der grössere Jitter keine unerwünschten Nebenwirkungen zur Folge haben. Performancemässig sinkt die Leistungsfähigkeit gemessen an Latenz und Jitter bei grösseren Bandbreiten auf die Werte, die man sich bei softwaremässig implementierten IPSec-Verschlüsslern gewohnt ist. Problematisch sind in erster Linie Echtzeit-Dienste (zum Beispiel IP-Telephonie).
 
Schlüssel-Server als virtuelle Appliances
Verschlüsselungslösungen für Ethernet-Verbindungen zwischen mehreren Standorten (Multipunkt) brauchen ausgefeilte Gruppenschlüsselsysteme. Diese bestehen aus zwei Komponenten: Der Schlüsselverwaltung und der eigentlichen Verschlüsselungsfunktion. Diese Komponenten können sowohl zusammen wie auch getrennt betrieben werden. Oft wird auch eine Kombination von zentraler und verteilter Schlüsselverwaltung verwendet, um beim Ausfall einer Verbindung oder der zentralen Schlüsselverwaltung den sicheren Weiterbetrieb des WANs gewährleisten zu können. Der Betrieb der Schlüsselverwaltung als virtuelle Appliance hat im Gegensatz zur Echtzeitverschlüsselung keine Auswirkungen auf Latenz und Jitter. Die Virtualisierung ermöglicht die redundante Auslegung der zentralisierten Schlüsselverwaltung sowohl lokal wie auch gebietsübergreifend. Sicherheitsmässig gelten aber auch für virtualisierte Schlüsselverwaltungen, die als virtuelle Appliances implementiert sind, die gleichen Einschränkungen wie für die virtualisierten Verschlüssler. Es braucht entweder lokale oder netzwerk-basierte Zusatzhardware (Smart Card oder Hardware Security Module), damit echte Zufallszahlen generiert und die Schlüssel sicher gelagert werden können.
 
Von den verschiedenen Anbietern hat derzeit erst die in der Schweiz durch DeltaNet vertretene ATMedia virtuelle Appliances im Angebot. Es ist aber damit zu rechnen, dass weitere Anbieter sowohl Verschlüssler wie auch Key Server als virtuelle Appliances auf den Markt bringen werden, zumal idQuantique, Safenet und Senetas x86-basierte Verschlüssler im Angebot haben.
 
"Virtuell" ist nicht gleich "virtuell": Layer 2-Verschlüssler in virtuellen und virtualisierten Umgebungen
Nicht jede virtuelle Umgebung ist virtualisiert, sondern besteht oft aus einer Kombination von virtualisierten, paravirtualisierten und emulierten Elementen. Bei einer Virtualisierung wird bestehende Hardware vervielfältigt, indem die physikalische Hardware in mehreren nur logisch vorhandenen Instanzen der Hardware aufgeteilt wird. Jede logische Instanz verfügt über die gleichen Eigenschaften wie die virtualisierte Hardware. Aus einem Rechner werden so mehrere logische Rechner, die sich wie eigenständige Rechner verhalten. Entsprechend bleibt es dem Gastsystem verborgen, dass es nicht auf einem echten, sondern nur auf einem virtuellen Rechner läuft. Während bei der Virtualisierung unmodifizierte Gastsysteme direkt auf die virtuelle Hardware zugreifen können, erfolgt bei der Paravirtualisierung der Zugriff über eine Programmierschnittstelle (API) des Hypervisors. Dies bedingt eine Modifizierung der Gastsysteme, denn nur so können sie über die vom Hypervisor bereit gestellten APIs auf die Hardware zugreifen. Bei einer Emulation handelt es sich nicht um eine Virtualisierung, sondern um eine Nachbildung eines Systems. In einer virtuellen Umgebung erfolgt die Emulation in Software. Diese kann ein komplettes System oder auch nur Teilaspekte eines Systems umfassen. Über eine Emulation kann man so zum Beispiel sowohl einen virtuellen Switch mit den Eigenschaften eines bestimmten Netzwerkadapters erstellen wie auch einem Programm vorgaukeln, dass ein bestimmter Drucker vorhanden sei. Es wäre auch möglich, einen Ethernet-Verschlüssler zu emulieren, doch ist das, wie bei einem virtuellen Switch auch, aufgrund der Performance eines emulierten Systems nicht unbedingt zweckdienlich.
 
Auch in virtuellen Umgebungen erfolgt die Datenübertragung über Ethernet, das wiederum verschlüsselt werden kann. Aus Sicherheitsgründen ist die bei etlichen Szenarien auch unbedingt anzuraten.
 
Ethernet-Verschlüssler und virtualisierte Netzwerke
MAN- und WAN-Verbindungen werden von den Carriern – ausser im Ausnahmefall von direkten physischen Verbindungen – auf der Carrier-Seite des Netzwerks virtualisiert. Mehrere Verbindungen unterschiedlicher Kunden laufen über die gleiche physikalische Infrastruktur. So kann mehr Bandbreite verkauft werden als effektiv zur Verfügung steht. Dies führt sowohl für den Carrier als für den Kunden zu geringeren Kosten pro Megabit als bei direkten physikalischen Verbindungen. Für die Verschlüssler spielt die Virtualisierung auf Carrier-Seite keine Rolle, solange die Verschlüsselung vor der Virtualisierung erfolgt.
 
Ethernet selbst hat eine eingebaute Virtualisierung: Das Virtual Local Area Network (VLAN), das unter IEEE 802.1Q standardisiert ist. Jedes VLAN stellt dabei ein eigenes logisches Netzwerk mit eigener Broadcast-Domain dar. VLANs ermöglichen auch die Trennung von Netzwerkverkehr und die Verwendung unterschiedlicher Prioritäten für unterschiedliche Applikationen. Solche Strukturen mit unterschiedlichen VLANs sind in der Praxis eher die Regel als die Ausnahme. Verschlüssler können diese strukturierten virtualisierten Netzwerke kryptographisch unterstützen, indem sie eine gruppenorientierte Schlüsselzuweisung nach VLAN-ID als Funktionalität zur Verfügung stellen.
 
Ethernet-Verschlüssler in Cloud-Umgebungen
Metro und Carrier Ethernet verbindet Standorte. Dies beinhaltet Rechenzentren, auch solche in denen Cloud-Infrastrukturen zur Verfügung gestellt werden. Ethernet-Verschlüssler sorgen für die Absicherung der Netzwerkinfrastruktur zwischen den Standorten. Es spielt dabei keine Rolle, ob es sich um eigene, gemietete oder gehostete Rechenzentren handelt. Der Verschlüsser kann so positioniert werden, dass er den Verkehr an den jeweiligen Übergabepunkten zwischen eigenem und gemeinsam respektive öffentlich genutztem Netzwerk verschlüsselt.
 
Cloud Computing basiert auf abstrahierter, hochskalierbarer, mehrmandantenfähiger und verwalteter IT-Infrastuktur, die auf Verlangen zur Verfügung steht. Das ist zumindest das Versprechen. Die unterschiedlichen Liefermodelle definieren den Nutzerkreis für das jeweilige Angebot: Private Cloud für die firmeninterne Nutzung, Hybrid Cloud für die kombinierte Nutzung von Public und Private Cloud und Community Cloud für einen beschränkten Nutzerkreis.
 
Unterschieden wird zwischen drei Servicemodellen: Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS). Bei IaaS stehen als Infrastruktur Rechner, Speicher und Netzwerk für den Kunden zur Verfügung. Diese Elemente können einzeln oder zusammen bezogen und definiert werden. Der Kunde kann sämtliche Software, inklusive dem Betriebssystem, selbst bestimmen. Bei PaaS steht dem Kunden eine Plattform zur Verfügung, die aus Rechner, Speicher und die für den Betrieb von Applikationen notwendige Software zur Verfügung steht. Bei SaaS hat der Kunde nur Zugriff auf die Applikationen des Anbieters. Die Integration mit anderen Applikationen des Kunden muss entweder vom SaaS-Anbieter im Angebot beinhaltet sein oder vom Kunden über eine Hybrid Cloud und entsprechende Middleware bewerkstelligt werden. Zudem gibt es fünf weitere essentielle Charakteristika: Nebst der Selbstbedienung des Nutzers für den Bezug von Leistungen aus der Cloud sind das die Skalierbarkeit, die Zuverlässigkeit und Fehlertoleranz, die Optimierung und Konsolidierung und schliesslich noch die Dienstqualität.
 
Der Einsatz von Ethernet-Verschlüsslern kommt nur bei zwei Cloud-Liefermodellen in Frage: Der Private Cloud und der Community Cloud. Bei beiden handelt es sich primär um eine Standortvernetzung mit Zugriff auf gemeinsam genutzte Datenzentrum-Ressourcen.
 
Auch für Cloud-Provider, die über mehrere Rechenzentren an unterschiedlichen Standorten verfügen, die über Metro oder Carrier Ethernet verbunden sind, stellen Ethernet-Verschlüssler eine optimale Lösung zur Absicherung des Netzwerkes dar. (Christoph Jaggi)
 
Zum kostenlosen Download
Free Downloads:
 
Wir sind in den Kurzversionen der Erläuterungen, die wir letzten Mai veröffentlicht haben, nicht auf das Thema Virtualisierung eingegangen. Ein ausführliche, neue Version der Erläuterungen zu Ethernet-Verschlüsselung in virtualisierten, "Cloud"-Umgebungen, finden Sie hier:
 
Deutschsprachige Version (Klick öffnet
PDF)
 
Ethernet Encryptors, Virtual Appliances and Cloud
english version (click starts PDF)
 
Virtuelle Appliances sind in der Marktübersicht aufgeführt, die wir im Mai veröffentlicht haben:
 
Marktübersicht Multipunkt Ethernet Verschlüssler (deutsch)
 
Market Overview Ethernet Encryptors Multipoint (english)