Ethernet-Verschlüsselung als Managed Service

"Nur ein verschlüsseltes VPN ist ein sicheres VPN". Gastautor Christoph Jaggi untersucht den noch jungen Markt der Ethernet-Verschlüsselung als Dienstleistung, gibt einen Überblick über die Angebote in der Schweiz und beschreibt, worauf Kunden zu achten haben.
 
"Wenn es um standortübergreifende Firmennetze geht, benützen Carrier gern Begriffe wie "Virtual Private Network (VPN)." Im gleichen Kontext tauchen dann Adjektive wie "secure" und "sicher" auf. Daraus könnte man schliessen, dass standortübergreifende Firmennetze von Haus aus sicher seien. Was die Carrier dabei verschweigen ist die Tatsache, dass VPNs nur dann sicher sind, wenn sie verschlüsselt sind. Sind sie es nicht, so haben Dritte Zugriffsmöglichkeiten auf die Daten und können im schlimmsten Fall sogar Daten in ein fremdes Netz einspeisen. Nur ein verschlüsseltes VPN ist ein sicheres VPN. Es ist dabei irrelevant, ob es sich um ein Ethernet-VPN, ein MPLS-VPN oder ein IP-VPN handelt.
 
Wieso Managed Encryption Services?
Standortübergreifende Firmennetze werden nicht von den Kunden selbst aufgebaut, sondern benutzen bestehende Infrastrukturen, die von den Carriern als Produkt angeboten werden. Der Kunde kümmert sich nur um die Anbindung seiner lokalen Netzwerke auf seiner Seite, während der Carrier für die Verbindungen zuständig ist. Steht der Verschlüssler zwischen dem lokalen und dem Carrier-Netz, so kann der Verschlüssler vom Carrier betrieben und die Verschlüsselung als Service angeboten werden. Das Netzwerk wird dann bei der Übergabe an das Carrier-Netz verschlüsselt und bei der Übergabe an ein lokales Netzwerk des Kunden entschlüsselt. Während des Transports über das Carrier-Netzwerk ist das Netzwerk verschlüsselt und sicher.
 
Als Anbieter kommen aber auch Dienstleister in Frage, die ihren Kunden Business-Process- und IT-Outsourcing anbieten. In diesem Fall werden die Ressourcen des Dienstleisters sicher mit den Standorten des Kunden verbunden. Mehrmandantenfähige Verschlüssler können dabei eine optimale Ausnutzung der Geräte und der Anschlüsse gewährleisten.
 
Managed Encryption Services versus Managed Security Services
Der Betrieb eines Verschlüsslers und die Verschlüsselung als Service können gemeinsam oder getrennt angeboten werden. Managed Security Services beschränken sich oft auf den Betrieb, also das Management der Verschlüssler. Der Verschlüssler selbst ist im Angebot nicht enthalten und muss vom Kunden zur Verfügung gestellt werden. Im Gegensatz dazu beinhalten Managed Encryption Services den Verschlüssler und dessen Betrieb. Der Kunde bezieht also die Verschlüsselung als Dienstleistung. Logischer Partner dafür ist der Carrier, über dessen Netzwerk die Daten transportiert werden. Das Ganze kann man aber auch mit Process- und IT-Outsourcing kombinieren, so dass die entsprechenden Dienstleistungen als Gesamtpaket verfügbar sind und die Gesamtkosten klar ersichtlich und zuweisbar sind.
 
CapEx versus OpEx
Bei Managed Encryption Services bezieht der Kunde das Netzwerk und dessen Absicherung vom Carrier als Dienstleistung. Er muss keine Verschlüssler anschaffen, sondern nur für deren Nutzung zahlen. Die Kosten für die Absicherung des Netzes werden den Kosten für das Netz hinzugefügt. Somit fallen keine Investitionen (CapEx), sondern nur Betriebskosten (OpEx) an und die Absicherung des Netzes wird gleich abgerechnet wie die Bereitstellung des Netzes selbst. Man könnte die Kosten für Managed Encryption Services auch als Versicherungskosten betrachten, denn einerseits wird das Netzwerk abgesichert und andererseits geht die Haftung für Datenverlust während der Netzwerkübertragung auf den Anbieter der Managed Encryption Services über.
 
Bei Managed Security Services übernimmt der Dienstleister in der Regel nur den Betrieb der Verschlüssler. Der Kunde ist für die Beschaffung der Verschlüssler zuständig und es fallen entsprechende Investitionskosten (CapEx) an. Oft verkauft ein Managed Security Provider die Verschlüssler an den Kunden und lässt sich nachher für den Betrieb der Geräte bezahlen. Wer im Falle eines Datenverlustes haftet, ist dabei im Gegensatz zu Managed Encryption Services nicht klar, da das Gerät dem Kunden gehört und der Service Provider nur für eigene Fehler beim Betrieb der Geräte.
 
Hybride Netzwerke: Ethernet, MPLS und IP
Ethernet ist auf Layer 2 angesiedelt und kann allen Netzwerkverkehr übertragen, der über Ethernet transportiert wird. Dazu gehören auch MPLS und IP. Der Netzwerkverkehr kann so auf einem Anschluss konsolidiert werden, was die Kosten reduziert. Der MPLS- und IP-Netzwerkverkehr wird vom Carrier auf der entsprechenden Infrastruktur befördert. Damit können sämtliche internen und externen Anbindungen über den gleichen Anschluss erfolgen. Der in Singapore domizilierte asiatische Carrier SingTel hat ein Dokument veröffentlicht, das die Einsatzszenarien von Ethernet- und MPLS-Netzwerken aufzeigt. MPLS-Verbindungen, die auf beiden Seiten des Netzwerks über Ethernet ausgeliefert werden, können von einigen der Verschlüsslern ebenso verschlüsselt werden wie der reine Ethernet-Verkehr.
 
Auf den Verschlüssler kommt es an
Wenn Managed Encryption Services angeboten werden, so ist das Angebot und die Funktionalität vom verwendeten Verschlüssler abhängig. Es liegt am Kunden, sicherzustellen, dass Geräte verwendet werden, welche die unterschiedlichen Netzwerke und die verwendeten Topologien voll unterstützen. Dies ist im Punkt-zu-Punkt-Betrieb relativ einfach, dafür im Multipunkt-Betrieb umso komplexer. Um auch MPLS- und IP-Netzwerke über den gleichen Ethernet-Anschluss führen zu können genügt es, diese auf VLAN-IDs zu legen, die unverschlüsselt bleiben. Die "virtual private"-Varianten der Multipunkt-Topologien trennen das Netzwerk nach VLAN-IDs, wobei das Ethernet-Netzwerk selbst über mehrere VLAN-IDs verfügt. Will man diese getrennt halten, so bedingt dies eine Schlüsselzuweisung nach VLAN-IDs. Jedes VLAN hat so seinen eigenen Schlüssel und ist kryptographisch von den anderen VLANs getrennt. Dafür braucht es Gruppenschlüsselsysteme, welche die Schlüsselzuweisung entsprechend vornehmen können. Sollen auch über Ethernet-Anschlüsse geführte MPLS-Netzwerkverbindungen verschlüsselt werden, so muss der Verschlüssler "MPLS-aware" sein und bei der Verschlüsselung das MPLS-Tag unverschlüsselt lassen.
Die wichtigsten Eigenschaften der Verschlüssler finden sich in den aktuellen Kurzversionen der Marktübersichten.
 
Das Angebot in der Schweiz
Eine aktuelle Umfrage bei den Carriern zeigt, dass Ethernet Services für standortübergreifende Firmennetzwerke bei allen führenden Anbietern in der Schweiz erhältlich sind. Dazu gehören BT, Cablecom, Colt, Cyberlink, Orange Business Services, Sunrise, Swisscom und Telecom Liechtenstein. Die verfügbaren Topologien reichen von Punkt-zu-Punkt über Punkt-zu-Multipunkt bis zu Multipunkt-zu-Multipunkt. Einige der Anbieter unterstützen noch nicht alle Topologien, doch ist damit zu rechnen, dass innerhalb der nächsten 24 Monate alle wichtigen Carrier sämtliche Topologien im Angebot haben.
 
Managed Ethernet Encryption Services sind Teil des Gesamtangebots an Ethernet Services. Einige der Carrier bieten Managed Ethernet Encryption Services direkt als Option an. Bei den anderen Carriern sind sie derzeit nur auf Kundenwunsch verfügbar. Man kann davon ausgehen, dass Managed Ethernet Encryption Services innerhalb der nächsten Jahre bei allen Carriern als Standardoption im Angebot auftauchen.
 
Auf Anfrage gibt es (fast) alles
Angeboten wird das, was als Standardprodukt geführt ist, und zusätzlich das, was der Kunde ausdrücklich will. Dies macht es für den Kunden schwierig, denn er muss dem Carrier genau sagen, was er will. Tut er dies nicht, so wird der Carrier versuchen, ihm ein Standardprodukt zu verkaufen auch wenn das nicht unbedingt die beste Lösung für den Kunden ist. Führt der Carrier zum Beispiel. nur IP-Verschlüsselung im Standardangebot, so wird er versuchen, den Kunden davon zu überzeugen, dass dies die beste Lösung sei, obwohl dem offensichtlich nicht so ist. Speziell bei RFPs gilt deshalb: Die Anforderung so definieren, dass sie sowohl den eigenen Bedürfnisse wie auch dem Stand der Technik entsprechen. (Christoph Jaggi)