Layer 2-Verschlüsselung als (Managed) Service

Absicherung von Standortverbindungen.
 
Standortvernetzungen gehören zu den essentiellen digitalen Datenverbindungen vieler Unternehmen und Organisationen. Sowohl nationale als auch internationale Standorte lassen sich so transparent miteinander verbinden. Als Transportnetzwerke kommen vorwiegend Carrier Ethernet, MPLS und IP zum Zug. Aufgrund der Einfachheit, Kosteneffizienz und steigenden Verfügbarkeit gewinnt Carrier Ethernet laufend Marktanteile und ist mittlerweile die bevorzugte Lösung.
 
Ohne Verschlüsselung sind Standortvernetzungen unsicher. Da es sich um Netzwerke handelt, ist auch eine reine Datenverschlüsselung ungenügend. Die Anforderungen für Netzwerksicherheit sind deutlich höher. Nur korrekt implementierte authentisierte Verschlüsselung stellt mehr als die Vertraulichkeit der Daten sicher. Bei Netzwerken braucht es aber auch die Gewährleistung der Integrität der übermittelten Daten, das Entdecken und Verhindern des Einfügens von Daten, sowie das Sicherstellen, dass die Daten effektiv vom angegebenen Absender stammen. Bei Verwendung von AES geht das am besten mit AES-GCM. Man spart sich bei abgesicherten Standortvernetzungen auch Zusatzkosten für Intrusion Detection, Intrusion Prevention und Firewall. AES-GCM auf Layer 2 kann Netzwerke so abschotten, dass sämtliche Angriffe ? insbesondere alle von einer höheren Netzwerkschicht aus - ins Leere laufen.
 
Wie viel Schutz eine solche Verschlüsselung bietet, hängt allerdings noch von anderen Faktoren wie Schlüsselsystem, Schlüsselspeicher, Zufallszahlengenerator, Verwaltung und Sicherheit des Verschlüsselungsgeräts ab. Spezialisierte Security Appliances können eine hohe Sicherheit bieten, während die Sicherheit bei in Switches und Routers integrierten Verschlüsselungslösungen nur beschränkt gegeben ist. Virtuelle Appliances und White-Box-Lösungen hängen in Bezug auf die Sicherheit zusätzlich von der Sicherheit der Host-Umgebung und der vorhandenen Hardwareunterstützung ab. Eine in ein Ethernet Access Device (EAD) integrierte Lösung schützt die Daten und das Netzwerk erst nach der Übergabe an den Carrier. Das erleichtert das Abhören und Kompromittieren des Kundennetzwerks und ist in der Regel keine gute Lösung.
 
Verschlüsselung als Service ? unterschiedliche Ausgestaltungen
Für Verschlüsselung als Service sind handelsübliche Switches und Router ungeeignet. Grundlage für solche Dienstleistungen bilden deshalb spezialisierte Sicherheitsappliances. Es kommen aber auch White-Box-Lösungen und virtuelle Appliances zum Einsatz. Bei White-Box-Lösungen handelt es sich um Appliances, auf denen eine virtuelle Appliance betrieben wird. Verschlüsselung als Service ist in verschiedenen Varianten verfügbar. Diese unterscheiden sich in Bezug auf die Verfügungsmacht über das Gerät, die Verschlüsselungsfunktion und die Schlüssel. Beim Verschlüssler als Service mietet der Kunde den Verschlüssler, betreibt ihn aber komplett selbst. Der Unterschied zu einer Anschaffung eines Verschlüsslers besteht nur darin, dass die Kosten als Betriebskosten und nicht als Investitionskosten anfallen. Meist wird aber der gesamte Betrieb des Verschlüsslers, also die Verschlüsselung, als Dienstleistung bezogen. Die Verantwortung und Haftung bleibt beim Kunden und kann nicht auf den Dienstleister abgewälzt werden.
 
Eine saubere Trennung der Verwaltung von Gerätefunktionen, Netzwerkfunktionen und Sicherheitsfunktionen ist Grundlage für eine kundenorientierte und sichere Ausgestaltung der Dienstleistung. Dabei ist zu vermeiden, dass Geräte-, Netzwerkkonfigurations- und Sicherheitsverwaltung von einem einzelnen User Account aus oder mit einem einzigen User Credential erfolgen können. Zumindest die Sicherheitsverwaltung muss strikt getrennt sein. Die Ausgestaltung der Benutzerverwaltung eines Verschlüsslers entscheidet über die möglichen Ausgestaltungen der Dienstleistung.
 
Es gibt Kunden, die den ganzen Betrieb auslagern und auch die Schlüsselhoheit an einen externen Security Officer übergeben. Gebräuchlicher ist die Auslagerung des gesamten Betriebs bis auf die Funktion des Security Officers. So behält der Kunde die Schlüsselhoheit. Sofern die Verschlüsselungslösung eine Benutzerhierarchie unterstützt, kann die Dienstleistung auch so ausgestaltet werden, dass der Kunde die Kontrolle über Änderungen behält, die durch den Dienstleister vorgenommen werden. Der Dienstleiser nimmt die Änderungen zwar vor, doch treten diese nicht in Kraft bevor der Kunde die Änderungen genehmigt hat. Unabhängig von der Ausgestaltung der Dienstleistung ist es zudem aufgrund der Verantwortung und Haftung unerlässlich, dass der Kunde jederzeit überprüfen kann, ob die Verschlüsselungsfunktion aktiviert ist.
 
Unterschiedliche Geräte ? unterschiedliche Einsatzbereiche
Für Layer 2-Verschlüssler gibt es keinen offiziellen Standard. Die auf dem Markt verfügbaren Lösungen verwenden durchgehend eine Kombination von unterschiedlichen etablierten Standards. Die meisten unterstützen eine Verschlüsselung mit Message Authentication Code (MAC), die durch die Verwendung von AES-GCM geboten wird. Unterscheiden tun sich die verschiedenen Lösungen in Bezug auf Schlüsselaufbau, Zufallszahlengenerierung, Schlüsselsystem, Verschlüsselungsmodi, Verwaltung, Netzwerkunterstützung, Netzwerkkompatibilität und zusätzliche Netzwerksicherheitsfunktionen.
 
Einige Verschlüssler unterstützen nebst Carrier Ethernet auch MPLS- und IP-Netzwerke. Dies bedingt wiederum unter anderem ein Schlüsselsystem, das sowohl mit Ethernet als auch mit IP umgehen kann. Ein Layer 2-Verschlüssler mit voller IP-Unterstützung ist auch eine sichere Alternative zu Cisco?s GET VPN.
 
Bei Umgebungen, welche auch IaaS-Instanzen im Rahmen von Public Clouds (etwa Amazon AWS, Microsoft Azure oder Rackspace) einbinden, ist das Platzieren von spezialisierten Appliances zwischen schwierig und unmöglich. Diese Cloud-Anbieter bieten aber die Möglichkeit eines Direct Access, eines direkten Zugriffs über ein Carrier-Netzwerk. So können solche IaaS-Instanzen eingebunden und mittels einer virtuellen Appliance abgesichert werden.
 
Unterschiedliche Service Provider ? unterschiedliche Angebote
Firmen wie Swisscom und Colt haben schon früh Verschlüsselungslösungen für Carrier Ethernet angeboten. Nur haben sie es verpasst, mit den gestiegenen Sicherheitsanforderungen und erweiterten Funktionalitäten Schritt zu halten. Viele Carrier und Managed Security Provider haben Layer-2-Verschlüssler nicht im Standardangebot. Auf Kundenanfrage hin bieten sie aber solche an. Zu den Carriern, die Layer-2-Verschlüsselung auf Anfrage anbieten, gehören unter anderem Orange Business Services, BT, UPC Cablecom und Sunrise. Fragen lohnt sich. Es ist Aufgabe des Kunden sicherzustellen, dass er eine Dienstleistung wählt, die seinen Netzwerk- und Sicherheitsanforderungen entspricht und die sich problemlos in seine Prozesse einbinden lässt. Eine Marktübersicht zu den verfügbaren Verschlüsselungslösungen gibt es hier auf Deutsch und hier auf Englisch.
 
Mehr Nachfrage ? mehr Angebote
Die Kundennachfrage nach Layer-2-Verschlüsslern hat in den letzten Jahren stark zugenommen und sich in den letzten Monaten deutlich beschleunigt. Dies sowohl für Carrier Ethernet wie auch für MPLS-Netzwerke. Dies bestätigt auch Roger Lüthi, Head of Product Management Business Solutions bei Green.ch: "Die Anfragen an Green als Rechenzentrums- und Datenkommunikations-Anbieter für Verschlüsselung auf Layer-2-Ebene sowohl von Punkt-zu-Punkt- als auch für Mehrpunkt-Verbindungen haben in den letzten Monaten deutlich zugenommen. Ein besonderer Vorteil der Layer-2-Verschlüsselung von Green ist dabei, dass sämtliche Einsatzszenarien unterstützt sind und die Schlüssel vom Unternehmen selber verwaltet werden können." Immer mehr Carrier und Managed Security Provider nehmen deshalb Layer-2-Verschlüssler in ihr Standardangebot auf. Die Angebote sind sowohl deutlich günstiger als auch deutlich umfangreicher als dies noch vor zwei Jahren der Fall war. (Christoph Jaggi)