Plädoyer für den Einsatz von KVM-Lösungen

Altes Eisen und etabliertes Werkzeug

4. Mai 2017, 8:00 Uhr | Von Ralf Ploenes.

Trotz vieler Vorhersagen, dass die Embedded-Service-Prozessoren mittelfristig den etablierten KVM-Switch ablösen würden, behauptet sich das Werkzeug seit Jahren wacker auf dem Markt. Es ist aus der IT-Landschaft vieler Institutionen sowie aus Industrie, Forschung und Wirtschaft nicht wegzudenken. Es lohnt sich daher, die speziellen Fähigkeiten einer KVM-Lösung unter die Lupe zu nehmen. Das zugrunde liegende Konzept ist nämlich viel moderner, als sein Ruf vermuten lässt.

Embedded-Servic-Prozessoren (ESPs), al-so integrierte Service-Prozessoren zur Verwaltung virtueller und physischer Server, stehen seit über zehn Jahren für das Remote-Server-Management zur Verfügung. Als unabhängiger Bestandteil innerhalb des Servers bietet das BMC-Subsystem (Baseboard Management Controller) dem IT-Administrator Dienstleistungen wie zum Beispiel KVM over IP, Virtual Media und Server-Informationen an. Die Vermarktung geschieht unter Akronymen wie zum Beispiel iLO, DRAC und RSA. Trotz der Beliebtheit von ESPs innerhalb der IT-Landschaft konnte es allerdings die KVM-Switches (Keyboard, Video, Mouse) nicht ablösen. KVM-Switches bleiben ein wichtiges Werkzeug für viele Anwender, da diese über besondere Merkmale und Fähigkeiten verfügen.

Was hat KVM, was ESP nicht hat?

Zunächst stellen KVM-Switches eine komplett von Hardware und Software unabhängige Out-of-Band-Verbindung zur Verfügung. Ein ESP ist zwar unabhängiger Bestandteil eines Server-Systems, verfügt jedoch darüber hinaus über interne vom Server abhängige Verbindungen. Weiterhin ermöglicht ein ESP den Zugriff lediglich über IP, während der KVM-Switch weitere Zugriffsformen wie den Direktzugriff am Rack, dazu den IP-Zugriff oder im Notfall sogar einen Zugriffsweg über ein Modem anbietet. Vor allem unter den Gesichtspunkten der Nutzerfreundlichkeit und Sicherheit ist dies ein wichtiger Aspekt.

Zweitens ermöglicht ein KVM-Switch den einheitlichen Zugriff auf Server verschiedenster Hersteller und dies auch noch über verschiedene Zugriffswege. Dies ist sehr von Vorteil, da schon die Server eines Herstellers deutliche Unterschiede in den ESPs über verschiedene Generationen hinweg aufweisen können. Die Folge: Das IT-Personal muss sich mit den Besonderheiten der verschiedenen ESPs abhängig von der Generation plagen.

Raritan_KVM_2
KVM-Switches stellen eine komplett von Hardware und Software unabhängige Out-of-Band-Verbindung zur Verfügung und ermöglichen den einheitlichen Zugriff auf Server verschiedener Hersteller.

Drittens bieten ESPs nur eine begrenzte Leistung für die KVM-over-IP-Schnittstelle. Diese ist oft ausreichend für kleinere Routineaufgaben, bereitet aber Probleme bei der Nutzung in anspruchsvollen Bereichen wie zum Beispiel Video- und Rundfunkanwendungen oder beim Einsatz in der Wissenschaft. Dort gelten oft besonders hohe Anforderungen an die Leistungsfähigkeit der KVM-over-IP-Schnittstelle.

Abschließend standen ESPs in der jüngeren Vergangenheit mehrfach wegen kritischer Sicherheitslücken im Fokus, die vom in die Jahre gekommenen IPMI-Protokoll (Intelligent Platform Management Interface) ausgehen, auf dem viele ESPs noch heute basieren. Die Sicherheitsforscher Dan Farmer und H.D. Moore haben einige Sicherheitslücken des IPMI-Protokoll herausgearbeitet und aufgelistet. Eine Google-Suche nach "IPMI vulnerability" oder "Dan Farmer IPMI" liefert die notwendigen Informationen zu der angesprochenen Forschung.

Die Überraschung darüber, wie kritisch und gefährlich diese Sicherheitslücken sein können, ist bisweilen auch unter Experten sehr groß. Im Gegensatz dazu weisen KVM-Switches diese IPMI-bezogene Problematik nicht auf und verfügen zusätzlich über Sicherheitsfunktionen wie starke Passwörter, Smart-Card-Authentifizierung und AES-Verschlüsselung. Einige KVM-Switches weisen sogar Sicherheitszertifizierungen wie FIPS 140-2 oder eine Common-Criteria-Zertifizierung auf.

Raritan_KVM_1
KVM-Switches stellen eine komplett von Hardware und Software unabhängige Out-of-Band-Verbindung zur Verfügung und ermöglichen den einheitlichen Zugriff auf Server verschiedener Hersteller.

Hilfreich ist eine Betrachtung der Remote-Management-Anforderungen verschiedener Kundenkreise. ESPs werden typischerweise von IT-Administratoren für die Verwaltung von Hunderten oder Tausenden Servern eingesetzt. Ein ESP ist auf den ersten Blick einfach in Betrieb zu nehmen, da er in den jeweiligen Server integriert ist, allerdings sind für jeden ESP eine separate IP-Adresse und ein LAN-Port für die Netzwerkverbindung nötig. In einem großen Datacenter kann ein LAN-Port eine teure Ressource darstellen, was zu höheren Nutzungskosten als erwartet führen kann. Jeder ESP sollte sein eigenes Kennwort haben, aber laut Dan Farmers Studien wird dies selten umgesetzt, was dazu führt, dass Hunderte oder Tausende Server mit demselben Kennwort verfügbar sind. Dies stellt ein besonders hohes Gefahrenpotenzial dar, denn sobald ein Server kompromittiert ist, sind alle anderen Server ebenfalls in Gefahr. Trotz dieser Sicherheitsrisiken nutzen viele IT-Administratoren heute jedoch die Dienste von ESPs.

In vielen Branchen setzen Anwender dagegen auf KVM-Lösungen, um ihre heterogenen IT-Umgebungen zu betreuen. Viele Nutzer arbeiten dort mit Geräten verschiedener Hersteller und unterschiedlicher Gerätegenerationen. Darüber hinaus benötigen viele Administratoren auch einen Remote-Zugriff auf PCs, Laptops, Workstations oder sogar Tablets, in die in der Regel kein ESP integriert ist. Typische Fälle sind beispielsweise Entwicklungs- und Testlabore. Die Anwender sind hier Ingenieure, Entwickler, Tester und deren Führungskräfte. Diese Anwender nutzen KVM-over-IP-Switches für Test- und Entwicklungsaufgaben und auch für die Zusammenarbeit mit Organisationseinheiten an anderen Standorten. Dies steigert die Produktivität, ermöglicht das Teilen von Laborressourcen über Standorte hinweg und verkürzt so Zeitpläne.

Andere Branchen benötigen den Zugriff auf besonders leistungsbedürftige Anwendungen wie Video-Streaming, digitales Audio, hochauflösende Grafiken und schnelle Reaktionszeiten. Dazu gehören in diesem Fall beispielsweise Rundfunk, Unterhaltungsmedien, Wissenschaft, Regierungen und Verwaltung, Gaming, Industrie und Finanzsektor. Diese Anwender erwarten sehr schnelle Reaktionszeiten, 1920×1080-Video-Auflösung mit 30 bis 60 Frames pro Sekunde, 24-Bit-Farbtiefe, den Einsatz mehrerer Monitore und digitale Audio- und Video-Schnittstellen (DVI, HDMI und Displayport). Solche Eigenschaften können ESPs nicht bieten.

Zudem haben anspruchsvolle Betreiber aus den genannten Bereichen in puncto Sicherheit ganz besondere Anforderungen, die ESPs nicht erfüllen können. Sie legen Wert auf spezielle Sicherheitsmerkmale wie eine Smart-Card-Authentifizierung und auch Sicherheitszertifizierungen.

Fazit: Werkzeug mit Vergangenheit - und Zukunft

Trotz der weitläufigen Verfügbarkeit von ESPs setzen viele Anwender weiter auf KVM-Switches, um ihren besonderen Anforderungen gerecht werden zu können. Dies umfasst spezielle Bereiche wie Test- und Entwicklungslabore, Rundfunk, Unterhaltungsmedien, Wissenschaft, Industrie, Verwaltung und andere sicherheitskritische Nutzer. Diese benötigen KVM-Merkmale wie echte Out-of-Band-Verbindungen für den Zugriff im Notfall, die Unterstützung verschiedener Server-Hersteller in heterogenen IT-Landschaften, hochleistungsfähigen IP-Zugriff für dynamische Anwendungen und ein hohes Maß an Verlässlichkeit, um folgenschwere Sicherheitslücken zu vermeiden.

Ralf Ploenes ist Vice President Sales EMEA bei Raritan ().

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Sacoin

Weitere Artikel zu Mist Systems

Matchmaker+