Besonders bei einem Störfall oder einem Hacker-Angriff sind genaue Informationen über die Abläufe in einem hybriden Netzwerk hilfreich. Das ACI-System von Cisco (Application-Centric Infrastructure) liefert für solche Situationen wertvolle Daten. Es gibt jedoch auch weiterhin Szenarien, in denen die „klassische“ Paketanalyse notwendige Details ergänzen kann. Die Erfassung der Paketdaten ist daher alles andere als obsolet.

Hybride IT-Umgebungen gewinnen an Bedeutung. Daher implementieren viele Unternehmen Cisco ACI (siehe Kasten). In diesem Kontext stellen manche Benutzer aber auch grundsätzlich die Notwendigkeit einer Paketerfassung in Frage. Es gibt allerdings auch weiterhin Anwendungsfälle, wie zum Beispiel die forensische Sicherheitsanalyse (Stichworte DSGVO und WAN Visibility), in denen Paketdaten und paketbasierende Analysen von entscheidender Bedeutung sind. Dies gilt besonders für größere Unternehmen und Rechenzentren.

Nach den Vorschriften der DSGVO müssen Unternehmen innerhalb von 72 Stunden die nationale Aufsichtsbehörde über Verletzungen des Schutzes personenbezogener Daten informieren und in der Lage sein, das Ausmaß der Datenrechtsverletzung zu ermitteln. Im Fall einer Datenrechtsverletzung müssen Unternehmen daher wissen, welche Art und Menge von Daten sowie welche Personen betroffen sind und welchem Risiko diese aufgrund der Sicherheitsverletzung ausgesetzt sind. Dazu sollten sie in der Lage sein, die kompromittierten Daten zu ermitteln und festzustellen, wann, wo und warum es im Netzwerk zu dem relevanten Vorfall gekommen ist und wie der unbefugte Zugriff auf die Daten erfolgte. Unternehmen können so den Ursprung des Angriffs sowie an der Sicherheitsverletzung beteiligte Nutzer identifizieren.

Überwachungskamera für das Netzwerk

Um Sicherheitsverletzungen in vollem Umfang nachzuvollziehen und beheben zu können, benötigen Unternehmen eine historische Paketaufzeichnungslösung sowie die aus den Paketen abgeleiteten Metadaten. Ähnlich einer Überwachungskamera kann eine Observer-Plattform dabei die Aufnahme, Speicherung, Wiedergabe und Analyse des gesamten Netzwerkverkehrs gewährleisten und ein vollständiges Bild davon zeigen, was bei einer Sicherheitsverletzung passiert ist. Mit Hilfe der Datenpakete ist die IT-Abteilung anschließend in der Lage, die Netzwerkkonversationen zu rekonstruieren. Dies ermöglicht nach Bekanntwerden des Angriffs eine umgehende DSGVO-konforme forensische Sicherheitsuntersuchung.

Eine geeignete Paketaufzeichnungslösung zeichnet dabei sich durch mehrere Kriterien aus, etwa eine leichte Einbindung und Handhabung sowie ausreichende Speicherkapazität, die Fähigkeit zur Erfassung von Paketdaten und eine schnelle Fehlerdiagnose. Die Langzeitaufzeichnung von Paketdaten erfolgt am besten mit Hilfe einer hochleistungsfähigen Aufzeichnungshardware, die im Netzwerk installiert ist und den gesamten Netzwerkverkehr nach AES-256 verschlüsselt und speichert. Sie erlaubt es, alle Datenpakete ohne Verluste, Slicing oder sonstige Manipulationen aufzuzeichnen und zu sichern.

Die Überwachungskamera für das Netzwerk: lückenlose Paketaufzeichnung. Bild: Viavi

Dabei ist besonders die lückenlose Dokumentation aller Netzwerkpakete entscheidend: Sämtliche Pakete müssen aufgezeichnet, verschlüsselt und sicher gespeichert werden, um die Netzwerkkonversationen zur forensischen Untersuchung rekonstruieren zu können. Denn fehlende oder verworfene Pakete können zu einer unvollständigen Analyse und Sicherheitsbewertung führen, deren Ergebnisse möglicherweise keine Aussagekraft besitzen. Um ein zukünftiges Wachstum des Netzwerks zu ermöglichen, empfiehlt sich zudem die lückenlose Paket­aufzeichnung von eingehendem Netzwerkverkehr bis 40 GBit/s.

Tetration und Paketdatenerfassung im Vergleich

Die Langzeitaufzeichnung von Paketdaten erfolgt am besten mit Hilfe einer hochleistungsfähigen Aufzeichnungshardware, die im Netzwerk installiert ist und den gesamten Netzwerkverkehr nach AES-256 verschlüsselt. Bild: Viavi

Cisco Tetration spielt die Rolle einer Echtzeit-Analyse, die Leistungstransparenz für alles bietet, was im Rechenzentrum geschieht. Dies erfolgt durch maschinelles Lernen und stellt dem Sicherheitsteam zudem ein „Zero-Trust-Modell“ zur Verfügung. Es erfasst also „Telemetriedaten“ – auch Metadaten genannt – mit Netzwerk-Übertragungsgeschwindigkeit. Die Grenzen der Tetration bestehen allerdings darin, dass die Systeme nicht die tatsächlichen Paketdaten erfassen, sondern Metadaten über diese Pakete erzeugen. Eine vollständige Paketerfassung erfolgt mit Tetration nicht. Dieses Prinzip ähnelt erweiterten Netflow-Metriken für ACI-Umgebungen.

Um alle Vorteile von Tetration zu nutzen, ist technisches Know-how erforderlich und Zeit, um Codes auf Byte-Ebene zu analysieren. Schlussendlich fehlt den Daten jedoch immer die Granularität einer Paketaufzeichnung, durch die sich komplexe Netzwerkproblem so analysieren lassen, wie es etwa durch die Observer-Lösung (Hersteller Viavi) geschehen kann. Mit der Paketaufzeichnung erhalten die Anwender stets die Einsicht in das Netzwerkverhalten und in das Performance-Management von traditionellen Netzwerken bis hin zu ACI- und Hybrid-Umgebungen. Darüber hinaus lassen sich mit der Sight-Ops-Infrastrukturüberwachung nicht nur die Netzwerk- und das Leistungs-Management verwalten, sondern auch die Performance der ACI- und Cloud-Umgebung sicherstellen.

Alternativer Zusatz

Außerdem gilt grundsätzlich, dass Tetration weitgehend auf die ACI-Bereitstellung ausgerichtet ist. Wenn Anwendungen verteilte Netzwerke mit Legacy-, VMware- oder mit einer anderen Herstellerinfrastruktur durchlaufen, ist die Sichtbarkeit eingeschränkt. Darüber gibt es oft die Anforderung nach Einsicht in den Netzwerkverkehr und das Management von High-End-Nexus-Switches, um Kapazitätserweiterungen speziell hinsichtlich kritischer Applikationen rechtzeitig zu planen, was durch Tetration ebenfalls nicht vollständig möglich ist. Der Benutzer erhält durch Tetration also nicht die gleichen Daten wie durch die Paketaufzeichnung. Außerdem ist Tetration kostenintensiver und weist eine größere Komplexität auf. Die Paketdatenerfassung eignet sich zudem für weniger komplexe Systeme und entspricht den Anforderungen der DSGVO.

 

Application-Centric Infrastructure (ACI)

ACI dient dazu, Anwendungen in einer Hybridumgebung effizienter und effektiver zu implementieren und zu verwalten. Es automatisiert die Einrichtung von Applikationen unter Verwendung einer gemeinsamen Richtlinie, Verwaltung und Betriebsumgebung für einzelne IT-Teams. Vereinfacht ausgedrückt ist ACI die proprietäre Software-Defined-Network-Technik (SDN) von Cisco. Für Unternehmen mit beträchtlichen Investitionen in Cisco-Nexus-7000- und -9000-Switches ist die Migration auf ACI sinnvoll. Wie sich das Netzwerk oder die Performance in ACI- und Hyprid-Umgebungen verhält, kann ein Betreiber entweder durch Tetration oder Paketaufzeichnung herausfinden.

David Eser ist Sales Manager bei Softing IT Networks, www.softing.de.