Monitoring von softwaredefinierten Netzwerken
Ohne Intelligenz geht es nicht mehr
Software und Automatisierung gewinnen auch im Netzwerk immer mehr an Bedeutung. Mit SDN versprechen sich Hersteller wie Nutzer, die Komplexität der stetig wachsenden Infrastrukturen deutlich zu verringern und zugleich eine bessere Transparenz, Stabilität und Sicherheit zu gewährleisten. Durch die softwarebasierte Umschichtung der Netzwerkverwaltung weg von den einzelnen Geräten und hin zu einem zentralen Controller entstehen für das Netzwerk-Monitoring neue Möglichkeiten - und Herausforderungen. Befeuert von Trends wie BYOD (Bring Your Own Device), IoT (Internet of Things), die zu einer wachsenden Anzahl an (mobilen) Endgeräten im Netzwerk führen, und der zunehmenden Anbindung von Cloud-Applikationen an die unternehmenseigenen Netzwerke stoßen von Hand gemanagte Infrastrukturen zunehmend an ihre Grenzen. Schließlich müssen die Netzwerkadministratoren neben der Verwaltung auch eine vollumfängliche Kontrolle, Performance und Sicherheit des Netzwerks gewährleisten können.
SDN (Software-Defined Networking) verspricht, mithilfe von Software und Automatisierung diese Komplexität zu verringern. Während in traditionellen Netzwerken die Daten- und Kontrollschicht in den jeweiligen Netzwerkgeräten implementiert ist, trennt man bei SDN beide Schichten voneinander. Auf diese Weise übernimmt ein - von den Geräten unabhängiger - zentraler Controller das Netzwerk-Management. So ist es möglich, eine flexible Netzwerkvirtualisierung umzusetzen und die darunterliegende (physische) Infrastruktur besser auszulasten. Unter Zunahme von Applikationen, die die Netzwerkfunktionalität vorgeben, ist der Controller in der Lage, Vorgaben für die Netzgeräte zu liefern, wie sie eingehenden Datenverkehr verarbeiten sollen. "Die Entkoppelung der Kontrollebene von der Hardware ermöglicht Einsatzszenarien, die traditionelle Netzwerke nie liefern können", sagt Bill Erdman, Director Product Management bei Big Switch Networks. "Mit einer zentralen Kontrollebene ist es möglich, die komplette Netzwerk-Fabric zu programmieren und über einen einzigen Kontrollpunkt neue Entwicklungen voranzutreiben und neue Funktionen zu implementieren."
Die Abwanderung der Funktionalität von der Hardware- zur Softwareebene treibt jedoch nicht nur Innovation voran, sondern bietet dem Anbieter zudem Übersicht und Kontrolle über die gesamte Infrastruktur des Netzwerks - sowohl über die physischen als auch über die virtuellen Komponenten. Im Zusammenspiel mit einem zentralen Management erlaubt SDN eine holistische Übersicht des Netzwerks vom Endgerät bis zur Applikation sowie vom Rechenzentrum bis zum mobilen Netzwerkzugriff, erklärt Olaf Hagemann, Director of Systems Engineering DACH bei Extreme Networks. "Zusätzliche Analysefunktionen erweitern die Einblicke in das Netzwerk und helfen dabei, Probleme schnell zu ermitteln und zu beheben oder im Idealfall bereits im Vorfeld auszuschließen."
Damit unterscheiden sich SDN-Umgebungen erheblich von traditionellen Infrastrukturen. "Das klassische Netzwerk-Management zeigt Probleme an, nicht die Ursachen", erläutert Falko Binder, Head of Enterprise Networking Architecture Germany bei Cisco. Der Netzwerkausrüster verfolgt mit seiner Strategie den Ansatz, "eine intuitive Netzwerkverwaltung zu ermöglichen", so Binder. Mit dem sogenannten Intent-Based-Networking (IBN) arbeitet Cisco daran, dass das Netzwerk auch dann noch ohne Probleme funktioniert, wenn der zentrale Controller und all seine Redundanzen nicht verfügbar sein sollten.
Mehr Analysefunktionen
Das zentralisierte Management bei SDN wirkt sich jedoch auch auf das Monitoring des Netzwerks aus. Während im klassischen Netzwerk-Monitoring der Administrator mit seinen Tools lediglich das physische Netzwerk überwachen musste, gilt es in einer SDN-Umgebung, auch die virtuellen Komponenten sowie den Datenverkehr des Controllers zu überwachen, um mögliche Bedrohungen möglichst auszugrenzen. Mit traditionellen Monitoring-Tools ist dies nur bedingt möglich, nämlich nur sofern sich die SDN- und virtuellen Komponenten dort integrieren lassen. Während traditionelle Monitoring-Lösungen ihre wichtigen Daten auf jeden Knoten verteilen, die über limitierte Speicherkapazitäten und nur beschränkt über Verarbeitungsmöglichkeiten zur Analyse verfügen, hat eine SDN-Monitoring-Lösung Zugriff auf die zentralen Monitoring-Daten, so Bill Erdman von Big Switch Networks. Über API ist es zudem möglich, die benötigten Daten von einer zentralen Stelle zu extrahieren. "Mit SDN streamt der Switch die Telemetriedaten in Echtzeit zu einem zentralen Controller. Sofern dieser Controller ein x86-Server und zudem datenbankgetrieben ist, ist er in der Lage, die Daten einfach zu bearbeiten, zu speichern und zu analysieren", erklärt Erdman.
So groß die Vorteile von SDN bezüglich Automatisierung, Analyse, Fehlerbehebung und eines zentralen Managements auch sein mögen, die Gefahr, Ziel eines erfolgreichen Angriffs von außen zu werden, besteht dennoch. Weiterhin sind beispielsweise schlecht oder nur unzureichend konfigurierte Geräte ein Risiko. Zwar betrifft das Problem auch klassische Infrastrukturen, jedoch benötigt eine SDN-Umgebung eine möglichst korrekt konfigurierte Architektur, um überhaupt die Flexibilität einer softwarebasierten Infrastruktur voll ausnutzen zu können. Auch die aus klassischen Netzwerken bekannten Angriffe auf der Datenebene finden sich in SDN-Umgebungen wieder.
Der Worst Case bei SDN ist jedoch die Kompromittierung des zentralen Controllers. Ein Angreifer mit Zugriff auf die zentrale Instanz einer SDN-Umgebung hat schließlich die komplette Kontrolle über das gesamte Netzwerk und kann dieses somit beliebig manipulieren. Erschwerend kommt hinzu, dass sich ein solcher Angriff ohne externe Maßnahmen, also ohne Überwachung des Controllers, häufig nur schwer identifizieren lässt. Mögliches Einfallstor für Angreifer kann beispielsweise eine Sicherheitslücke in der Controller-Software sein. Auch kann es passieren, dass jemand versucht, einen zweiten, manipulierten Controller in das Netz einzuschleusen. Diese Angriffsart ist denkbar, da es SDN ermöglicht, mehrere (verteilte) Controller-Instanzen zu betreiben, etwa um eine Redundanz zu schaffen.
SDN-Controller nach außen absichern
Um ein solches Horrorszenario zu vermeiden, muss der Controller möglichst sicher und nahezu abgeschirmt von der Außenwelt sein. Big Switch Networks setzt dabei beispielsweise auf Verschlüsselung. So verschlüsselt der Hersteller die Kommunikation zwischen den Switches und dem Controller sowie vom Controller zu anderen Orchestrierungssystemen via SSL/TLS. Zudem hat der SDN-Anbieter sein Betriebssystem Switch Light OS, das auf den Switches läuft, nach eigenen Angaben so gehärtet, dass nur der authentifizierte Administrator eines autorisierten Controllers eine Berechtigung erhält. Versucht jemand, einen Switch zu hacken, wird eine Log-Meldung generiert, die der Controller aufnimmt und einen Alarm auslöst.
"Dank der Visibilität über das gesamte Netzwerk ist die Erkennung und das Bekämpfen eines Angriffs im SDN jedoch deutlich einfacher", resümiert Ciscos Falko Binder. Zudem führe die einfachere Segmentierung des Netzwerks, die SDN ermöglicht, zu einer Verringerung der Angriffsfläche. Durch die Kombination mit einer sicheren und einheitlichen Zugriffsrichtlinie ist es nach Meinung des Cisco-Mannes somit einfacher, Gefahren schneller und einfacher in einer SDN-Umgebung zu minimieren, als dies bei einem traditionellen Netzwerk der Fall ist.
Verschiedene Lösungen einbinden
Extreme Networks? Olaf Hagemann rät Unternehmen, beim Aufsetzen eines übergreifenden SDN-Monitorings und -Managements dazu, auf einen Lösungsanbieter zu setzen, der nicht proprietär aufgestellt ist: "Die Lösung für Management, Analyse und Steuerung sollte offen gestaltet sein, sodass sich auch Lösungen von Drittanbietern einbinden lassen." Ansonsten sei eine holistische Übersicht über alle Netzwerkkomponenten und Bereiche nicht möglich. Dies erschwere wiederum die Gewährleistung von Stabilität und Sicherheit deutlich, so Hagemann weiter.
Um einen möglichst guten Schutz einer SDN-Umgebung zu garantieren, empfiehlt Big Switch Netzworks ein Datenschicht-Netzwerk mit einem zentralisieren Controller sowie ein "Out of Band"-Monitoring-Netzwerk zur Erkennung und Schadensminderung auf der Datenebene - ebenfalls über eine zentralisierte Kontrolleinheit, die zudem mit einer Analyseintelligenz ausgestattet sein sollte. Auf diese Weise können Administratoren einerseits von einer verbesserten Betriebseffizienz sowie von einer Echtzeit-Intelligenz und Analyse von einem zentralen Punkt im Netzwerk heraus profitieren, so der Hersteller weiter. Andererseits umfasse dieser Ansatz neben einem hard- und softwarebasierten Ökosystem aus offenen Switches auch die Integration mit bekannten Orchestratoren wie etwa OpenFlow, Kubernetes, VMware SDDC, Nutanix AHV etc.
Für die Zukunft ist davon auszugehen, dass sich die Automatisierung durch SDN weiter entwickeln wird. Falko Binder rechnet beispielsweise damit, dass das Thema Machine Learning (ML) zunehmend Einzug halten wird, "damit das Netzwerk aktiv lernen und auch teilweise automatisch reagieren kann." Mit dem Intent-Based-Networking-Ansatz arbeitet der Netzwerkriese bereits in diese Richtung. Auch Bill Erdman rechnet damit, dass die IBN-Technik immer wichtiger wird: "In der nächsten Phase wird es eine tiefere Integration und Analyse der Echtzeit-Telemetriedaten mit Hilfe von ML als Treiber für eine zunehmend automatische (Fehler-)Behebung geben."
Lesen Sie mehr zum Thema
