Application-Traffic-Management

Sicheres Zusammenspiel von Servern

10. April 2005, 22:55 Uhr | Michael Frohn/wg Michael Frohn ist General Manager Central Europe bei F5 Networks.

Geräte für das Application-Traffic-Management - das sind teils Layer-4/7-Switches, teils Appliances auf CPU-Basis, teils Hybridsysteme - organisieren das externe und interne Zusammenspiel von Servern. Wohl dem, der dabei den Sicherheitsaspekt nicht unterschätzt. Denn derartiges Equipment schützt das Netzwerk und sorgt dafür, dass Sicherheitslösungen wie Firewalls und Virenschutz dann funktionieren, wenn sie gebraucht werden.

Es ist ratsam, die Strategien für Sicherheits- und Netzwerkmanagement zu koordinieren.
Unterlässt man dies, können die Folgen fatal sein: Denial-of-Service-Angriffe überschwemmen
Systeme, und kritische unternehmenseigene Ressourcen sowie vertrauliche Daten – auch von Dritten –
geraten im schlimmsten Fall zum offenen Buch für Eindringlinge. Die Kosten durch einen Ausfall des
Netzwerks und der Anwendungen sind hoch: Ein Netzwerkausfall kann zum Beispiel Onlineunternehmen
wie Ebay 1000 Dollar in der Sekunde kosten – also 3,6 Millionen Dollar in einer einzigen
Stunde.

Gefahren lauern nicht nur durch Hacker, sondern vor allem auch im Unternehmen selbst. Stichworte
sind dabei der zu lockere Umgang mit Passwörtern und Verschlüsselungseinrichtungen. Die Antworten
des Marktes auf diese Probleme sind überwiegend halbherzig. Im Angebot befindet sich zwar ein
Bündel von Maßnahmen, jedoch häufig ohne Rücksicht auf ein durchgängiges Security-Design. Fast
wahllos werden mitunter neue Features und Funktionen wie Frankensteins Monster "zusammengeschraubt"
– so auch bei der Verwaltung anwendungsspezifischer Verkehrsströme
(Application-Traffic-Management): Hier begannen einige Hersteller mit der Beschleunigung im
Internet und fügten Layer-4- und Layer-7-Funktionen hinzu. Andere starteten mit einfachem Load
Balancing und ergänzten dies um TCP-Optimierung und Kompression. Solch ein Ansatz unterscheidet
sich jedoch nicht vom ursprünglichen Problem der unkoordinierten, punktuellen Lösungen im Netz.
Eine Analyse des Antwortzeitverhaltens von Services bestätigt dies oft. Nicht Patches oder ein
Feature-für-Feature-Ansatz ist die Lösung, sondern ein durchdachter Entwurf, der auf die
Vereinheitlichung der Application-Services abzielt und zugleich das Netzwerk schützt.

Empfehlenswert ist grundsätzlich die Implementierung von hersteller- und Layer-übergreifenden
Security-Architekturen. Diese sollten im Gegensatz zur heutigen Netzwerksicherheit auch die
Anwendungen schützen. Denn optimale Sicherheit ist ein Zusammenspiel vieler Techniken.
Application-Traffic-Management kann dies leisten, sofern das Konzept des Herstellers ganzheitlich
ansetzt.

Schutz auch für Anwendungen

Dieses Vorgehen steigert beispielsweise durch Top-Level-Authentifizierung den Schutz vor nicht
autorisierten Benutzern. Das stellt sicher, dass kein unberechtigter Anwender an der DMZ
(Demilitarized Zone) vorbei kommt und dass auch auf der Anwendungsschicht ein
Authentifizierungsprozess anläuft.

Ein weiteres Sicherheitsverfahren, das Application-Switches und -Managementgeräte beherrschen
sollten, ist das so genannte Cloaking. Es virtualisiert und versteckt alle Anwendungen,
Serverfehlermeldungen und Verweise auf URLs, die Hackern Anhaltspunkte über die Infrastruktur,
Dienste und deren Schwachstellen liefern könnten. Wichtig sind dabei differenzierte
Steuerungsmöglichkeiten, mit denen sich Daten komplett, teilweise oder bedingt verschlüsseln
lassen. Durch das Verschlüsseln von Cookies und anderen Zeichen, die an gültige Benutzer geschickt
werden, gewinnen Unternehmen zusätzliche Sicherheit für alle Stateful Applications für E-Commerce
oder auch CRM (Customer Relationship Management).

Die US-amerikanische Richtlinie für Informationsverarbeitung FIPS (Federal Information
Processing Standard) sollte dabei im Zeitalter der Globalisierung auch hier zu Lande ein Standard
für derlei Geräte werden. Eine FIPS-zertifizierte Lösung bietet zum Beispiel verbesserte Sicherheit
für SSL (Secure Sockets Layer): Sie speichert und verarbeitet sowohl die Schlüssel als auch die
Daten in einem gesicherten Hardwaremodul.


Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Lampertz GmbH & Co. KG

Matchmaker+