Sichere Breitbandübertragung auf Layer 2
Weitblickarchitektur
Im Zuge der digitalen Transformation nimmt der Bandbreitenbedarf für Datenübertragung kontinuierlich zu. Bei Unternehmen, die ihre Standorte vernetzen wollen, auf Cloud-basierte Anwendungen zurückgreifen oder sie anbieten, steigt der Bedarf schnell in den Bereich von bis zu 100 GBit/s. Hohe Datenraten sind auch bei der Kopplung von Rechenzentren gefordert – zum Beispiel bei einer redundanten Implementierung zur Echtzeitspiegelung von Daten.
Sind in solchen Anwendungsfällen sensible oder gar BSI-eingestufte Daten im Spiel, müssen Unternehmen und Behörden deren Übertragung angemessen verschlüsseln. Das Problem: Kryptosysteme, die sich auch für die Datenübertragung von Verschlusssachen eignen, sind nur bis zu einer Datenrate von 40 GBit/s verfügbar – zumindest galt das noch bis vor Kurzem. Erhöhter Datendurchsatz ließ sich lange Zeit oft nur über parallel eingesetzte Systeme realisieren. Dies wiederum erhöht den Platz- und Energiebedarf im Rack. Die Lösung bieten leistungsfähigere und dennoch für den Geheimhaltungsgrad VS-NfD (Verschlusssache – Nur für den Dienstgebrauch) zugelassene Layer-2-Verschlüsselungslösungen, wie sie seit vergangenem Jahr auf den Markt sind. Sie liefern eine Verschlüsselungsleistung von bis zu 100 GBit/s pro Höheneinheit und machen den anhaltenden digitalen Transformationsprozess höher skalierbar und effizienter.
Für das zuvor beschriebene Anwendungsszenario sind andere Kryptolösungen erforderlich als bei der Anbindung einzelner Endgeräte via VPN, bei denen typischerweise auf Layer 3 über das IPSec-Protokoll verschlüsselt wird. Zur Erinnerung: Die unterste Schicht (L1) des OSI-Modells beschreibt eine Verbindung auf der physischen Ebene (etwa als Bitstrom bei einem WDM-System; WDM: Wavelength Division Multiplexing), die zweite beispielsweise eine Ethernet-Verbindung (L2), die dritte eine IP-Verbindung (L3). Je nach Bedarf der Applikationsumgebungen eignen sich vor allem L2- oder L3-basierte Lösungen für unterschiedliche Einsatzbereiche der verschlüsselten Datenübertragung: Verschlüsselungen auf L3 haben Vorteile hinsichtlich der Flexibilität und der Anzahl von Endstellen, wenn eine hohe Anzahl von Endpunkten mit jeweils kleinem Bandbreitenbedarf und fehlender L2-Anschlussmöglichkeit besteht, zum Beispiel bei VoIP-Endpunkten oder mobilen Zugänge.
L2-Verschlüsseler wiederum arbeiten transparent für die IP-Ebene (Layer 3). Dadurch behalten die Endanwender die volle Kontrolle über die IP-basierte Paketweiterleitung (Routing). Folglich erübrigt es sich, IP-Verbindungen einzeln zu verschlüsseln und Sicherheitsbeziehungen kleinteilig zu betrachten. Außerdem können IT-Teams zusätzliche Routing- oder Forwarding-Techniken implementieren. Dank dieser Voraussetzungen ist es IT-Verantwortlichen möglich, eine sichere Kommunikation mit hohem Datendurchsatz zu gewährleisten.
Für Unternehmen, die Rechenzentren miteinander koppeln oder ihren Hauptstandort mit mehreren Nebenstandorten vernetzen wollen, bieten sich Layer-2-Verbindungen mit entsprechender Verschlüsselung an. Denn bei einer geringen bis mittleren Anzahl von Endpunkten (meist weniger als 100) mit größerer Bandbreite (mehr als 1 GBit/s) sowie weitestgehend symmetrischen Topologien haben Layer-2-basierte Lösungen klare Effizienz- und Kostenvorteile in puncto Datenübertragung.
Der Grund: Sie produzieren in Summe über alle Verbindungen weniger Overhead, also zusätzliche Daten, und können so die verfügbare Bandbreite besonders effizient nutzen. Das allein genügt aber nicht immer: Vor allem Behörden übertragen oft eingestufte Daten und müssen deshalb auf Verschlüsselungslösungen setzen, die das BSI (Bundesamt für Sicherheit in der Informationstechnik) für die entsprechende Geheimhaltungsstufe zugelassen hat. Aus technischen Gründen waren VS-NfD-zugelassene L2-Kryptolösungen lange Zeit auf 40 GBit/s beschränkt. State-of-the-Art-Lösungen hingegen machen mittlerweile auch höhere Datendurchsätze möglich. Am Zugang zum Rechenzentrum lassen sie auch bei Datenraten von 100 GBit/s nur authentifizierte Ethernet-Frames durch, während sie ungültige hardwarebasiert verwerfen. So helfen sie auch dabei, Bandbreiten effizient zu nutzen, was insbesondere im Umfeld hochverfügbarer RZ-Cluster wichtig ist.
Ein weiteres wichtiges Einsatzfeld ist beispielsweise die Verschlüsselung von durch WDM-Verbindungen übertragenen Daten. Gelegentlich setzen Unternehmen dabei auf L1-Kryptolösungen, die jedoch in der Regel nicht für VS-NfD zugelassen sind. Außerdem können Anwender mit ihnen nicht zwischen der Verantwortung für die Datenübertragung und jener für die Datensicherheit trennen. Zudem sind sie auf direkte Punkt-zu-Punkt-Leitungen zwischen ihren Standorten angewiesen, während L2- und L3-Verschlüsselungen beliebige Zwischenstationen (Hops) im Weitverkehrsnetz sowie Mehrpunkt-Verbindungen erlauben.
Aufgrund der ständig steigenden Bandbreitenanforderungen sollten L2-Verschlüsseler idealerweise zusätzlich über verschiedene Leistungsstufen von 10 GBit/s über 40 GBit/s bis zu 100 GBit/s verfügen. Damit können Anwender zu einem späteren Zeitpunkt unkompliziert erhöhte Kryptodurchsätze mit weiteren, kompatiblen Geräten realisieren – und dies sogar ohne Hardwareänderung, sofern die eingesetzten Geräte sich per Lizenz-Upgrade rein softwaremäßig und remote beschleunigen lassen.
Es ist ratsam, schon heute präventiv Verfahren einzusetzen, die zukünftigen Angriffen von leistungsfähigeren Quantencomputern standhalten können. Zwar ist bisher noch kein Computer dieser Art verfügbar, doch das ist nur eine Frage der Zeit. Und manche heute übertragenen Daten sollen auf Dekaden hinaus vertraulich bleiben, bis weit in das Post-Quanten-Zeitalter hinein. Nicht zuletzt deshalb empfiehlt das BSI die Migration zur Post-Quanten-Kryptografie. Hierfür sollten Ethernet-Verschlüsseler beispielsweise in der Lage sein, den asymmetrischen Schlüsselaustausch zwischen zwei Geräten mittels eines verteilten Geheimnisses symmetrisch zu codieren. Außerdem lassen sich bei Kryptografie mit elliptischen Kurven die Kurvenparameter geheim halten, was den Angriffsvektor für potenzielle Quantencomputer-Angriffe verringert. Auf diese Weise sind IT-Organisationen bereits jetzt auf das vorbereitet, was erst noch kommen wird. Der Zukunft einen Schritt voraus zu sein ist schließlich eine essenzielle Leitidee im Umfeld der IT-Sicherheit.
Linda Leffler ist Produkt-Managerin bei Secunet Security Networks.
Lesen Sie mehr zum Thema
