Security beim Edge Computing – Teil 2
Neues Bekanntes
Teil 1 dieses Beitrags in LANline 8/2021 reihte Edge Computing in die Liste der Begriffe ein, die beim Marketing-Buzzword-Bingo derzeit hoch im Kurs stehen. Dies soll jedoch nicht darüber hinwegtäuschen, dass es auch viel inhaltliche Substanz gibt. Eine Diskussion der Sicherheitsgrundsätze steht noch aus.
Ein wichtiger Aspekt ist der Einsatz am Netzwerkrand mit im Gegensatz zu vielen Cloud-Anwendungen geringen Latenzwerten. Für diesen Bereich sind – wie in Teil 1 dieses Artikels bereits angedeutet – Hardwareplattformen verfügbar, die ihre Funktionen und Leistung lokal bereitstellen. Kombiniert mit einem Dienst wie Greengrass steht einem Entwickler also eine sehr potente Hardwareplattform kombiniert mit einer umfangreichen Ablaufumgebung und Management-Backend zur Verfügung, die bei Bedarf auch transparent Ressourcen der Cloud nutzt. Dieser beeindruckende, aber dennoch komplexe Stack macht einige Use Cases jedoch überhaupt erst möglich und wirtschaftlich sinnvoll.
Die Argumentation sollte jedoch nicht den Eindruck erwecken, dass Amazon und Nvidia in dem Umfeld die einzigen Player sind. Schaut man sich moderne Autos an, so findet man eine fast identische Architektur vor, nur stammen die Komponenten dort von anderen Anbietern oder sind vom Hersteller selbst entwickelt. Die Spannbreite an Implementierungsmöglichkeiten ist also enorm.
Mobile Edge Computing
Eine dritte Spielart des Edge Computings findet sich im Umfeld der Mobilfunknetze – insbesondere bei 5G. Mobile Edge Computing oder auch Multi-Access Edge Computing ist eine von der ETSI definierte Netzwerkarchitektur, die im Bereich der Mobilfunknetze die Cloud-Computing-artige Ausführung von Funktionen am (Mobilfunk-)Netzwerkrand (etwa der Basisstation) erlaubt.
Während bei früheren Mobilfunkgenrationen wie LTE die Netze sehr statisch waren und Netzwerkfunktionen von dedizierten Hardwareinstanzen übernommen wurden, zeichnet sich 5G durch eine durchgehende Virtualisierung aller beteiligten Komponenten aus. Statische Netzwerkkonfigurationen sind durch die automatische Provisionierung von Netzwerkstrukturen via SDN (Software-Defined Networking) ersetzt. Proprietäre Netzwerkhardware (etwa Firewalls) sind durch VNFs (Virtualized Network Functions) ersetzt. Gerade der letzte Aspekt hat auch für Nicht-Mobilfunkbetreiber eine extreme Relevanz, erlaubt er doch, Netzwerkfunktionen direkt am Sendemast oder deutlich näher am Subscriber zu implementieren. Einige Netzbetreiber bieten sogar bereits Dienste an, bei denen man als Kunde eigene Funktionen mit NFV (Network Function Virtualization) direkt im Core-Netz des Betreibers schaffen kann. Dies ist sicher nichts, was Firmen für wenige unkritische Netzwerkfunktionen aufsetzen oder bezahlen wollen. Wenn man das Konzept der klassischen CDNs jedoch weiterentwickelt (etwa für Video-Streaming-Dienste), könnten lokale Edge Server noch näher an die Subscriber rücken – sozusagen bis in die Basisstation.
Funktionstechnisch sind diese VNF-Instanzen in virtuellen Maschinen abgebildet. Die Plattformen reichen von kommerziell (etwa VMware vCloud VNF) bis hin zu Open Source (etwa OPNFV auf Basis von OpenStack/KVM). Um hohe Durchsätze zu ermöglichen und die Ressourcen zu optimieren, kommen darüber hinaus noch Techniken (zum Beispiel DPDK) zum Einsatz, die das Netzwerkpaket-Handling optimieren oder in geeignete Hardware auslagern. Aber auch von der Verwaltungsseite erfordern SDN und NFV ein Umdenken. Vereinfacht gesagt lautet das Ziel: null manuelle Interaktion. Pfade werden automatisch konfiguriert (SDN) und Instanzen automatisch bei Bedarf an entsprechenden Stellen hoch- und heruntergefahren (NFV). Dies geht sogar so weit, dass einige Router-Hersteller jetzt in der Lage sind, VNF-Instanzen auf Routern selbst zu betreiben. Letztendlich entscheidet also ein Operator (auch wieder eine automatische Funktion) darüber, was wann wo hochzufahren oder zu konfigurieren ist.
Gerade in diesem Umfeld ist es noch wichtiger, sich von der Idee des „Server-Streichelns“ zu verabschieden. Server – oder Dienste – sind nun massenhaft wie Vieh organisiert – und werden nicht wie Haustiere gestreichelt („Pet vs. Cattle“).
Dies gilt auch, wenn die Details zunächst sehr komplex klingen und auf den ersten Blick zu komplex für Enterprise-Netze erscheinen. Letztlich ist das Betriebsmodell von 5G nicht auf Telkos/Carrier limitiert. Vielmehr liefert das Netz-Betriebskonzept von 5G eine Art Blaupause für zukünftige Netzdesigns. So wie das Thema Virtualisierung und Overlay-Netze nach und nach in kleinere Umgebungen diffundiert ist, gehen Experten davon aus, dass das Netzbetriebs- und Architekturkonzept von 5G aufzeigt, wie zukünftige Netze zu designen und zu betreiben sind – unabhängig von der Branche.
- Neues Bekanntes
- Edge Computing Security
Lesen Sie mehr zum Thema
