Anbieter uneins über Integrationstiefe
Wieviel Security auf Application Switches?
Ein Application Switch identifiziert und prüft den Datenverkehr im Netz auf den OSI-Schichten 4 und 7, erkennt also neben dem Port auch die Anwendungsart. So kann er auf Verfügbarkeitsprobleme und Performance-Engpässe ebenso reagieren wie auf diverse Angriffsmuster. Manche Hersteller propagieren deshalb integrierte Plattformen für Application und Security Switching. Doch nicht alle Anbieter halten diese Zusammenführung für den besten Weg.
Application Switches bieten Funktionen wie Application Health Checks, Load Balancing, Traffic-
und Bandbreitenmanagement. "Die Geräte verteilen Anwendungsströme gleichmäßig im Netz und
verarbeiten Ströme exakt nach ihren Flussanforderungen", so Reinhard Zulauf, Head of Product
Management Data Solutions bei Avaya-Tenovis. Dies mache LANs stabiler und performanter. Ein
Application Switch gibt zum Beispiel via Priorisierung Datenbankzugriffen Vorrang gegenüber weniger
zeitkritischem Webverkehr. Dazu nutzt Avaya-Tenovis Juniper-Geräte.
Applikationsorientierte Netze
Cisco hat vor dem Hintergrund steigender Flussanforderungen sein Application Oriented Network
(AON) zur "Advanced Technology" erklärt. Das bedeutet, der Netzwerkprimus will innerhalb der
nächsten fünf bis sieben Jahre mit AON-Equipment mehr als eine Milliarde Dollar Jahresumsatz
generieren. Die Botschaft des Herstellers: Application Switching auf Basis von Catalyst-6500- oder
2800er-/3800er-Switches verbessert die Bereitstellung, Verfügbarkeit und Performance von
Geschäftsanwendungen bei sinkenden Betriebskosten und erhöhter IT-Flexibilität.
Den Trend zu Webservices und SOA (serviceorientierter Architektur) aufnehmend, hat Cisco
Netzwerkkomponenten mit anwendungsbezogener Intelligenz ausgestattet und damit die Service-Oriented
Network Architecture (SONA, siehe den Beitrag "Webservices sind auch Netzwerksache", Seite 6)
geschaffen. Einsatzgebiete sind laut Ernst Engelmann, Business Development Manager IP
Communications bei Cisco, das Data-Center, Applikationsserver-Pools sowie der WAN-Zugangsbereich
bis hin zu den Niederlassungen. Das Konzept soll Unternehmen dabei unterstützen, ihre Server
wirtschaftlich zu konsolidieren und nach Maß Applikationsdienste bereitzustellen.
Bei der Applikationsflusssteuerung befindet sich Cisco in Konkurrenz zu Spezialisten wie F5.
Deren Application-Switch-Familie Big-IP verfügt mit TMOS (Traffic Management Operating System) über
eine modulare, erweiterbare Architektur zur Echtzeitoptimierung und gleichzeitigen Absicherung von
Anwendungssitzungen und Netzwerkverkehr. Über die "Icontrol" genannte Scripting-Schnittstelle
können Administratoren die Verkehrsflüsse granular manipulieren. Zum Anbieterumfeld gehören neben
F5, Cisco, Juniper, Citrix und Radware auch WAN-Spezialisten wie Expand und Riverbed (siehe "Und
ewig lockt das World-Wide LAN", Seite 80) sowie Switch-Hersteller wie Foundry.
Bei Foundry sieht man – wie generell auch bei den anderen Herstellern – angesichts von Trends
wie Webanwendungen, Webservices und konvergenten Netzen den Bedarf an
Application-Switching-Lösungen in den Unternehmen wachsen. "Unser Betriebssystem Trafficworks 9.4
bindet parallel SIP-Ströme (Session Initiation Protocol) ins Echtzeitverkehrsmanagement ein", so
Stefan Schweizer, Account Manager Application Switching bei Foundry. Dies komme nicht nur einer
IP-Telefonie in hoher Verfügbarkeit und Ausgabequalität zugute. Auch Messaging-Dienste und
Telefon-/Video-Conferencing bis hin zu Online-Collaboration – also online gemeinsam genutzte
Applikationen und Dokumente – könnten von der SIP-Unterstützung profitieren. "Zudem sind die
Service-Provider angesichts dieses Trends verstärkt auf intelligente Application Switches mit
integrierten Funktionen wie Failover/Fall-back, Lastverteilung und SIP-Unterstützung angewiesen",
betont Schweizer. Neben der Verkehrsflusskontrolle können Application Switches auch einen Beitrag
zur anwendungsbezogenen Netzwerksicherheit leisten. Hier bestehen aber gewisse Überschneidungen mit
den Aufgaben dezidierter Sicherheitslösungen. "Firewalls und teilweise auch die IDS-/IPS-Systeme
prüfen ohnehin auf Anwendungsebene den Inhalt (Content) und können so gefährlichen Code erkennen
und abblocken", so Klaus Lenssen, Business Development Manager Security bei Cisco.
Abwehr inklusive
Ein AON verstehe zudem aber die Syntax und Semantik von Business-Objekten. Es könne so auf der
Ebene der Geschäftsprozesse für zusätzliche Sicherheit sorgen. AON ergänzt damit Ciscos
Sicherheitsarchitektur NAC (Network Admission Control). Erweiterungsmodule für Switches und Router
übernehmen die Aufgaben eines Antivirus-Scanners, IDS/IPS und einer Application Level Firewall.
Generell lassen sich, so Lenssen, auch Denial-of-Service- (DoS-) und SYN-Flood-Angriffe über
Erweiterungsmodule wie DDoS-Guard abwehren, ohne Geschäftsabläufe zu bremsen.
F5 führt für Sicherheitsbelange sein Big-IP-Modul Trafficshield ins Feld, das eine Web
Application Firewall beinhaltet. Die Abschottung anderer, klassischer IP-Anwendungen wie E-Mail
oder Messaging übernimmt eine integrierte Software des Firewall-Spezialisten Borderware.
Trafficshield dient dazu, die Netzwerksicherheit herkömmlicher Firewalls ohne Application Proxies
bis auf Anwendungsebene zu erweitern. Michael Frohn, General Manager bei F5, verspricht dadurch
einen wirkungsvollen Schutz der Unternehmensdaten und -anwendungen vor Hackern und bösartigem Code,
einschließlich einer präventiven Abwehr von Buffer-Overflows, Day-Zero-Attacken, SQL-Injection und
Cross-Site-Scripting.
Traffic Shield überprüft mittels eines integrierten Application-Flow-Modells alle Transaktionen
bezüglich Anwendersitzung, Eingaben des Benutzers und zurückgegebener Inhalte und lässt nur gültige
Transaktionen zu. "Diese eingehende Prüfung funktioniert in beiden Richtungen für den kompletten
Anwendungsverkehr", so Frohn. Für die Zugangskontrolle setze Traffic Shield auf eine Positivliste: "
Nur was hier steht, wird den Teilnehmern erlaubt, alles andere geblockt und bei Bedarf zur
Untersuchung in Quarantäne gestellt." Eine "Content-Scrub"-Funktion sorgt für zusätzliche
Sicherheit, indem sie bei der Beantwortung von HTTP-Requests kritische Informationen zum Beispiel
über Softwareversionen herausnimmt.
Cisco setzt innerhalb seiner SONA-Architektur auf ein ähnliches Ausschlussverfahren, allerdings
auf der Basis von Security Agents. Diese kommen auf Desktops und bei Bedarf auf Servern und
IP-Telefonie-Equipment zum Einsatz. "Nur was hier als zulässig hinterlegt ist, wird ausgeführt", so
Lenssen. "Alles andere, beispielsweise unzulässige Zugriffe oder das unberechtigte Laden bestimmter
Programme oder Updates, wird gesperrt."
Foundry wartet in puncto Sicherheit mit der so genannten Total Content Inspection Engine auf. "
Sie erschließt den Unternehmen vielseitige und tief gehende Analysemöglichkeiten einschließlich
wichtiger Sicherheitsfunktionen für web- und nicht webbasierte IP-Applikationen", meint Schweizer
von Foundry. Die Wirkungsbreite der Filterregeln reiche von der Prüfung der "Persistence"
(Dauerhaftigkeit) von Applikationen über Virus- und Wurmschutz sowie das Blocken von Spam-Attacken
bis hin zu Prüfintelligenz auf Applikationsebene und der Abwehr von DoS-Angriffen. Für Unternehmen,
die solche Sicherheitsfunktionen lieber auf separater Hardware sehen, bietet der Hersteller die
Lösung Secure Iron ohne Application-Switching-Funktionalität als UTM-Gerät (Unified Threat
Management) an.
Sicherheitsplus mit Einschränkungen
Doch bei Avaya-Tenovis gibt es auch kritische Stimmen, die davor warnen, Application Switches
mit zu vielen Sicherheitsaufgaben zu überladen: "Wichtig ist vor allem ein SSL-VPN mit extrem
schnellem Sitzungsauf- und -abbau, auch mit Blick auf verzögerungsempfindliche VoIP-Anwendungen",
so Alexander Waska, Produktmanager Data Solutions bei Avaya-Tenovis. Aufgaben wie Application
Firewalling, IDS/IPS und Antivirus-Scan sieht Waska dagegen auf dedizierten Systemen mit spezifisch
angepasster und abgesicherter Hardware, eventuell auch auf einer UTM-Appliance besser aufgehoben: "
Sicherheit ist Spezialistensache und sollte mit Blick auf ihre kritische Rolle für das
Unternehmensgeschäft nicht mit der Flusskontrolle und -optimierung verwoben sein", so sein Credo.
Andernfalls könnte der Ausfall eines Application Switches gleich beide Säulen des Netzwerks –
Sicherheit und Flussoptimierung – in Mitleidenschaft ziehen. Daneben appelliert er an die
Entscheider, bei solchen kombinierten Lösungen nicht die "eingebaute" Herstellerbindung zu
übersehen. Sie erstrecke sich in diesem Fall ebenfalls auf beide Funktionsbereiche. Zudem macht der
Produktmanager auf den noch zu komplexen Betrieb aufmerksam, wenn sämtliche Funktionen in einer
Application-Switching-Architektur angeordnet sind.
Markus Rubenschuh, Senior Manager IT-Security bei Ernst & Young, bestätigt: "Schon
reinrassige Application Switches ohne integrierte Sicherheits-Features erweisen sich im Betrieb oft
als sehr komplex." Die Folge bleibe nicht aus: "Unternehmen nutzen Application Switches im
Wesentlichen zur Hochverfügbarkeitsauslegung von Servern und als Load Balancer, aber weniger als
Traffic- und Bandbreiten-Manager." Er fordert gerade von den Herstellern, die ihren Application
Switches Sicherheitsaufgaben übertragen, "mehr für eine einfachere Bedienung und Administration
ihrer Systeme zu tun".
Zudem vernachlässigen es laut Rubenschuh einige Hersteller, bei der Kundenansprache zu erklären,
mit welchem Aufwand die Analyse der Geschäftsprozesse und der darin transportierten Inhalte für das
volle Ausschöpfen des Switch-Potenzials verbunden ist, und dass mit der Einführung von Application
Switching gegebenenfalls Geschäftsabläufe zu ändern sind. Diese detaillierte Vorarbeit sei aber
notwendig, um Verkehrs- und Sicherheitsregeln für eine kontrollierte Verarbeitung und Absicherung
des Contents in den Application Switches überhaupt hinterlegen zu können.
Von der Gründlichkeit dieser Analyse, so Rubenschuh weiter, hänge wiederum die Effizienz der
Gesamtlösung und damit ihr ren-tabler sowie sicherer Einsatz ab. Mit Blick auf Application Switches
an den WAN-Zugängen weist der Berater darauf hin, dass hier auch die Service-Provider mit
entsprechenden SLAs (Service Level Agreements, Dienstgütezusagen) aufwarten müssen, damit
Anwendungsflüsse per Application-Switching durchgängig optimierbar sind.
Lesen Sie mehr zum Thema
