Digitale Transformation und Cloud Computing haben die Techniklandschaft für Unternehmen nachhaltig verändert. Netzwerksicherheit und -infrastruktur sind nun stärker in den Fokus gerückt. Nutzer verlangen optimierte Betriebszeiten, Sicherheitslücken sind inakzeptabel. Netzwerk-TAPs können dabei eine zentrale Rolle spielen.

In den vergangenen Jahren sind mehr und mehr Unternehmen in die Cloud umgestiegen, ein Trend, der sich wie ein Lauffeuer verbreitet hat. Spitzenreiter ist dabei neben den skandinavischen Ländern Großbritannien. Laut einer Umfrage des Cloud Industry Forums (CIF) hatten bereits im Jahr 2017 etwa 88 Prozent aller britischen Unternehmen diesen Schritt vollzogen. Jedes zweite europäische Unternehmen hält in­zwischen Cloud-Services entscheidend für die digitale Transformation. Auch deutsche Unternehmen verlieren zunehmend die Skepsis. Laut einer Bitkom-Erhebung aus dem Jahr 2018 nutzen zwei Drittel aller deutschen Unternehmen Cloud-Anwendungen.

Die Verlagerung von zentralen Geschäftssystemen und -anwendungen in die Cloud hat viele Vorteile. Jedoch ist dieser Schritt durch entsprechende Sicherheitsmaßnahmen zu begleiten. Wenn Dienste unterbrochen sind oder Sicherheitslücken zu Datenmissbrauch führen, kann dies katastrophale Auswirkungen haben. Insbesondere im Fall hochsensibler Daten bei Regierungsbehörden – beispielsweise bei medizinischen und personenbezogenen Daten. Großangelegte Sicherheitsangriffe wie WannaCry und NotPetya haben Regierungsbehörden und Unternehmen schmerzlich bewusst gemacht, wie wichtig dieses Thema ist und dass es auch mit Imageverlust und Umsatzeinbußen einhergehen kann.

EDGE8-TAP-Module von Corning lassen sich in verschiedenen Konfigurationen betreiben, etwa LC-MTP, LC-BiDi sowie MTP-MTP. Bild: Corning

Software und Hardware

Mit der Cloud kommen neue Hardwareschwachstellen hinzu. Anwendungen sind nun außerhalb des eigenen Rechenzentrums gehostet, was es den Netzwerkadministratoren erschwert, die Netzwerkleistung in Echtzeit nachzuverfolgen und zu analysieren. Durch Systemverzögerungen und Switch-Überlastung kann es zum Absturz von kritischen Anwendungen im Rechenzentrum und im SAN kommen. Daher muss das IT-Team ständig auf der Hut vor potenziellen Sicherheitsbedrohungen sein – wie zum Beispiel bei Denial-of-Service-Angriffen – sowie Engpässe und andere potenzielle Leistungsprobleme möglichst schnell erkennen.

Für eine Absicherung stehen diverse Maßnahmen zur Verfügung, um eine Cloud-Umgebung sicherer zu machen. Ein präventiver Ansatz mit Netzwerkadministra­tion, strukturierter Verkabelung und Netzwerküberwachung bietet nicht nur einen wirksamen Schutz durch effektive Fehler­erkennung und Zugang zu Leistungs- und Nutzungsdaten, sondern führt auch dazu, dass vorgenommene Änderungen tatsächlich nur die gewünschten Ergebnisse produzieren. Darüber hinaus kommen in Netzwerküberwachungssystemen momentan hauptsächlich zwei Techniken zum Einsatz: Switched Port Analyzer (kurz: SPAN), auch als Port-Spiegelung bekannt, und Traffic Access Point (kurz: TAP).

Ein SPAN-Port kopiert den Datenverkehr von einem beliebigen Verkehrs-Port zu einem einzelnen unbenutzten Port. Bei diesem Port verhindert der SPAN-Port bidirektionalen Datenverkehr, damit keine Daten ins Netzwerk zurückfließen. Zudem gehen Datenpakete vom Switch oder vom Router an das Testgerät zur Analyse. Ein passiver TAP ermöglicht die Weiterleitung des Datenverkehrs eines Netzwerks und die gleichzeitige Überwachung der Netzwerkverbindungen ohne Beeinträchtigung oder Unterbrechung des Datenstroms im aktiven Netzwerk. Dazu gelangt der Datenverkehr mit Hilfe passiver optischer Splitter an ein verbundenes Überwachungsgerät.

TAP-Technik sorgt für höhere Betriebszeiten

Die Maximierung der Betriebszeiten steht bei allen Unternehmen an oberster Stelle, um ihre IT-Netzwerke und die zugehörigen Anwendungen möglichst produktiv zu machen. Daher ist es ratsam, eine Lösung zu implementieren, mit der die Netzwerküberwachung ohne Beeinträchtigung der aktiven Anwendungen funktioniert. Anstelle eines kostenintensiven korrektiven Ansatzes nach dem Ereignis sehen die Teilnehmer bei einer optimal implementierten Netzwerküberwachung den gesamten Datenverkehr einschließlich aller Fehler unabhängig von der Paketgröße in Echtzeit. Gegebenenfalls lassen sich damit präventive Maßnahmen schnell und effizient einleiten. Da passive TAPs die Signale nicht replizieren, sondern einfach nur aufsplitten, kann ein Teil des Signals offline oder out-of-band registriert werden, um den ein- oder ausgehenden Datenverkehr zu analysieren, ohne die aktiven Anwendungen zu beeinträchtigen.

Die SPAN-Ports muss ein Netzwerktechniker konfigurieren, was zu Problemen bei der Aufrechterhaltung der Betriebszeit führen kann. Wenn der SPAN-Port während einer Netzwerkaktualisierung nicht deaktiviert ist, ist es andernfalls möglich, dass dieser Port als Netzwerk-Port fungieren kann. Dies führt zu einem sogenannten „Brid­ging-Loop“ und infolgedessen zu ernsthaften Leistungsproblemen.

Neben der passiven Überwachungsfunktion kann sich die Tatsache, dass ein Netzwerktechniker zwingend erforderlich ist, auch erheblich auf die Implementierungskosten auswirken. Bei SPAN ist es für gewöhnlich so: je höher die Datenraten, desto höher die Kosten. Beispielsweise ist ein 10-Gigabit-Switch-Port teurer als ein 1-Gigabit-Switch-Port, während ein TAP-Port bei 1 Gigabit ebenso viel kostet wie ein TAP-Port bei 10 Gigabit oder sogar 40 Gigabit. Aus diesen Gründen wird passives optisches Tapping für höhere Datenraten immer beliebter.

Die steigende Nachfrage nach TAP-Ports wirft auch für Einkaufs- und Sicherheits­teams die Frage auf, wie diese Lösung zu implementieren ist. TAP ist nicht gleich TAP. Die Verantwortlichen in den Unternehmen müssen wissen, welche Optionen ihnen zur Verfügung stehen. Als erstes gilt es, den optimalen Installationsort zu finden. Die Repräsentation eines TAP-Ports als MPO-Stecker (Multi-Fiber Push-on) auf der Rückseite des Moduls bietet eine maximale Flexibilität beim Aufbau eines Netzwerks mit strukturierter Verkabelung. Der Einsatz von MPO-Steckverbindern ermöglicht bei Bedarf die physische Trennung von aktiven Netzwerk-Ports und TAP-Ports in verschiedene Schrankbereiche.

Dadurch müssen die aktiven Überwach-ungsgeräte nicht mehr in verschiedenen Schaltschränken im gesamten Rechenzentrum verteilt sein, sondern lassen sich zentral installieren. Dies führt zu Kosteneinsparungen, weil die Nutzung der aktiven Überwachungsgeräte optimiert und die Risiken von Patching-Fehlern reduziert sind.

Darüber hinaus sind noch weitere Aspekte zu berücksichtigen. Die Integration des TAPs in die strukturierte Verkabelung ist möglich, jedoch nicht zwingend erfor­derlich. Außerdem können entweder FBT-Splitter (Fused Biconical Taper) oder Dünnschicht-Splitter zum Einsatz kommen. Im Allgemeinen stellen integrierte TAPs die bessere Lösungen für diejenigen Betreiber dar, die ihre Netzwerke überwachen wollen. Sie erfüllen nicht nur die gleiche Funktion wie ein normal strukturiertes Verkabelungsnetzwerk, sondern senden auch einen Teil des Lichts an die Überwachungselektronik. Umgekehrt werden nicht integrierte TAPs als eigenständige Komponenten außerhalb der strukturierten Verkabelung bereitgestellt, sodass die Verbindung vorübergehend deaktiviert werden muss, wenn ein Austausch der überwachten Ports ansteht. Bei integrierten TAP-Modulen lassen such überwachte Ports verschieben, hinzufügen und ändern, ohne das aktive Netzwerk zu beeinträchtigen.

Reduzierung der Bitfehlerrate

Ein großer Vorteil von integrierten TAP-Modulen liegt darin, dass sich die Lösung direkt in die strukturierte Verkabelung einbauen lässt. In Verbindung mit der Hochleistungsdünnschicht-Multimode- und Singlemode-Splitter-Technik wird die Über­tragung weniger stark abgeschwächt, was größere Ethernet- und Fibre-Channel-Distanzen ermöglicht.

Während einige aktuelle TAP-Module immer noch FBT-Splitter nutzen, die je nach Installationsort im System zu höheren Bitfehlerraten führen können, ist dies bei Dünnschicht-Splittern nicht der Fall. Diese kann ein Betreiber ohne Auswirkungen auf die Bitfehlerrate an jedem beliebigen Ort im System installieren.

Bei integrierten TAP-Modulen erfolgt das Tapping/Monitoring in alle Verbindungen sofort nach der Implementierung. Optional können auch nur bestimmte Verbindungen überwacht werden. Wenn die Netzwerküberwachungsanforderungen steigen oder sich verändern, kann der Administrator einfach die erforderlichen Kabel zwischen den installierten TAP-Modulen und den entsprechenden Netzwerküberwachungsgeräten hinzufügen. Weil keine Änderungen an der bestehenden Verkabelungs­infrastruktur vorzunehmen sind, gibt es auch keine Unterbrechung des Netzwerks. Da integrierte TAP-Module denselben Platz wie ihre herkömmlichen MPO- oder LC-Pendants einnehmen, ist die Integration einer Überwachung in ein bestehendes Netzwerk einfach: Die Administratoren müssen nur ein herkömmliches Modul gegen ein TAP-Modul austauschen.

Cindy Ryborz ist Marketing Manager Data Center bei Corning Optical Communications. Tony Robinson ist im selben Unternehmen Global Marketing Manager, www.corning.com.