Künstliche Intelligenz im Netzwerk – wo geht die Entwicklung in den nächsten Jahren hin?
von Dr. Johannes Dams
Immer mal wieder ist künstliche Intelligenz (KI) als Thema in aller Munde. Dies gilt natürlich ebenso für die Netzwerkhersteller. Tatsächlich haben auch wir bei ComConsult in der Vergangenheit KI in Vorträgen und Artikeln regelmäßig beschrieben [1]. Zuletzt haben meine Kollegen Nils Wantia und Mohammed Zoghian das Thema in einem Blog-Beitrag mit dem Titel „KI-Esoterik“ [2] bzw. einem Beitrag mit dem Inhalt „KI für die Digitale Transformation“ [3] behandelt.
IPv6 für Homeoffice und Internet-VPN
von Martin Egerter
Viele Unternehmen und Behörden haben ihren Mitarbeitern im Rahmen der Pandemie das Arbeiten im Homeoffice ermöglicht und gleichzeitig auch den Ausbau der VPN-Infrastruktur vorangetrieben, um einen sicheren Zugang zum internen Netzwerk zu ermöglichen.
Auch wenn VPN, z. B. auf Basis von IPSec, eine längst etablierte und stabile Grundlage dafür ist, hat sich in der Praxis gezeigt, dass es insbesondere mit dem Protokoll IPv6 zu Problemen kommen kann.
Dieser Artikel greift diese Problematik auf, stellt die technischen Hintergründe dafür dar und zeigt anhand eines Beispiels mögliche Lösungsansätze auf.
Ist Zero Trust nur ein vergänglicher Modebegriff?
von Dr. Behrooz Moayeri
In den letzten Jahren sprechen Anbieter von Netz- und Sicherheitslösungen immer wieder von Zero Trust und davon, mit ihren Produkten eine Zero-Trust-Architektur zu ermöglichen. Doch nicht nur von Herstellern, sondern auch vom US-amerikanischen National Institute for Standard and Technology (NIST) hören wir einiges über Zero Trust (ZT) bzw. eine ZT-Architektur. Vom NIST gibt es seit August 2020 eine fast 60-seitige Veröffentlichung unter dem Titel Zero Trust Architecture.
Herausforderungen bei der Netzzugangskontrolle
von Dr. Joachim Wetzlar
Zonenkonzepte, Netzzugangskontrolle (NAC) und Zero Trust sind inzwischen der Standard in vielen Netzen. Auf die Konzepte möchte ich an dieser Stelle jedoch nicht eingehen. Das können meine Kollegen viel besser, z. B. im Rahmen unserer Seminare [1] und [2]. Allerdings betreue ich derzeit Kunden bei der Umsetzung solcher Konzepte. Meine Aufgabe besteht dabei regelmäßig in der Begleitung der Umstellungsaktivitäten und dem damit verbundenen Troubleshooting.
Betriebsunterstützung eines kommunalen IT-Dienstleisters
mit Felix Gilleßen sprach Christiane Zweipfennig
Auch wenn Deutschland beim Thema Digitalisierung und Vernetzung im öffentlichen Sektor im weltweiten Vergleich an mancher Stelle deutlich hinterherhinkt, ist das Thema spätestens seit der Corona-Pandemie in den Kommunen angekommen. Die Verwaltungen stehen vor großen strukturellen Herausforderungen, wenn sie die Aufgaben der Zukunft meistern wollen. Um die wachsenden Aufgaben der Digitalisierung zu übernehmen, benötigen diese häufig leistungsstarke Partner für Umsetzung und Betrieb.
Ist Zero Trust nur ein vergänglicher Modebegriff?
In den letzten Jahren sprechen Anbieter von Netz- und Sicherheitslösungen immer wieder von Zero Trust und davon, mit ihren Produkten eine Zero-Trust-Architektur zu ermöglichen. Doch nicht nur von Herstellern, sondern auch vom US-amerikanischen National Institute for Standard and Technology (NIST) hören wir einiges über Zero Trust (ZT) bzw. eine ZT-Architektur. Vom NIST gibt es seit August 2020 eine fast 60-seitige Veröffentlichung unter dem Titel Zero Trust Architecture.
Ist Zero Trust nur ein vergänglicher Modebegriff oder steckt mehr dahinter? Was bedeutet ZT für die IT-Betreiber einer Organisation? Mit diesen Fragen wollen wir uns etwas näher befassen.
Antwort auf Wandel in der IT
Unbestritten hat es in den letzten Jahren einen Wandel in der IT gegeben, der vor allem auf zwei Faktoren zurückzuführen ist:
- Im Zuge der vermehrten Cloud-Nutzung werden zentrale IT-Ressourcen (Server, Storage) in Umgebungen genutzt, die nicht mehr „privat“ in dem Sinne sind, dass sie von einer bestimmten Organisation betrieben und kontrolliert werden. Diese Ressourcen befinden sich in externen Clouds, in einer fremden Umgebung.
- Mit dem Ausbruch der weltweiten Pandemie nahm die Tele-Arbeit noch nie gekannte Ausmaße an. Auch nach der Pandemie bleibt es für viele Beschäftigte hauptsächlich bei Tele-Arbeit. Dies bedeutet, dass die von den Menschen genutzten Endgeräte in einer Netzumgebung betrieben werden, die nur bedingt vom Arbeitgeber kontrolliert werden kann. Vielmehr handelt es sich um direkte Internet-Verlängerungen in die Wohnungen der Beschäftigten.
ZT wird vor allem als Antwort auf die beiden oben genannten Entwicklungen verstanden, die dazu geführt haben, dass einerseits die zentralen IT-Ressourcen und andererseits die Endgeräte den Schutzbereich privater Unternehmensnetze verlassen haben. Sie sind nicht mehr an Netze angeschlossen, die dank Perimeter Security per se als vertrauenswürdig gelten.
Der dritte noch zu berücksichtigende Trend ist Bring Your Own Device (BYOD). Bei BYOD verhält es sich umgekehrt: Endgeräte sind an ein internes Netz anzuschließen, die vom Eigner des privaten Netzes nicht kontrolliert werden können. ZT gilt auch als Antwort hierauf. Ich habe BYOD nicht so hervorgehoben wie Cloud und Tele-Arbeit, denn BYOD ist nicht so weit verbreitet wie die beiden oben genannten Entwicklungen.
Was ist der Kern von Zero Trust?
Im Kern bedeutet ZT die Verlagerung von Schutzmechanismen weg von statischen, netzbasierenden Perimetern zu einzelnen Endgeräten und Ressourcen, die aufgrund der oben genannten Trends nicht mehr der Netzumgebung vertrauen können, an die sie angeschlossen sind.
Die Folge des Wegfalls der vertrauten Netzumgebung besteht darin, dass sämtliche Kommunikationsbeziehungen über die nicht mehr vertrauenswürdigen Netze abgesichert werden müssen. Die Hauptwerkzeuge dafür sind Authentisierung und Autorisierung. Technisch bedeutet dies, dass sämtliche Kommunikation im Rahmen sogenannter Sessions erfolgt, die nur nach Authentisierung und Autorisierung aufgebaut werden dürfen. Mittels Authentisierung wird die Identität des Kommunikationspartners mit kryptografischer Sicherheit verifiziert. Mit Autorisierung werden dem Kommunikationspartner für die Session nur die Berechtigungen zugewiesen, die erforderlich und erlaubt sind.
ZT ist kein einzelnes, fertiges Konzept
ZT ist ein Satz von Konzepten und Ideen für die Anpassung an die nicht mehr vertrauenswürdige Netzumgebung. Es gibt kein einzelnes, fertiges ZT-Konzept, das zum Beispiel durch Beschaffung bestimmter Komponenten und Einsatz von bestimmten Software-Lösungen realisiert werden könnte.
Viele der in Zusammenhang mit ZT diskutierten Ideen und Konzepte sind nicht neu, sondern in einigen Umgebungen seit vielen Jahren bereits in Nutzung. Ein Beispiel: Eine ZT-Idee besteht darin, auf nicht vertrauenswürdigen Endgeräten eine zentral kontrollierte und abgesicherte Applikation auszuführen, zum Beispiel einen virtuellen Desktop. Diesem virtuellen Desktop werden nur die abgesicherten Zugriffe gewährt, die erforderlich sind, nachdem eine sichere Authentisierung, beispielsweise mittels Multi-Factor Authentication (MFA), erfolgt ist.
ZT als Reise
ZT ist als Reise und Trend zu verstehen. Im Zuge dieses Trends werden immer mehr Abläufe und IT-Anwendungen gemäß dem ZT-Modell gestaltet. Für die meisten Unternehmen gibt es keinen abrupten Abschied von der klassischen Unterscheidung zwischen internem, vertrauenswürdigem Netz und den externen, unsicheren Netzen. Dieses klassische Modell wird es noch lange Jahre geben, wenn nicht sogar dauerhaft. Wenn Authentisierung und Autorisierung die Kernmechanismen für ZT sind und ZT den Abschied von Schutzmechanismen für ganze Netzbereiche bedeutet, gibt es Szenarien, in denen ZT kaum möglich ist. Eine sichere Authentisierung wird häufig mittels MFA implementiert. MFA ist auf menschliche Interaktion ausgelegt, zum Beispiel indem der Mensch auf einem Endgerät eine Aktion durchführen muss, von der die Authentisierung des Zugriffs von einem anderen Endgerät aus abhängig ist. Dies ist bei Fehlen des Faktors Mensch nicht mehr möglich. Beispiel: In einer Produktionshalle wird es dabei bleiben, dass das gegenseitige Vertrauen zwischen den Maschinen zumindest teilweise auf deren Zugehörigkeit zu einem als abgeschlossen Netz mit kontrollierbaren Grenzen beruht.
In einer industriellen Umgebung sind die beiden Hauptmotivationen für eine ZT-Architektur, nämlich Cloud Computing und Tele-Arbeit, auch nicht so relevant wie in einer Büroumgebung.
Was ist bei ZT neu?
Wie erwähnt sind viele ZT-Ansätze gar nicht neu. Ist also ZT nichts als alter Wein in neuen Schläuchen? Die Frage ist zu verneinen, denn in Zusammenhang mit ZT werden auch neue Ansätze genannt. Eine wichtige Eigenschaft einer ZT-Architektur ist die kontinuierliche statt einer einmaligen, statischen Risikobewertung. Beispiel: Der Zugriff auf zentrale IT-Ressourcen ist jetzt schon zu einem Großteil ein Fernzugriff. Fernzugriff kann mit derselben Identität von verschiedenen Lokationen aus erfolgen. Kontinuierliche Risikobewertung bedeutet zum Beispiel, Entscheidungen bezüglich Authentisierung und Autorisierung nicht binär in Abhängigkeit von einer einmal festgestellten Identität zu treffen, sondern weitere Faktoren zu berücksichtigen. Die Kreditkartenfirmen praktizieren schon seit über einem Jahrzehnt eine dynamische Risikobewertung, anfangs mit menschlicher und nun mit algorithmischer Unterstützung. Beispiel: Wenn ein deutscher Kunde erstmalig außerhalb Deutschlands seine Kreditkarte nutzt, können zusätzliche Maßnahmen zur Authentisierung greifen und die maximal buchbaren Summen reduziert werden. In der unternehmensinternen IT sind solche umgebungs- und verhaltensabhängige Authentisierungs- und Autorisierungsentscheidungen bisher nicht sehr üblich. Eine ZT-Architektur kann mit einer komplexeren Authentisierung und Autorisierung einhergehen, die verhaltens- und umgebungsabhängige Entscheidungen erlauben. Dies kann durch die Einbeziehung diverser Informationsquellen erreicht werden, zum Beispiel:
- Continuous Diagnostics and Monitoring (CDM): Ein CDM dient dazu, möglichst viele Informationen in Zusammenhang mit der Nutzung von IT-Applikationen zu sammeln.
- Threat Intelligence: Angriffsprofile und -muster können von laufend aktualisierten Quellen herangezogen werden.
- Logs: Ein Security Information and Event Management (SIEM) kann Ereignis-Logs dazu nutzen, nicht nur Alarme zu generieren, sondern aktiv in Sessions einzugreifen, bis hin zur Einschränkung oder Unterbrechung von Sessions.
ZT und Mikrosegmentierung
Wenn ZT den Betrieb von IT-Ressourcen in einer nicht vertrauenswürdigen Umgebung bedeutet, dann ist es folgerichtig, Mikrosegmentierung als einen zentralen ZT-Ansatz einzustufen. Mikrosegmentierung ist eine auf Rechenzentren ausgerichtete Entwicklung, die Schutzmechanismen für IT-Ressourcen in die Nähe dieser Ressourcen rückt. Interessanterweise können dabei die Netzkomponenten eine entscheidende Rolle spielen. Zumindest jeder physischen Ressource im RZ kann ein Switch-Port eindeutig zugeordnet werden, der sich als sogenannter Policy Enforcement Point (PEP) für ZT anbietet. Der PEP agiert dabei im Auftrag und unter Kontrolle eines Policy Decision Point (PDP). Solche Konzepte sind in der Praxis bereits bei einigen Unternehmen realisiert worden.
Alternativ können PDP und PEP in sogenannten Overlay-Netzen implementiert werden, die rein auf Software basieren. Die Kommunikation mit den geschützten IT-Ressourcen erfolgt dann ausschließlich über Overlay-Netze und darin vorgesehene PEP, die zentral von einem PDP gesteuert werden. Der virtuelle Switch in einem Hypervisor bietet sich dabei als PEP an.
Fazit
Zero Trust ist kein vergänglicher Modebegriff, sondern eine Entwicklung, die längst schon begonnen hat. Es liegt in der Natur einer Entwicklung, dass sie nicht durch eine einmalige Umstellung erreicht wird. Unsere Sonderveranstaltung Netze vom 24. bis 26. April 2023 ist ein Event, im Rahmen dessen Vorträge u.a. über Zero Trust und die damit in Zusammenhang stehenden technischen Mechanismen gehalten werden. Experten von ComConsult und führenden Herstellern werden dabei auf die neuesten Entwicklungen im Netzbereich eingehen.