Ixia vereinfacht Parallelbetrieb von Sicherheitssystemen

QSFP28 Modul

Während Performance Management und Intrusion Detection Systeme out of band eingesetzt werden können und daher die Netzwerkperformance nicht beeinträchtigen, müssen die meisten Sicherheitstools inline arbeiten, um ihre Aufgaben zu erfüllen. Hierzu zählen beispielsweise Web Application Firewalls, Intrusion Prevention Systeme, DLP-Systeme (Data Loss Prevention) sowie Anti-Virus- und Anti-Malware-Lösungen. In der Regel durchläuft der eingehende Verkehr dabei eines dieser Tools nach dem anderen, so dass das langsamste Tool die Gesamtperformance der Sicherheitsarchitektur bestimmt. Zudem leidet die Verfügbarkeit der Sicherheitssysteme, da sich leider nicht die Mean Times Between Failure addieren, sondern deren Reziprokwerte. Setzt man nur zwei Anwendungen mit MTBFs von 10.000 bzw. 30.000 Stunden ein, muss man innerhalb von 30.000 Stunden daher mit 4 Ausfällen rechnen – die MTBF der Gesamtlösung beträgt also nur noch 7.500 Stunden. Und mit zwei Sicherheitstools kommt heute niemand aus; der Effekt wird also gravierender sein als in diesem Beispiel. Hinzu kommt, dass jede Sicherheitsanwendung Wartungsfenster benötigt, die beim seriellen Betrieb auch sämtliche anderen Tools offline nehmen.

Um die Probleme mit hintereinander geschalteten Sicherheitslösungen zu umgehen, hat Ixia ein Inline Security Framework mit einer komplett anderen, nämlich parallelen, Sicherheitsarchitektur entwickelt. Dieses Framework basiert auf einer High-Availability-Zone, in der Security Tools mit maximaler Verfügbarkeit, Flexibilität und Performance eingesetzt werden können. Geschaffen wird diese Zone über Bypass Switches, die den Security Tools den ausfallsicheren Zugang zum gesamten eingehenden Verkehr aus dem öffentlichen Netz ermöglichen. Die Switches leiten diesen Verkehr an Network Packet Broker weiter, die die Pakete inspizieren und ausschließlich an die jeweils relevanten Tools oder Toolfarmen weiterleiten, die parallel zueinander betrieben werden. Nach Durchlaufen der Sicherheitssysteme wird der Verkehr dann über die Bypass Switches an das interne Netzwerk übergeben.

Effiziente Lastverteilung

Da Packet Broker Application Aware sind, können sie den Verkehr anwendungsspezifisch nur an die Tools weiterleiten, die für die jeweilige Applikation benötigt werden. Verlangsamt ein bestimmter Verkehrstyp ein Tool, das diesen gar nicht inspizieren muss, kann dieser Verkehr einfach daran vorbei geleitet werden. Zudem fungieren die Packet Broker als Load Balancer und können daher beispielsweise Web Traffic effizient auf mehrere Web Application Firewalls verteilen. Das gewährleistet nicht nur eine hohe Verfügbarkeit und Performance, sondern erhöht auch die Skalierbarkeit, da bei Upgrades einfach die entsprechende Toolfarm um ein weiteres System ergänzt werden kann. In Ixias Architektur werden die Packet Broker redundant ausgelegt, um Hochverfügbarkeit zu gewährleisten.

Der Ansatz, die verschiedenen Sicherheitssysteme parallel statt in Reihe zu betreiben, hat auch gravierende Auswirkungen auf den Betrieb und das Change Management. Upgrades oder Wartungsarbeiten an einem einzelnen Tool haben so keinen negativen Einfluss auf das Gesamtsystem, da andere Tools davon nicht beeinträchtigt werden. Da die Bypass Switches praktisch die einzigen echten Inline-Systeme sind und das Sicherheitsteam ein komplett eigenes Spielfeld erhält, können sowohl das Netzwerk- als auch das Security-Team sich auf ihre jeweiligen Prioritäten konzentrieren, ohne sich dabei gegenseitig in die Quere zu kommen. Upgrades, Patches und Erweiterungen innerhalb der Sicherheitsarchitektur haben so keine negativen Auswirkungen auf Verfügbarkeit und Performance des gesamten Netzwerks.