Die nächste Mobilfunkgeneration 5G steht auf der Türschwelle. Aktuell rüsten die Carrier ihre LTE-Mobilfunknetze auf der ganzen Welt mit neuen Frequenzbändern und fortschrittlichen Funktechnologien auf. 5G wird enorme Veränderungen in den Mobilfunknetzen mit sich bringen, darunter größere Bandbreiten im Hochfrequenzbereich, das so genannte „Millimeter Wave“, geringere Latenzen, Network Slicing sowie eine wesentlich größere Verbindungsdichte. Insbesondere die Verbesserungen in den drei Bereichen Latenz, Übertragungsgeschwindigkeit und Verbindungsdichte werden einen signifikanten Einfluss auf bestehende Security-Architekturen haben. Müssen wir unsere Netzwerke besser absichern? Diese Frage allein reicht nicht, denn einen „besseren“ Job zu machen, ist nicht mehr gut genug. Es braucht neue Ansätze in puncto Netzwerksicherheit.
Veränderungen auf allen Ebenen des Netzwerks
5G wird sehr häufig mit einem höheren Datendurchsatz in Verbindung gebracht. Und in vielen Fällen ist das richtig. Tatsächlich haben einige 5G-Studien Datenraten von mehreren Gigabit pro Sekunde demonstriert, in einem Fall sogar 32 Gigabit pro Sekunde. Das sind Größenordnungen, die aus heutiger Perspektive kaum vorstellbar sind. Und obwohl dies nicht der reale Durchsatz an jedem Endpunkt ist, stellt 5G doch enorme Anforderungen an die Netzwerkinfrastruktur, etwa an die Schaltkreise in Sicherheits-Appliances im Rechenzentrum oder an die Konzentratoren, die mal eben das Zehnfache des Verkehrs bewältigen müssen.
Latenzverbesserungen sind ebenfalls ein großer Fortschritt von 5G. Die meisten 4G-Verbindungen ermöglichen eine Latenzzeit von unter 100 Millisekunden pro Roundtrip, sehr oft sind auch Latenzzeiten von unter 50 Millisekunden möglich. Das Designziel des 5G-Standards ist eine Millisekunde! Hier beißt sich der Hund in den Schwanz. Denn das typische Sicherheitsmodell einer VPN-Verbindung leitet den Datenverkehr vom Endpunkt zu einem zentralen Konzentrator, dann zum Zielserver (heutzutage oft im Internet), dann zurück zum Konzentrator und dann zurück zum Endpunkt. Je nachdem, wo sich diese drei Elemente (Endpunkt, Konzentrator, Zielserver) befinden, müssen zu jeder Transaktion Dutzende, wenn nicht gar Hunderte von Millisekunden hinzugefügt werden. Mit dem Datenhunger mobiler, verteilter oder weit entfernter Anwender und Applikationen geht das kaum überein.
5G ist auch für das Handling von vielen Geräten ausgelegt. Genauer gesagt: Sehr viele Endgeräte. Über IoT wird seit Jahren gesprochen. Aber in Wirklichkeit haben wir gerade erst begonnen. Gartner schätzt die aktuelle Zahl der IoT-Geräte auf rund 8,4 Milliarden, und prognostiziert 21 Milliarden bis 2020. Das ist das Zweieinhalbfache an Geräten im Vergleich zu heute – in nur zwei Jahren! Viele dieser IoT-Geräte sind keine üblichen IT-Endpunkte wie PC, Tablet oder Smartphone, für die herkömmliche Security- und VPN-Clients verfügbar sind. Manche dieser Geräte greifen auf Container oder IoT-Dienste in der Cloud zu. Spätestens jetzt stellen sich Security-Profis die Haare auf. Denn Sicherheit in IoT-Netzwerken nach aktuellem Anspruch kann mit den traditionellen IT-Sicherheitsmodellen nicht erreicht werden. Sicherheitsexperten warnen seit langem vor diesen kleinen, aber sperrangelweit offenen Hintertürchen in Unternehmensnetze.
SD-Perimeter: Security upside down
Um gänzlich zu verstehen, warum wir die Netzwerksicherheit in der IoT-Ära überdenken müssen, führen wir uns die Entwicklung der traditionellen Netzwerksicherheit in den letzten zwei Jahrzehnten vor Augen. Wie das Internet wurden auch Unternehmensnetzwerke so konzipiert, dass sie sich zuerst verbinden und später Fragen stellen. Darüber hinaus wurden sie mit einem zusammenhängenden oder routingfähigen Adressraum erstellt, der es einem Endpunkt ermöglicht, jeden anderen Endpunkt im Netzwerk zu erreichen. Dieser Ansatz erforderte, dass Netzwerkadministratoren ein „Filter-out“-Sicherheitsparadigma überlagern, um den Zugriff und den Datenfluss zwischen bestimmten Benutzern, Ressourcen und Geräten zu beschränken. Diese Konventionen haben sich recht gut bewährt, um relativ statische Netzwerke mit Tausenden von Endpunkten zu „segmentieren“.
In der Welt der IoT-Netzwerke, des Edge-Computing und der umfassenden Verfügbarkeit breitbandiger, drahtloser Pop-Up-Verbindungen nehmen das Volumen und die Vielfalt der Endpunkte massiv zu – daher auch der Begriff „Massive IoT“. Und diese Endpunkte verändern sich ständig. Hunderttausende oder sogar Millionen von Geräten in einem Unternehmensnetzwerk sind keineswegs eine Illusion in weiter Ferne. Das Szenario ist sehr real, genauso wie die möglichen Bedrohungen.
Als Antwort auf dieses ernste Security-Problem müssen wir das traditionelle Unternehmensnetzwerkmodell auf den Kopf stellen, Netzwerkfunktionen in die Cloud verlagern und Software nutzen, die das Internet überlagert. Dieser so genannte „Cloud Networking“-Ansatz, auch „Software-Defined Perimeter“ (SD-Perimeter) genannt, ermöglicht es Netzwerkverantwortlichen, ein Perimeter-gesichertes, virtuelles Netzwerk bereitzustellen, das sozusagen über dem Internet schwebt. Dieses Netzwerk ist für die Außenwelt vollständig „getarnt“. Schließlich kann man nichts angreifen, was man nicht adressieren kann. Anstatt sich zuerst zu verbinden und sich zu authentifizieren, verhalten sich SD-Perimeter-basierte IoT-Netzwerke wie geschlossene Benutzergruppen. Bevor sich ein Gerät verbinden kann, benötigt es eine Einladung aus diesem Netzwerk.
Aus Sicht der Gerätesegmentierung und -isolierung wird die langwierige und anfällige Filter-out-Methodik traditioneller Unternehmensnetzwerke durch die Möglichkeit ersetzt, verschiedene virtuelle Overlay-Netzwerke für jede Geräteklasse zu bilden, die voneinander getarnt sind. So sind etwa sauber und übersichtlich voneinander getrennte Netze für Überwachungskameras, Sensoren oder Stellglieder denkbar. Sollte beispielsweise ein Angriff auf eine Überwachungskamera stattfinden, können die Cyberkriminellen nicht in andere Teile des Netzwerks und zu anderen Geräten vordringen.
Moderne CIOs schneiden alte Zöpfe ab
IT-Trends wie 5G, Edge Computing, IoT und Software-Defined Networking krempeln die Netzwerkinfrastruktur von Unternehmen sprichwörtlich um. Traditionelle Security-Modelle müssen daher ebenso auf den Kopf gestellt werden, im wahrsten Sinne des Wortes. Moderne CIOs erkennen, dass die Sicherheit in der aufstrebenden vernetzten Wirtschaft einen neuen Ansatz zur Verbindung und zum Schutz von Menschen, Orten und Dingen erfordert.
Von Sascha Kremer, Director Carrier Development bei Cradlepoint Deutschland
#Netzpalaver #Cradlepoint