Schnell, flexibel, leistungsfähig – so müssen Netzwerke heute sein, um den Ansprüchen zu genügen. Gleichzeitig sollen sie aber auch die hohen Sicherheits- und Datenschutz-Standards erfüllen. Für die Netzwerke bedeutet dies vor allem dann eine besondere Herausforderung, wenn sie „Elephant Flows“ – also große und lange Datenströme – verarbeiten. Denn der Einsatz von Firewalls schränkt ihre Leistungsfähigkeit häufig erheblich ein, da die auf dem Markt befindlichen Firewall-Lösungen nicht mit den gängigen 10GbE und 100GbE-Netzwerken mithalten.
Für Netzwerkarchitekten stellt sich also die Frage: Sicherheit und High Performance – wie ist das zu vereinen?
Neue Möglichkeiten eröffnet hier beispielsweise der Einsatz von Software-Defined Networking (SDN). Ein beeindruckendes Beispiel hat Brocade im Rahmen des Layer123 SDN & OpenFlow World Congress in Düsseldorf vorgestellt. Auch wenn der Kongress bereits vor einigen Monaten stattgefunden hat, sind die dort vorgestellten Lösungen rund um SDN und OpenFlow weiterhin zukunftsweisend. Fest steht, dass sich unsere Netzwerke schon bald grundlegend verändern werden. Mit „New IP“ steht uns ein Konzept zur Verfügung, das die Abkehr von ursprünglichen, starren Netzwerk-Infrastrukturen hin zu virtualisierten, offenen und software-basierten Standards beschreibt.
Auf diese Idee stützt sich auch die OpenFlow-basierte SDN-Anwendung, die Brocade in Zusammenarbeit mit dem Global Research Network Operations Center der Indiana University entwickelt hat. Die Demonstration beim SDN Showcase Event zeigt ein reales Fallbeispiel einer SDN-basierten DMZ-Architektur, wie sie etwa in Campus-Netzwerken zum Einsatz kommt, wenn diese beispielsweise mit einem separaten Forschungsnetzwerk verbunden sind.
Wie die Grafik zeigt, besteht die gewählte Architektur aus mehreren Komponenten. Der Brocade MLXe Router übernimmt die Funktion des Border-Routers und bietet vollständigen Support für OpenFlow v1.0. Auch wenn mittlerweile bereits OpenFlow v1.3 auf der MLXe-Plattform erhältlich ist, genügen für diesen Zweck die Features der Version 1.0.
Open Flow spiegelt den Datenverkehr, der über den DMZ Border-Router läuft, auf die Traffic Analytics App. Diese (in diesem Fall BRO IDS) erstellt auf Grundlage der Sicherheitsvorschriften der Organisation eine Whitelist mit „sicheren“ Elephant Flows und schickt diese an die Traffic Management App. In diesem Fall wurde SciPass eingesetzt, eine von der Universität von Indiana entwickelte App, die als OpenSource-Lösung ebenfalls frei verfügbar ist. SciPass veranlasst den SDN Controller, OpenFlow-Regeln zum MLXe Border Router zu senden, um die als sicher freigegebenen Elephant Flows umzuleiten. Diese müssen also nicht mehr separat von der Firewall geprüft werden.
Zum Vergleich: Bei anderen derzeit in Forschungsnetzen oder im Wissenschaftsbetrieb eingesetzten DMZ-Architekturen befinden sich die Hochleistungsrechner-LANs außerhalb der Firewall, um eine Leistungseinschränkung bei großen Datenströmen zu vermeiden. Das verhindert natürlich Performanceeinschränkungen, schafft aber gleichzeitig ein Sicherheitsproblem.
Die von Brocade und der Indiana University vorgestellte OpenFlow-basierte SDN-Lösung behebt also das Leistungsproblem und bietet dennoch den sicheren Schutz durch eine Firewall.
Die Ergebnisse des Leistungstests sind überzeugend: Die untere schwarze Kurve zeigt die Performance eines großen Datenstroms, wenn die Firewall Forwarding-Funktion hat. Deutlich zu sehen: Die Leistung ist erheblich eingeschränkt. Die mittlere grüne Linie zeigt die sehr viel bessere Performance, die mit der SDN-basierten Lösung möglich ist. In nur 64ms erkennt die BRO Traffic-Analyse-Anwendung den „sicheren“ Datenstrom. Bereits nach ca. 1,5 Sekunden gleicht sich die Kurve an die obere blaue an, die einen Datenstrom visualisiert, dem keine Firewall im Weg steht.
Die Demonstration des realen Fallbeispiels beim SDN Showcase Event zeigt: High Performance und Sicherheit sind sehr wohl miteinander vereinbar. Mit der richtigen software-basierten Technologie können Netzwerke auch große Datenmengen problemlos verarbeiten und in Sekundenschnelle flexibel reagieren. Sicherheit und Datenschutz müssen dabei keineswegs auf der Strecke bleiben.
