Mit SPAN und TAP zu mehr Visibilität

Die Cloud erschwert die Netzwerktransparenz

11.10.2022 von Ann Bednarz
Sie wollen ihre Cloud-Umgebungen besser verwalten? Sie wollen bösartigen Datenverkehr erkennen? Dann kommen Sie um das Thema Netzwerktransparenz nicht herum.
Transparenz im Netz? In Cloud-Umgebungen ist das keine Selbstverständlichkeit.
Foto: jamesteohart - shutterstock.com

Viele Unternehmen stochern im sprichwörtlichen Nebel umher, wenn es um die Transparenz ihrer Netze geht. Wer die Sicherheit erhöhen und die Produktivität der IT-Mitarbeiter steigern will, kommt um entsprechende Tools nicht herum. Laut Shamus McGillicuddy, Vice President of Research bei Enterprise Management Associates (EMA), plant die Mehrheit (78 Prozent) der Unternehmen, ihre Ausgaben für Tools zur Verbesserung der Netzwerksichtbarkeit in den nächsten zwei Jahren zu erhöhen.

Der Hauptgrund dafür ist laut McGillicuddy der wachsende Datenverkehr, der zum großen Teil auf die Einführung von hybriden und Multi-Cloud-Architekturen zurückzuführen ist. Weitere Faktoren, die eine bessere Sichtbarkeit erforderlich machen, seien die Zunahme des Ost-West-Datenverkehrs in den Rechenzentren und die zunehmende Verwendung von Verschlüsselung durch böswillige Akteure, um bösartigen Datenverkehr zu verbergen.

Wege zum transparenten Netz

Doch wie sieht ein transparentes Netz aus? Die EMA definiert eine Network-Visibility-Architektur als eine Überlagerung von Verkehrsspiegelungs-, Aggregations- und Verteilungs-Tools, die Verkehrsdaten an andere Systeme liefern. Dabei werden Paketdaten aus der Cloud sowie aus lokalen Netzwerken erfasst und an Sicherheits-Tools und Leistungsanalysesysteme weitergeleitet, wie beispielsweise Intrusion Detection oder Software zur Verwaltung der Anwendungsleistung.

Die wichtigsten Komponenten einer Netzwerksichtbarkeitsarchitektur sind TAPs und SPAN-Ports, die zur Spiegelung von Verkehrsdaten aus dem Produktionsnetzwerk verwendet werden, sowie Aggregationsgeräte, wie etwa eine Network-Packet-Broker-Appliance. Eine unternehmenstaugliche Visibility-Architektur umfasst in der Regel auch softwarebasierte Probes und Packet Broker für virtuelle Infrastrukturen sowie Cloud-basierte Probes und Packet Broker für Cloud-Systeme.

Cloud verschlechtert die Transparenz

Der Siegeszug der Cloud vergrößert das Problem noch. Die Migration von Anwendungen in die Cloud hat McGillicuddy zufolge zu blinden Flecken geführt, und Multi-Cloud macht die Sichtbarkeit noch schlechter. "IT-Teams sagen mir das oft. Sie sind mit der Transparenz, die sie in Cloud-Netzwerken erhalten, nicht zufrieden. Sie versuchen, ihre Lösungen auf die Cloud auszudehnen, und sind in dieser Hinsicht häufig überfordert", so McGillicuddy. Laut EMA können diese blinden Flecken durch den Aufbau einer End-to-End-Transparenzarchitektur beseitigt werden, die die Infrastruktur vor Ort und die öffentliche Cloud umfasst.

In diesem Zusammenhang befragte EMA Unternehmen nach ihrer primären Methode zur Bereitstellung von Cloud-bezogenen Netzwerk-Paketdaten für Sicherheits- und Leistungsanalysetools. Die Mehrheit (60 Prozent) verwendet Software von Drittanbietern, wie zum Beispiel einen virtuellen Netzwerk-Packet-Broker oder einen virtuellen TAP. Weitere 38 Prozent nutzen native Paketspiegelungsdienste, die von Cloud-Anbietern angeboten werden. Die restlichen zwei Prozent verwenden eine alternative Methode oder analysieren keine Paketdaten in der Cloud.

TAPs versus SPAN-Ports

Alle zwei Jahre befragt EMA die Unternehmen zudem, wie viel Prozent der Port-Spiegelung in ihren Netzwerken über einen Switched-Port-Analyzer-(SPAN-)Port oder einen Test-Access-Port (TAP) erfolgt. Bei SPAN-Ports wird einer der Ports an einem Netzwerk-Switch zu einem Verkehrsspiegelungsdienst, der den Verkehr kopieren und an andere Systeme weiterleiten kann. Ein TAP ist ein dediziertes Gerät, das den Netzwerkverkehr aus einem Produktionsnetzwerk kopiert und die Switches von dieser Aufgabe entlastet.

In der Vergangenheit haben die meisten Unternehmen Port Mirroring über TAPs und nicht über SPAN-Ports durchgeführt. In letzter Zeit ist jedoch ein Trend hin zu SPAN-Ports zu beobachten. Zu viele Unternehmen verlassen sich bei der Verkehrsspiegelung eher auf SPAN-Ports als auf TAPs, "und das hat Folgen", erklärt McGillicuddy.

Da die Komplexität des Netzwerks zunehme, würden Unternehmen vielleicht mehr Punkte in ihrem Netzwerk spiegeln wollen, um die allgemeine Sichtbarkeit zu verbessern. SPAN-Ports könnten in Bezug auf die Investitionsausgaben ein günstigerer Ansatz sein, so der EMA-Experte. Die Verwendung von TAPS hat jedoch auch Vorteile. So stammen TAPs in der Regel von einem Anbieter, der sich auf Sichtbarkeit spezialisiert hat und Software zur Verwaltung der TAPs bereitstellt, insbesondere wenn Änderungen an der Netzwerkkonfiguration vorgenommen werden. "Das reduziert die betriebliche Komplexität", betont McGillicuddy.

Bei SPAN-Ports hingegen "haben Sie möglicherweise keinen zentralen Überblick über Ihre SPAN-Ports, die auf den verschiedenen Switches im Netzwerk konfiguriert sind", so der Netzexperte. Auch die Datenqualität sei mit TAPs besser. So seien TAPs dafür optimiert, gespiegelten Datenverkehr an eine Visibility-Architektur zu liefern, während SPAN-Ports Best-Effort-Ports sind.

Sichtbarkeit steigert die Effizienz der IT

Nach den Vorteilen einer Visibility-Architektur befragt, geben die Unternehmen folgende Punkte zu Protokoll:

Zwar kann es schwierig sein, das verringerte Sicherheitsrisiko klar zu beziffern, aber die Vorteile der Produktivitätssteigerung lassen sich für McGillicuddy leicht quantifizieren: "Wenn Sie die Produktivität Ihres IT-Teams und des Sicherheitsteams steigern, können Sie der Unternehmensleitung nachweisen, dass dadurch Vollzeitstunden frei werden." So würden in vielen Unternehmen teure IT-Mitarbeiter Hunderte von Stunden damit verbringen, dafür zu sorgen, dass die Daten des Netzwerkverkehrs zu den benötigten Analyse-Tools gelangen. Mit einer Network-Visibility-Architektur werde dies automatisiert. (hi)