Frischer Wind ins Netzwerkmanagement
Von Uli Ries
Die Versprechungen klingen verlockend: Das Ende der Kommandozeile zur Administration von Netzwerken, das Ende von unentdeckten Angreifern in Firmennetzen und das Ende von unübersichtlichen Backup-Bergen. Mit nichts weniger promoten Start-ups wie Apstra (Netzwerkadministration), Javelin Networks (Schutz des Active Directory), NetFoundry (Application Specific Networks) oder Cohesity (Konsolidieren des Secondary Storage) ihre Produkte.
Automatische Netzwerkkonfiguration
Apstra will mit seinem Apstra Operating System (AOS) Rechenzentren automatisieren, und zwar vom Entwurf bis hin zum Betrieb. AOS arbeitet herstellerübergreifend, und wenn man dem Gründer und CEO des Unternehmens Mansour Karam zuhört, dann bringt das durch AOS mögliche „Intent-based Network“ das, was Software-defined Networking seit jeher verspricht: Ausgehend vom Bedarf der Anwendung bzw. Fachabteilung wählt der RZ-Administrator ein vorgefertigtes Template und AOS konfiguriert das Netzwerk automatisch. Das Ganze passiert über eine grafische Oberfläche, womit laut Karam die Kommandozeile ausgedient hat. Eine solche wird dem Apstra-Gründer zufolge heute von gut 85 % aller Netzwerkteams in Unternehmen weltweit verwendet, die dabei ca. 80 % ihrer Arbeitszeit mit manuellen Abläufen vergeuden.
Das Apstra Operating System (AOS) arbeitet mit Dashboards und soll den Einsatz der Kommandozeile bei der RZ-Administration überflüssig machen. (Bild: Apstra)
AOS unterstützt Netzwerkkomponenten unter anderem von Arista, Cisco, Cumulus, Dell, HP und Juniper, außerdem solche, die auf Broadcom-Hardware oder auf OpenSwitch basieren. AOS bringt treiberartige Schnittstellen mit, um mit den jeweiligen Netzwerkkomponenten zu kommunizieren. Die Daten fließen dabei in beide Richtungen, sodass die Lösung auch Telemetriedaten von den Infrastrukturkomponenten abfragen und somit die korrekte Konfiguration überprüfen kann.
Apstra hat seine Plattform von Beginn an für Entwickler geöffnet: Per API können sie mit dem AOS-Kern kommunizieren und so neue Templates oder Treiber für Netzwerkgeräte erstellen bzw. AOS mit anderen Systemen verzahnen. Auch die Telemetriedaten lassen sich über die API auslesen, wodurch Entwickler über das hinausgehen können, was Apstra selbst liefert.
Active Directory absichern
Während Apstra Dritte einlädt, will Javelin Networks (unberechtigte) Dritte draußen halten: Das von ehemaligen Mitgliedern der israelischen Streitkräfte gegründete Start-up bietet mit AD|Protect eine Schutzlösung für Active-Directory-basierte Netzwerke an, die nach der erfolgreichen Übernahme eines Netzwerkrechners durch Angreifer (Post-breach) weiteren Schaden verhindern soll. Moderne Angriffsvektoren basieren so gut wie immer auf Zugriffen aufs Active Directory (AD). Zum Schutz des AD kopiert die Lösung den kompletten Inhalt auf einen eigenen Server und fügt dort dann Hunderte oder Tausende von Fake-Einträgen hinzu, z. B. nicht existierende User oder erfundene Server. Die eigentlichen AD-Informationen verändert die Schutzlösung nicht, sodass die Security-Spezialisten im Unternehmen ihre Kollegen aus dem IT-Betrieb nicht hochschrecken müssen.
Greg Fitzgerald von Javelin Networks bedankt sich für den ersten Preis in der Kategorie „Hot Start-Up – CyberSecurity“ bei den IoT & Cloud Innovation Awards 2017. Apstra schug Cohesity übrigens im Start-up-Finale von Cloud/Datacenter. Dafür räumte Cohesity den Preis als „Innovation Leader – Cloud/Datacenter“ vor Apstra ab, in der Innovationskategorie IoT war es NetFoundry. (Bild: NetEvents)
Fragt ein Endgerät das AD ab, fängt ADProtect nach Auskunft von Greg Fitzgerald, Chief Marketing Officer von Javelin, die Anfrage per WMI (Windows Management Instrumentation) ab und antwortet dem Fragesteller mit den künstlich erzeugten AD-Angaben. Ein nicht infizierter Client greift aktiv nur auf existierende Nutzerkonten oder andere Clients zu. Ein Angreifer hingegen, der das Netzwerk erst einmal ausspäht und nach Zielen für den nächsten Schritt der Attacke durchforstet, greift auch auf die nicht existierenden Rechner und Nutzer-Accounts zu. Aus Sicht von Javelin ist das ein untrügliches Zeichen für einen vorangegangenen erfolgreichen Angriff und somit die richtige Zeit für einen Alarm.
Für jede Anwendung ein eigenes Netzwerk
Eine andere Art von Software-defined Networking, ein sogenanntes Application Specific Network, bietet NetFoundry an: Nach Angaben des Gründers Galeal Zino können Nutzer bei Bedarf genauso leicht ein weltweit verfügbares Netzwerk aufziehen, wie sie heute Speicher- oder Rechenleistung in der Cloud buchen können. Bandbreite, Latenz, Sicherheitsfunktionen und Routing-Wege seien dabei je nach Anforderung der Anwendung frei konfigurierbar und würden auch regulatorischen Vorgaben genügen, denen die Kunden eventuell unterliegen.
NetFoundry stellt jeder Anwendung ihr eigenes WAN (Wide Area Network) in einer Art exklusiver privater Cloud bereit, ohne dass die Kunden hierfür VPN (Virtual Private Network) oder MPLS (Multiprotocol Label Switching) verwenden müssten. Die zugrunde liegende Netzwerkinfrastruktur spiele ebenfalls keine Rolle. NetFoundry benötigt laut Zino lediglich eine Internet-Verbindung. Die Software agiert als eine Art mächtiger Netzwerktreiber auf dem Endgerät oder auf einem Edge-Gateway. Dort fängt sie die Datenpakete der betreffenden Anwendung ab, verschlüsselt sie und leitet sie zu einem der unternehmenseigenen Knotenpunkte weiter.
NetFoundry stellt über eigene Nodes jeder Anwendung ihr eigenes WAN bereit. (Bild: NetFoundry)
Derzeit betreibt das Unternehmen nach eigener Auskunft zehn dieser Nodes und kann bei Bedarf in vielen Regionen der Welt bis auf ein oder zwei Hops an das Netzwerk des Kunden heranrücken. Kontrolle über die letzte Meile, also die Internet-Verbindung zwischen Kundengateway und NetFoundry-Node hat das Unternehmen aber nicht. Durch die Verschlüsselung zwischen Anwendung bzw. Gateway und den NetFoundry-Rechenzentren seien die Daten aber dennoch gegen Lauschangriffe gesichert. Außerdem werde die Anwendung durch die Lösung isoliert: Versuche ein nicht durch NetFoundry autorisiertes Datenpaket die betreffende Anwendung zu erreichen, werde es sofort verworfen.
Aufräumen im Speicherkeller
80 % aller von Unternehmen gespeicherten Daten sind laut Mohit Aron, Gründer von Cohesity, im Secondary Storage abgelegt. Das umfasst Backups, Archive, Test- und Entwicklungsdaten, Fileshares, die nicht täglich benötigt werden, oder Analysedaten. Cohesity will diese bislang zumeist getrennten Datensilos in einer eigens für Second-Storage-Zwecke entwickelten Hyperconverged-Umgebung zusammenfassen und so unter anderem riesige Mengen an Speicherplatz einsparen, indem es über alle Speicherarten hinweg dedupliziert.
Die Lösung zum Konsolidieren des Secondary Storage von Cohesity versteht sich auch mit gängigen Cloud-Anbietern. (Bild: Cohesity)
Laut Aron, der zu den Vätern des Google File Systems gehört, kopieren Unternehmen die Daten aus dem Secondary Storage bis zu zwölf Mal, um sie für die verschiedenen Einsatzzwecke parat zu haben. Damit will die Cohesity-Plattform Schluss machen und so bis zu 80 % der Total Cost of Ownership einsparen. Ein weiterer Vorteil der Vereinheitlichung sei eine unternehmensweite Suchmöglichkeit nach Daten.
Genau wie für die übrigen vorgestellten Unternehmen gilt auch im Fall von Cohesity: Das Unternehmen hat bereits namhafte Kunden aus den Segmenten Finanzen, Medien oder Regierungsbehörden. Von Kinderkrankheiten dürften die Start-ups demnach kaum noch geplagt sein.
Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.
Kontakt via Xing
