Können Sie es sich leisten, Ihr optisches Netz ohne Layer-1-Verschlüsselung zu betreiben?
Die stark zunehmenden Cyberangriffe stellen eine Bedrohung für große Datenmengen in breitbandigen optischen Netzen dar. Im Folgenden werden geeignete Schutzmaßnahmen erläutert, verschiedenen Verschlüsselungsverfahren verglichen und die Notwendigkeit eines robusten Schutzes auf der physikalischen Netzschicht (Layer) 1 begründet.
Lisa Banz
Achten Sie auf die Sicherheitslücke!
Glasfaserübertragungssysteme bieten sehr hohe Bandbreiten, und damit die für unsere Wirtschaft, Gesellschaft und Verwaltung unerlässliche Konnektivität. Die zunehmenden Cyber-Angriffe gefährden jedoch immer mehr die Vertraulichkeit und Integrität von wichtigen und sensiblen Daten. Wie die Snowden-Enthüllungen gezeigt haben, stellt das Abhören von Glasfaserkabeln eine erhebliche Bedrohung dar. Maßnahmen zum Schutz der übertragenen Daten sind unerlässlich.
Dafür gibt es mehrere Möglichkeiten. Sie können Ihren Datenverkehr an den Endpunkten schützen, indem Sie die Verbindungen für jede Anwendung und jeden Dienst einzeln verschlüsseln. Alternativ können Sie den aggregierten Datenverkehr auf einer unteren Netzwerkschicht, beispielsweise dem optischen Layer 1, in Kombination mit einem robusten Perimeterschutz sichern. Beide Ansätze sind weit verbreitet. In diesem Blog-Beitrag konzentriere ich mich auf die Vorteile des optischen Schutzes, vergleiche ihn mit der Verschlüsselung auf höheren Layern und gebe Hinweise zu Best Practices.
Optische Verschlüsselung mit OTN
Die Konformität mit Standards ist eine bewährte Methode, um die Wirtschaftlichkeit und Zukunftssicherheit von Netzwerken zu gewährleisten. Optical Transport Network (OTN) ist das bevorzugte, von der ITU standardisierte Protokoll, das in optischen Übertragungssystemen verwendet wird. OTN-Standards bieten Mapping-Schemata für gängige Schnittstellen wie IP, Ethernet und SDH. Darüber hinaus kann OTN anwendungsspezifische Protokolle unterstützen, die in Datenzentren, Speichernetzwerken (engl. Storage Area Networks, SAN) oder professionellen Videostudios eingesetzt werden.
OTNSec, die Layer-1-Verschlüsselung optischer OTN-Kanäle, schützt die gesamte Nutzlast und ist damit unabhängig von dem zu übertragenden Schnittstellenprotokoll. Folglich kann die Layer-1-Verschlüsselung für eine breite Palette von Anwendungen eingesetzt werden, insbesondere wenn eine Kombination aus verschiedenen Protokollen unterstützt werden muss. Ein einziger Layer-1-Verschlüsseler kann den aggregierten Datenverkehr mehrerer unterschiedlicher Protokolle schützen, weshalb diese Lösung für die Verbindung von Rechenzentren und Speichernetzen bevorzugt eingesetzt wird.
Multigigabit-Verschlüsselung mit niedrigster Latenz
Optische Transportsysteme können mehrere 100 Gbit/s an Daten pro Wellenlänge übertragen. Mit AES-256 als Stromchiffre kann diese riesige Datenmenge äußerst verzögerungsarm verschlüsselt werden. Im Gegensatz dazu führen MACSec und IPSec, die mit niedrigeren Datenraten arbeiten und in manchen Fällen eine Softwareverschlüsselung verwenden, zu deutlich höheren Latenzzeiten. Aufgrund des pragmatischen und einfachen Mappings, kombiniert mit der hohen Bandbreite optischer Kanäle, ist die Latenz der Layer-1-Verschlüsselung extrem niedrig und erreicht Werte im Nanosekundenbereich. Daher eignet sich die optische Verschlüsselung ideal für zeitkritische Anwendungen wie beispielsweise im Finanzwesen und bei der Spiegelung großer Datenbestände.
Bandbreiteneffizienz der Layer-1-Verschlüsselung
AES-256 wird als Verschlüsselungsalgorithmus bei OTNSec, MACSec und IPSec verwendet, was eine gleichbleibende Robustheit der Verschlüsselungsalgorithmen auf unterschiedlichen Layern sicherstellt. Die Art und Weise, wie verschlüsselte Daten ins übertragende Protokoll eingebettet werden, ist jedoch unterschiedlich. Höhere Schichten benötigen mehr Overhead-Bytes im Vergleich zu OTN, das ein transparentes Mapping ohne Overhead in Verbindung mit integrierten OTN-Hilfskanälen für den Schlüsselaustausch einsetzt. Infolgedessen bietet die Layer-1-Verschlüsselung eine bessere Bandbreiteneffizienz und Ressourcennutzung.
Im Gegensatz zu IPSec und MACSec schützt die Layer-1-Verschlüsselung den gesamten Nutzerverkehr.
Vergleich der Verschlüsselung auf Layer 1, 2 und 3
Mobile Mitarbeiter und IoT-Geräte verbinden sich oft über nicht vertrauenswürdige öffentliche IP-Netzwerke mit der Unternehmens-IT oder der Cloud. Diese VPN-Anbindung wird üblicherweise mit IPSec gesichert. Für große und mittelgroße Unternehmensstandorte ist Ethernet das bevorzugte Protokoll, wodurch MACSec die effizienteste Methode zum Schutz der Zugangsverbindung ist. Optische Verschlüsselung auf Layer 1 wird zwischen großen Standorten wie Rechenzentren, Core-Routing-Standorten oder Unternehmenszentralen eingesetzt. Die Verschlüsselung der Zugangsverbindung wird durch einen robusten Perimeterschutz ergänzt, um umfassende Sicherheit zu gewährleisten.
Ein einziger Verschlüsseler auf einer unteren Netzwerkschicht kann den aggregierten Datenverkehr vieler Verbindungen auf höheren Schichten schützen, was im Vergleich zur Sicherung einzelner Verbindungen eine kosteneffizientere Lösung darstellt. Allerdings wird bei dieser Methode der letzte Hop vom Aggregator zum Endpunkt der individuellen Verbindung nicht gesichert. Deshalb muss dieser letzte, ungeschützte Abschnitt innerhalb eines gut geschützten Perimeters liegen.
Die Layer-1-Verschlüsselung ist die bevorzugte Lösung für Betreiber von Glasfasernetzen, die eine begrenzte Anzahl großer Standorte mit unterschiedlichen Protokollen verbinden müssen. Dieser Ansatz ist unter anderem für Anbieter von Content-Diensten oder für Versorgungs-Unternehmen wie beispielswiese Energieversorger interessant.
Verschleierung des Nutzerverhaltens
Im Gegensatz zu IPSec und MACSec schützt die Layer-1-Verschlüsselung den gesamten Nutzerverkehr, einschließlich IP- und MAC-Adressen, und verbirgt damit alle Metadaten vor potenziellen Abhörern. Dies bedeutet, dass Angreifer keine Informationen über Kommunikationsmuster oder über Beziehungen zwischen den angeschlossenen Benutzern und Anwendungen erlangen können. Die Unsichtbarkeit solcher Verkehrsmerkmale bietet erhebliche Vorteile für hochsichere und unternehmenskritische Prozesse.
Zertifizierungen und Genehmigungen
Sicherheit basiert auf Vertrauen. Zertifizierungen und Zulassungen durch angesehene, akkreditierte Organisationen und staatliche Stellen sind im Hochsicherheitsmarkt unerlässlich. Verschlüsselte Layer-1-Lösungen müssen FIPS-zertifiziert und im Falle von Anwendungen im Regierungs- und Verteidigungsbereich für den Transport von Verschlusssachen zugelassen sein. Solche Zulassungen werden von staatlichen Behörden wie beispielsweise dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgestellt.
Zusammenfassung
Einsatzkritische Anwendungen erfordern eine sichere Kommunikation. Die Verschlüsselung kann auf verschiedenen Netzwerkschichten implementiert werden, die jeweils spezifische Vorteile bieten. Die Verschlüsselung auf Layer 1 ist die optimale Lösung für den Schutz von Standorten, die eine hohe Bandbreite oder sehr geringe Latenz benötigen. Die optische Verschlüsselung ermöglicht auch eine Verschleierung von Metadaten sowie Multiprotokollfähigkeit. Mit OTN lässt sich die optische Verschlüsselung leicht in standardisierte, gängige Netzwerktechnologie integrieren. Zu den wichtigsten Anwendungen gehören sichere Verbindungen zwischen Rechenzentren und Speichernetzwerken sowie Netzwerke für hohe Bandbreiten im Hochsicherheitssegment wie beispielsweise in den Bereichen Verteidigung, Behörden und kritische Infrastruktur.
Adva Network Security bietet ein Portfolio an Layer-1-verschlüsselten DWDM-Lösungen, die vom BSI für den Transport klassifizierter Daten bis VS-NfD und VS-V zugelassen sind.