SSL-Datenverkehr im Rechenzentrum nur mit Load Balancer

5 Tipps für Datacenter-Sicherheit ohne Performance-Verlust

| Autor / Redakteur: Frank Mild* / Ulrike Ostler

Die richtigen Tools verhelfen auch dem sicheren Datenverkehr zu einer besseren Performance; dazu gehören laut Frank Mild von von Avi Networks Load Balancer im Rechenzentrum.
Die richtigen Tools verhelfen auch dem sicheren Datenverkehr zu einer besseren Performance; dazu gehören laut Frank Mild von von Avi Networks Load Balancer im Rechenzentrum. (Bild: gemeinfrei: kpr2/ Pixabay / CC0)

Datenverkehr gehört verschlüsselt. In Zeiten des Internet of Things, der Industrie 4.0 und des mobilen Internets kommen Unternehmen um SSL & Co. nicht mehr herum. Netzwerkadministratoren und Sicherheitsverantwortliche in Rechenzentren stellt das höhere SSL-Datenaufkommen allerdings vor Herausforderungen: Wie lassen sich Sicherheit und Netzwerk-Performance in Einklang bringen?

Angesichts zunehmender Bedenken in puncto Datenschutz und Cyber-Kriminalität steigt verschlüsselter Datenverkehr exponentiell an: Apps, die mit einem Server kommunizieren, Online-Medien, die ihre Seiten ausschließlich verschlüsselt ausliefern, oder klassische Anwendungen wie Online-Banking und -Shopping. Sie alle setzen zunehmend auf Secure Sockets Layer (SSL) beziehungsweise Transport Layer Security (TLS), um den Datenverkehr zwischen Client und Rechenzentrum abzusichern.

Sogar der Netflix-Film am Abend gelangt nur über eine verschlüsselte Verbindung auf das heimische TV-Gerät. Und demnächst wird das Europäische Parlament darüber abstimmen, ob eine Ende-zu-Ende-Verschlüsselung bei Internet-Kommunikation Pflicht wird. Netzwerk-Profis wissen jedoch: Ein Plus an Sicherheit geht in der Regel auf Kosten der Performance.

SSL-Termination mithilfe von Web- oder Applikations--Servern

Technisch läuft der Vorgang folgendermaßen ab: In Einsatzbereichen mit wenig Datenverkehr übernimmt der Web- oder Applikations--Server meist die so genannte „SSL-Termination“, das Ver- und Entschlüsseln. Bei mittleren bis großen Anwendungen bietet es sich allerdings an, die teuren Rechenkapazitäten der Web- und Applikations-Server zu entlasten, um weder in die Kostenfalle zu tappen noch die Anwender mit extrem langsamen und abbrechenden Verbindungen zu verärgern.

Moderne verteilte Architekturen in Unternehmen von heute: Nach Ansicht des Autors ermöglichen “Software-defined” Load Balancer Automatisierung, liefern Analysen und schaffen Transparenz.
Moderne verteilte Architekturen in Unternehmen von heute: Nach Ansicht des Autors ermöglichen “Software-defined” Load Balancer Automatisierung, liefern Analysen und schaffen Transparenz. (Bild: Avi Networks)

Eine mögliche Alternative zur SSL-Terminierung auf dem Server sind Load Balancer – schon allein wegen ihrer Position im Netzwerk direkt vor den Anwendungs-Servern. Sie entschlüsseln den SSL-Datenverkehr und geben ihn anschließend unverschlüsselt an die dahinter liegenden Server weiter. Zudem verschlüsseln sie die vom Server kommenden Daten, bevor sie diese durch das Internet an den Nutzer ausliefern.

Dieses so genannte SSL-Offloading entlastet die Web- und Applikations-Server, die sich so uneingeschränkt ihrer eigentlichen Aufgabe widmen können. So kann man mehr Nutzer mit weniger Servern bedienen und ein steigendes Aufkommen an verschlüsselten Inhalten verarbeiten, ohne dabei die Leistungsfähigkeit geschäftskritischer Anwendungen zu beeinträchtigen.

Folgende fünf Punkte sind wichtig für eine sichere, performante SSL-Strategie:.

1. Perfect Forward Secrecy und Elliptic Curve Cryptography (ECC): kleinerer Schlüssel für gleiche Sicherheit

Reine Verschlüsselung reicht heute nicht mehr aus, wenn nicht auch der Schlüssel regelmäßig geändert wird. Das zeigen aktuelle Entwicklungen im Bereich Cyber-Spionage und Sicherheitslücken wie der berühmte „Heartbleed“-Bug. So erstellen beispielsweise Client und Server während eines SSL-Handshake einen symmetrischen Session Key und tauschen ihn aus.

Dieser Schlüssel wird dazu verwendet, die in der jeweiligen Session ausgetauschten Daten zu verschlüsseln. Ist jedoch der private Schlüssel eines Servers kompromittiert, können Hacker an Session Keys gelangen, die bei früheren Verbindungen zum Einsatz kamen. Damit sind nicht nur aktuelle Sessions von einem möglichen Angriff bedroht, auch Daten aus längst vergangenen Übertragungen sind plötzlich gefährdet.

Hier setzt die Kryptotechnik Perfect Forward Secrecy (PFS) an. PFS generiert „kurzlebige” Schlüssel, die jeweils nur für diese eine Session gültig sind. Dadurch stellt PFS sicher, dass Daten aus vorherigen Sessions nicht kompromittierbar sind, auch wenn ein Angreifer an den privaten Schlüssel eines Servers gelangt.

Bestmöglichen Schutz bietet PFS mit TLS in Version 1.2 und dem Diffie-Hellman-Schlüsselaustausch (DHE) mit ECC. Elliptic Curve Cryptography ist deutlich performanter als die herkömmlichen RSA-basierten Schlüssel. Ein 256-Bit-ECC-Schlüssel entspricht der Sicherheitsstufe eines 3072-Bit-RSA-Schlüssels. Je kleiner der Schlüssel, desto weniger Rechenleistung benötigt die Entschlüsselung und entsprechend mehr SSL-Verbindungen können verarbeitet werden.

2. Kostenersparnis durch Software-defined Load Balancing

Web-Größen wie Google und Amazon nutzen kostengünstige Standard-Intel-x86-Server als Basis für ihre zuverlässigen und hochverfügbaren Applikationsservices. Der Webscale-Trend setzt sich auch in kleineren Unternehmen fort, die beispielsweise zunehmend auf Software-Load-Balancer auf Basis von Standard-Intel-x86-Servern setzen – und dadurch ebenfalls von deren gutem Preis-Leistungs-Verhältnis profitieren.

So können Software-Load-Balancer zum Beispiel auf einem kleinen Standard-Intel-x86-Server bereits mehr als 2.500 SSL-Transaktionen pro Sekunde (TPS) terminieren. Auf einem Intel-x86-Server mit 36 Prozessorkernen sind sogar fast 75.000 SSL-TPS möglich. Im Vergleich zu hardwarebasierten Load-Balancing-Lösungen lassen sich die Kosten mit einem Software-Load-Balancer bei gleicher Leistung bis auf ungefähr ein Zehntel senken.

3. Per-App Load Balancing und horizontale Skalierung

Unter dem Aspekt der Investitionssicherheit ist zudem „Per-App Load Balancing” interessant. Viele Unternehmen investieren alle paar Jahre in ein neues, leistungsstärkeres Gerät, das dann mehrere Anwendungen beschleunigt. Software-Load-Balancer hingegen steigern die Leistung jeweils einer dedizierten Anwendung und lassen sich individuell nach Bedarf dimensionieren. In Kombination mit einer zentralen Verwaltung können Unternehmen und Cloud-Anbieter so die Last für die Terminierung von immer mehr SSL-Datenverkehr auf optimal positionierte und dimensionierte Load Balancer verteilen, was die Betriebskosten senkt.

Ein weiterer Vorteil für Unternehmen ist, dass sie ihre Load-Balancing-Services durch eine dynamische Aktivierung automatisch skalieren können. Die zusätzlichen Load Balancer erhöhen die Verfügbarkeit und Performance von Anwendungen genau an den Punkten, wo die Nutzung am höchsten ist.

Mithilfe von Analytics-Funktionen lassen sich Schwachstellen erkennen und beheben.
Mithilfe von Analytics-Funktionen lassen sich Schwachstellen erkennen und beheben. (Bild: Avi Networks)

4. Zentrales Management für Hybrid-Cloud-Umgebungen

Neue softwarebasierte Ansätze für Netzwerkdienste auf Layer 4-7 ermöglichen die Bereitstellung von Anwendungsdiensten wie Load Balancing, Applikationssicherheit und Analytics mit einer zentralisierten Verwaltung. Einzelne Load Balancer sind in einer solchen Architektur mit einer zentralen Orchestrierungs-Engine verbunden, die ihren Lebenszyklus kontrolliert und dem Administrator gleichzeitig Einblick in und Kontrolle über die gesamte Installation gewährt.

Eine zentrale Verwaltung vereinfacht zudem das Management der Verschlüsselungszertifikate. Außerdem kann der Administrator durch den Einsatz spezifischer TLS-Profile sicherstellen, dass ausschließlich diejenigen Chiffren zum Einsatz kommen, die die Kollegen der Security-Abteilung genehmigt haben. Eine zentrale Verwaltung ermöglicht somit die Bereitstellung durchgängiger Security-Services für SSL-Termination, DDoS-Protection und eine Zugangskontrolle auf Layer 4 bis 7 in verteilten Private- und Public-Cloud-Umgebungen.

Die richtige Sotware erlaubt es, Performance von Anwendungen, eingehende Verbindungen und Nutzerverhalten sichtbar zu machen.
Die richtige Sotware erlaubt es, Performance von Anwendungen, eingehende Verbindungen und Nutzerverhalten sichtbar zu machen. (Bild: Avi Networks)

5. Sicherheit und Analysen in Echtzeit

Da die Daten vom Anwender zur Applikation direkt durch den Load Balancer fließen, können sie in Echtzeit ausgewertet werden. Dies wiederum ermöglicht es, Administratoren sofort über potenzielle Schwachstellen inklusive vom Client genutzter TLS-Versionen, abgelaufener Zertifikate und möglicher DDoS-Angriffe zu informieren. Zudem können sie sicherstellen, dass Security Policies eingehalten werden.

Die aktuellen Entwicklungen zeigen, dass künftig immer mehr Daten ihren Weg verschlüsselt durch das Internet finden werden. Gerade Rechenzentrumsbetreiber und Cloud-Anbieter müssen deshalb bei der Verarbeitung von SSL-/TLS-Verbindungen umdenken.

Load Balancer sind heute ein immer wichtiger werdendes Rädchen im IT-Sicherheitsgetriebe von Unternehmen. Bisher konnten steigende Anforderungen an die Anwendungsperformance bei gleichzeitig sicherer Datenübertragung oft nur durch Investition in neue, leistungsfähigere und meist völlig überdimensionierte Load-Balancing-Hardware bewältigt werden. In Zukunft ist das nicht mehr nötig.

* Frank Mild ist Director Central Europe bei Avi Networks.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44857984 / Software)