Pfeilschnell abhörsicher in die Cloud: Ethernet-Verschlüsselung made in Germany Dipl.-Betriebswirt(FH) Stephan Lehmann Produktmanager
Pfeilschnell abhörsicher in die Cloud: Ethernet-Verschlüsselung made in Germany ı Positionsbestimmung Cloud ı Spezialfall Co-Location ı Virtualisierung und Backup ı Leitungen können einfach angezapft werden ı Verschlüsselung ı Rohde & Schwarz SIT 09.10.2013 Pfeilschnell abhörsicher in die Cloud 2
Positionsbestimmung Cloud, Rechenzentrum, Co-Location ı Public Cloud Kostengünstige Anwendungen ( Apps ) Verarbeitung der Daten in Hoheit (unbekannter) Dritter ı Rechenzentrum (Hosting, Private Cloud) Vertraglich zugesicherte Rechenleistung Verarbeitung der Daten durch eigenes RZ oder Dienstleistungs-RZ ı Co-Location Center Vertraglich zugesicherter Schrankplatz Verarbeitung der Daten durch eigenes Equipment 09.10.2013 Pfeilschnell abhörsicher in die Cloud 3
Spezialfall Co-Location: Alter Wein in neuen Schläuchen? ı Rechenzentrum vermietet Server; Co-Location Center vermietet Serverschränke Kunde A Kunde B ı Zutrittskontrolle durch abgeschlossene Käfige ı Breitbandige Anbindung der Kunden bis in den Käfig Käfig A Käfig B Energy/Utilities Co-Location Center Stromanbieter 09.10.2013 Pfeilschnell abhörsicher in die Cloud 4
Können virtuelle Maschinen brennen? Brandabschnitte und Geo-Redundanz ı Ziel von Informationssicherheit: Verfügbarkeit Vertraulichkeit Integrität ı Virtualisierung unterstützt die Hochverfügbarkeit, denn virtuelle Maschinen können flexibel innerhalb eines Netzsegments auf verschiedenen Hosts gestartet werden ı Höhere Verfügbarkeit erfordert physische Aufteilung des Netzsegments in Brandabschnitte (innerhalb eines Gebäudes), eventuell mit Geo-Redundanz ı Vertraulichkeit und Integrität muss bei der Aufteilung gewahrt werden 09.10.2013 Pfeilschnell abhörsicher in die Cloud 5
Ein Kabel zwei Carrier Dienste Managed IP (IP MPLS) Router, Layer 3 Geringe bis mittlere Datenraten Managed Service Hohe QoS Viele Standorte Carrier Ethernet (ELAN, GigE) Switch, Layer 2 Mittlere bis hohe Datenraten Self-managed, vollständige Kontrolle Hohe QoS Einige Standorte mit hoher Bandbreite 09.10.2013 Pfeilschnell abhörsicher in die Cloud 6
Quelle http://www.heise.de/newsticker/meldung/bericht-gchq-schoepft-deutsches- Internet-am-Ueberseekabel-ab-1895776.html Quelle http://www.alarm.de/glossar/g/glasfaserkabelnichtabhoersicher/ 09.10.2013 Pfeilschnell abhörsicher in die Cloud 7
Kommunikationssicherheit durch Verschlüsselung IP-VPN und L2 VPN L2 VPN (Ethernet) IP VPN 7 Application Layer Data 4 Transport Layer UDP data UDP header 3 Network Layer IP data IP header 2 Data Link Layer Payload Frame header 09.10.2013 Pfeilschnell abhörsicher in die Cloud 8
Mehr Bandbreite durch Ethernet-Verschlüsselung Aufteilung IP-Pakete nach Größe ( IMIX Traffic ) Größe Anzahl 40 Byte 7 576 Byte 4 1500 Byte 1 09.10.2013 Pfeilschnell abhörsicher in die Cloud 9
Profi-Equipment für Verschlüsselung Umfassende Sicherheitsfunktionen ı Starke Authentisierung Wissen und Besitz Gerät-Gerät, Gerät-Server, Server-Gerät, Administrator-Gerät, Administrator-Server ı Rot-Schwarz-Trennung (Kein Krypto-Umgehung) Sensible unverschlüsselte Daten werden nicht mit verschlüsselten Daten vermengt Physische Trennung durch unterschiedliche Leitungen bzw. Stecker innerhalb des Gerätes ı Physischer Manipulationsschutz Physischer Zugriff auf das Gerät (z. B. Öffnungsversuche) führen zum Notlöschen ı Sitzungsschlüssel Durch echten Hardware-Zufallszahlengenerator Für Punkt-zu-Punkt- sowie für Gruppenschlüssel 09.10.2013 Pfeilschnell abhörsicher in die Cloud 10
Rohde & Schwarz SIT Sicherheitspartner der Bundesrepublik Deutschland R&S SITLine ETH Ethernet-Verschlüsseler TopSec Mobile Verschlüsselung für iphone und Android R&S CryptoServer Deutschland-HSM für den neuen Personalausweis Sichere Identität Berlin- Brandenburg www.sichereidentitaet-bb.de 09.10.2013 Pfeilschnell abhörsicher in die Cloud 11
09.10.2013 Pfeilschnell abhörsicher in die Cloud 12