Security in der Cloud

Angesichts der Tatsache, dass immer mehr Anwendungen und somit auch deren Daten in der Cloud abgelegt werden, stellt sich immer dringlicher die Frage nach der Sicherheit für Applikationen und vor allem die der Daten selbst. Bei Applikationen die mittels einer Public Cloud zur Verfügung gestellt, greifen die herkömmlichen Maßnahmen zur Absicherung nicht mehr und im besten Fall sind diese nur unzureichend. Daher braucht diese Art der Bereitstellung von Services auch eine andere IT Security. Aus diesem Grund muss ein Umdenken stattfinden und es müssen neue Methoden einzug in die Aufgaben und Arbeitsweisen der Administratoren halten um sich gegen die Cloud abzielende Cyber Attacken zu wehren.

Dass das Cloud Computing in seinen Grundsätzen völlig anders funktioniert, sollte jedem klar sein, der dieses benutzt. Das Cloud Computing bildet nur das gewohnte Verständnis eines Rechenzentrums abstrahiert ab und das noch wesentlich Abstrakter, als es zum Beispiel VMware & Co tun. Dienste und andere Ressourcen sind nicht mehr zwingend einzelnen Rechenzentren oder gar Systemen und Segmenten zugeordnet, was sich ganz deutlich im Serverless Computing, wie zum Beispiel bei den Containern zeigt. Daten liegen in Regionen bzw. über diese Verteilt und diese Regionen existieren nur als Definition der Cloud Anbieter selbst. Von außen betrachtet sieht es wie ein “normales” Rechenzentrum aus, in dem die Systeme und Daten sich befinden, nur ist es genau das in Wirklichkeit nicht. Diese eigene kleine virtuelle Welt der Systeme und Daten ist eben genau dass, eine virtuelle Umgebung, die der Anbieter als solche so darstellt, die aber nicht so funktioniert, wie man es vielleicht von der eigenen vSphere Umgebung kennt. Grundsätzlich ist es natürlich richtig, es so darzustellen, wie sollte man sonst eine für die IT Abteilung administrierbare Welt der Wirklichkeit erschaffen und daher ist es auf keinen Fall falsch diese Art der Darstellung zu wählen. Um aber ein Verständnis der daraus resultieren Anforderungen für die Sicherheit zu bekommen, ist es wichtig zu wissen, dass man zwar das herkömmliche sieht, aber es unter dieser Abstraktionsebene völlig anders ist, was auch genau der Grund dafür ist, dass herkömmliche Ansätze zur IT Sicherheit in der Cloud eben nicht genauso funktionieren. Wer sich dessen Bewusst ist, muss also bei der IT Sicherheit in der Cloud neue Wege gehen und andere Lösungen finden um seine dort betriebenen Applikationen und Daten entsprechend abzusichern. Als erstes muss einem klar sein, dass der Anbieter den Betrieb der Instanzen sicherstellt und sich natürlich darum kümmert, dass seine Infrastruktur sowohl einen zuverlässigen als auch einen, im Sinne der IT Sicherheit, sicheren Betrieb bereitstellt. Aber dann hört es auch schon mehr oder weniger auf, danach liegt wieder alles beim Kunden, genauso wie im eigenen Datacenter. Der Betreiber einer Instanz muss sich um dessen Sicherheit selbst kümmern und auf diesem Hintergrund beginnt das Thema der IT Sicherheit in der Cloud.

Diese Absicherung fängt schon bei der Speicherung der Daten an. Hier ist es ganz besonders wichtig von Anfang an auf Verschlüsselung zu setzen, denn man ist in der Cloud nicht unbedingt alleine auf der Physik darunter. Im Zweifel ist immer davon auszugehen, dass ein anderer “Kunde” sich nicht so verhält wie man es sich wünschen würde. Daher ist es sehr wichtig, dass die Daten verschlüsselt abgelegt werden. Die Cloud Anbieter haben entsprechendes im Portfolio. Hier muss man dann entscheiden, ob man dem Anbieter vertraut, und dessen Verwaltung der Schlüssel nutzt oder ob man am besten in Colocations eigene Systeme zur Verwaltung der Schlüssel betreibt. In diesem Fall ist der Cloud Anbieter nicht im Besitz der Schlüssel selbst. Das ist schon mal die erste Entscheidung die es zu treffen gilt.

Eine weitere Entscheidung ist die, wie man die Zugriffe auf die Ressourcen absichern möchte. Hier gibt es so zu sagen zwei Ebenen, die Netzwerkebene und die Ebene des Benutzers. Es gibt nicht ohne Grund von allen Enterprise Anbietern entsprechende Cloud Versionen ihrer Firewalls, mit den gleichen Funktionen, mit denen man auch seine On Premises Anwendungen schützt. Weiter geht es dann mit der Absicherung des Zugriffs selbst. Als einen der häufigsten Vertreter ist hier https zu nennen, mit all den Fallstricken, die es auch bei dessen Absicherung gibt. Dann gibt es da noch die Ebene der Anwender selbst, hier gilt es sicherzustellen, dass man den Zugriff auch nur den gewünschten Anwendern gewehrt, Identity Management, Multi-Faktor-Authentifizierung, Access Management, um nur wenige zu nennen. Die Anforderungen an die IT Sicherheit in der Cloud sind ähnlich aber eben nicht gleich oder identisch mit denen einer Colocation oder On Premises. Daher ist es wichtig, die Sicherheit in der Cloud neu zu überdenken und zu verstehen, dass eine Cloud eben anders ist.

Die Funktionen in der Cloud sind da, die Hersteller haben entsprechende Produkte in ihren Portfolios, die nicht nur die Default Security Produkte umfassen, sondern auch spezielle Systeme um Anomalien in der eigenen Cloud Instanz zu erkennen und um dann auch entsprechend handeln zu können.

Als Betreiber ist man in der Verantwortung und kein anderer und schon gar nicht der Cloud Anbieter selbst, denn wer eine Instanz betreibt muss sich auch um die Sicherheit kümmern. Das ist eine der Herausforderungen die der Weg in die Cloud für uns bereit hält. Dieser Beitrag soll nicht als Anti-Cloud verstanden werden, sondern will den Anstoß geben, sich dem Thema IT Sicherheit in der Cloud anzunehmen und helfen den Blick für die Unterschiede zum Gewohnten zu schärfen. Grundsätzlich ist ja der Weg in die Cloud nicht per se schlecht, es gilt die richtigen Fragen zu stellen und die Optionen objektiv zu bewerten, mit allem was dazugehört und dazu zählt im Besonderen die Sicherheit der Daten und Anwendungen.

Wie immer, wenn Sie Fragen zum Thema haben, sprechen Sie uns an.

 

Crypto Wars – mal wieder

Nach dem das Innenministerium unter Horst Seehofer mal wieder gegen Verschlüsselung vorzugehen will, sind es dieses mal die Messenger, die ins Visier genommen werden sollen. Die Ende-zu-Ende Verschlüsselung stört den Minister. Zwar wurde zwischenzeitlich wieder etwas zurückgerudert, aber ob das Thema wirklich vom Tisch ist weiterhin fraglich und somit ist es wichtig es auch weiterhin im Fokus zu behalten. Nachgedacht worden ist nicht wirklich, denn es stellt sich wieder die gleiche Frage, wie bei all den Diskussionen, bei denen es um die Schwächung oder die Aushebelung von Verschlüsselung geht: Wie dumm muss man eigentlich sein, anzunehmen, dass wenn man Verschlüsselung absichtlich schwächt oder entfernt, dass dies nicht auch durch Dritte, wie Cyber Kriminelle oder Nachrichtendienste andere Staaten ausgenutzt wird?!

Grundsätzlich ist jede Form von absichtlicher Schwächung oder Beeinträchtigung bei Verschlüsselungstechnologien als grob fahrlässig und als eine Gefahr für die nationale Sicherheit des Landes einzustufen. Es ist absurd und abenteuerlich wie das Innenministerium hier agiert. Offensichtlich wird dort auch nicht verstanden, was Ende-zu-Ende Verschlüsselung ist und warum es wichtig ist, dass bei einer einem solchen Verfahren der Anbieter selbst keine Inhalte von der Kommunikation sieht, sondern nur die beiden Kommunikationspartner sicher und vertraulich miteinander kommunizieren können. Aber es reicht scheinbar nicht, dass unsere IT Infrastrukturen tagtäglich massiven Cyber Angriffen ausgesetzt sind, muss nun das Innenministerium dem noch eins drauf setzen und wieder mal einen Angriff auf Verschlüsselungstechnologie starten. Die Aufgabe des Innenministerium wäre eigentlich doch genau das Gegenteil, die Bürger, die Einrichtungen, die Unternehmen und die Infrastruktur des Landes insbesondere gegen Cyberangriffe zu schützen. Der Weg muss ein deutliches Mehr an Verschlüsselung sein und nicht weniger. In der digitalen Agenda sollte Deutschland zum Verschlüsselungs Standort Nummer Eins werden, mit solchen Ideen werden wir eher zur Lachnummer in der Welt. Auf den einzelnen bezogen ist dies nicht weniger als ein staatlicher Angriff auf seine Privatsphäre, seine Bürgerrechte und seine und die allgemeine IT Sicherheit als solches. Es ist einfach nur unglaublich, wie ignorant das von Horst Seehofer geführte Innenministerium hier vorgeht und die seit Jahren und nun wieder aktuell von Experten vorgebrachten Warnungen und aufgezeigten Gefahren absichtlich ignoriert und somit selbst eine Gefahr für die IT SIcherheit in Deutschland wird. Es mag ja sein, dass sich auch Kriminelle durch Verschlüsselung den Verfolgungsbehörden entziehen wollen, aber dies ist der Preis den wir alle gerne bezahlen sollten, damit unsere digitale Souveränität nicht gefährdet, unsere Daten und Kommunikation vor Dritten sicher ist. Wer hier leichtfertig das ganze Land mit all seinen Bürgern in eine solche Gefahr bringen will, hat zum einen rein gar nichts von der digitalen Welt verstanden und ist somit im Grunde genommen, man muss es leider sagen, völlig fehl am Platz.

In einer Welt, in denen es Staaten nur noch um ihren eigenen Vorteil ohne Rücksicht auf andere geht und ohne Rücksicht auf die eigenen Bürger Handelskriege vom Zaun gebrochen werden ist es doch nur noch eine Frage der Zeit bis Daten ebenso in Geiselhaft zur Erpressung von Zugeständnissen für den eigenen Vorteil genutzt werden. Das ist ja nicht neu, seit Snowden ist es ja sogar bewiesen, wie hier agiert wird, in den meisten Fällen geht es um wirtschaftliche Vorteile und um nichts anderes. Das bedeutet im Umkehrschluss, dass die eigenen digitale Souveränität so gut wie möglich geschützt werden muss und nicht überlegungen des Gegenteils angestellt werden sollten. Daten als solches gewinnen immer mehr an wirtschaftlicher Bedeutung und wer nicht in der Lage ist, seine Daten und die eigene Kommunikation zu schützen, wird gegen rücksichtslos handelnden Akteuren verlieren. Das jüngste Beispiel sind hier die angeblichen Cyber Attacken gegen den Iran, ob bewiesen oder nicht, solche Angriffe haben, siehe Stuxnet und werden weiter stattfinden.  Daher ist es völlig realitätsfremd und blauäugig alleine schon laut darüber nachzudenken, jedwede Verschlüsselung zu schwächen und damit Tür und Tor für die Angriffe Dritter zu öffnen. Eine freie und rechtsstaatliche Gesellschaft ist gerade prädestiniert dafür den Weg einer durch Kryptografie gesicherten Kommunikation und geschützten Daten in einer digitalisierten Welt aufzuzeigen. Wer die digitale Agenda ernst nimmt, sollte alles in seiner Macht stehende tun unser Land hier voranzubringen, denn in vielen anderen Technologien der Digitalisierung sind es andere die uns weit voraus sind. Im Grunde genommen geht es bei dies allem um noch viel mehr, hier geht es um Grundrechte und die IT Sicherheit eines ganzen Landes als solches. Wer nicht in der Lage ist, vertraulich zu kommunizieren, kann auch keine vertraulichen Informationen austauschen und wer nicht in der Lage ist Informationen vor Dritten geschützt durch Kryptografie zu speichern oder zu verarbeiten ist vollkommen schutzlos in der digitalen Welt mit all ihren Cyber Angriffen. Aber wenn dass das Ziel ist, die Bürger ohne geeigneten Schutz den allgegenwärtigen Gefahren der digitalen Welt auszusetzen, macht ein solcher Kurs auf jeden Fall Sinn, zwar nicht für die eigenen Bürger aber für alle anderen, da es ja geradezu eine Einladung an alle Cyber Kriminellen, Wirtschaftsspionage & Co. ist. Wahrscheinlich können sie das Lachen über so ein dummes Verhalten gar nicht mehr zurückhalten. Eigentlich weiß man gar nicht recht, was man zu so wenig Kompetenz der Verantwortlichen in der eigenen Regierung schreiben soll, mit einer Weitsicht von der Tape bis zur Wand.

salutec wechselt zu Nextcloud

Nach der langjährigen Nutzung von Seafile haben wir zu Nextcloud als Plattform für den Austausch von Daten gewechselt. Die Nextcloud Applikation ist neuer, moderner und aktueller, wohingegen Seafile leicht in die Jahre gekommen ist und es Nextcloud als offiziellen Container gibt. Trotzdem ist Seafile eine nach wie vor gute Wahl, wenn nur der Austausch von Dateien benötigt wird.

Technologisch ist das auf Python basierende Seafile mit seinen getrennten Diensten gut aufgebaut und bot zu seiner Zeit ein durchdachtes Update Konzept. Jedoch ist jedes Produkt ohne eine entsprechende und erkennbare Weiterentwicklung irgendwann überholt, vor allem dann, wenn es alternative Plattformen gibt die ebenfalls OpenSource sind und auch selbst betrieben werden können. Einer dieser Alternativen ist Nextcloud, eine moderne Webapplikation mit modularem Konzept und als offizielles Docker Image erhältlich. Durch die Container Basis rückt das Update Konzept etwas in den Hintergrund, da dieses durch die Container Images übernommen wird. Ein offizielles Docker Image fehlt bei Seafile bis heute, was sich somit auf die flexibilität der Basis im Datacenter auswirkt.

Unabhängig von der Plattform sollte sich jeder, der Daten mit anderen austauscht Gedanken machen, wie dies entsprechend sicher gestaltet werden kann. Ob man dazu öffentliche Cloud Dienste einsetzen möchte oder nicht, muss jeder für sich selbst entscheiden, zumal es entsprechenden Alternativen zu den großen Cloud Anbietern gibt. Anwendungen wie ftp sind Grundsätzlich keine Option mehr und es ist wirklich an der Zeit, dass ftp endlich verschwindet. Zu beginn des für die Allgemeinheit aufkommenden Internets mag ftp das schnellere Protokoll gewesen sein, aber diese Zeiten sind schon lange vorbei, http ist “das” Protokoll im Internet, natürlich mit der passenden Verschlüsselung die ftp gänzlich fehlt. Unabhängig den Versuchen ftp durch ftps abzusichern, haben sich die Datenaustauschplattformen auf Basis von https etabliert und die Anwender sind es gewohnt damit umzugehen. Eine Applikation muss heute im Browser funktionieren und da ftp überholt ist, schmeißen die Browserhersteller das Protokoll auch in den zukünftigen Versionen raus. Die aktuellen Versionen der Browser sind wohl die letzten, die ftp noch unterstützen. Es ist also ratsam, sich der aktuellen Zeit anzupassen und auf moderne und entsprechend sicher verschlüsselte Technik zu setzen. Eigentlich sollte es schon mit dem BDSG normal sein, Daten verschlüsselt zu übertragen und spätestens mit der DSGVO selbstverständlich geworden sein. Aber da gibt es immer noch ein paar unbelehrbare Betreiber, denen selbst STARTTLS beim MTA noch fremd ist, obwohl es das schon seit mehr als 10 Jahren gibt – aber das ist ein anderes Thema.

Unsere Wahl für den Einsatz der Nextcloud hatte mehrere Gründe. Wie schon erwähnt, war das zur Verfügung stehen eines offiziellen Container Images ein sehr wichtiger Punkt bei der Auswahl der Lösung, wie auch der neueste technische Stand der Anwendung mit ihrem Modulkonzept. Aber auch die Basis auf OpenSource, die Einhaltung der DSGVO und es selbst hosten zu können, brachten entsprechende Pluspunkte bei der Entscheidung. Weiter kam hinzu, dass einige Kollegen Nextcloud im privaten Bereich selbst einsetzen und somit sich entsprechend positiv dazu geäußert haben. Da wir selbst über Datacenterressourcen am Standort Frankfurt zur Verfügung, war es für uns nicht weiter aufwändig die Applikation in Eigenregie online zu bringen. Vom Start weg zeigte sich die Nextcloud Anwendung im Container als zuverlässig und schnell. Die Wartbarkeit dieser Lösung durch die Container Images ist sehr gut und ermöglicht eine Abstraktions zum Betriebssystem selbst. Als Reverse Proxy, wie beim Seafile auch, kommt wieder Nginx zum Einsatz. So ist die Anwendung vom darunterliegenden Betriebssystem losgelöst und macht dieses einfach austauschbar, weil es es keine Abhängigkeit mehr gibt. Die Applikation läuft so, wie es die Entwickler vorgesehen haben, ohne dass das Basisbetriebssysteme bestimmte Voraussetzungen erfüllen muss. Es braucht lediglich die Services um Container laufen zu lassen. Die Einfachheit der Umgebung in Kombination mit den Container Images ermöglicht eine per Script zu steuernde Reproduzierbarkeit der Installation und somit auch eine vollständige Automation.

Nextcloud selbst ist klar strukturiert und bietet eine Vielzahl an Möglichkeiten die Anwendungen an die verschiedenen Wünsche an den eigenen Betrieb anzupassen. Diese Flexibilität wird nicht zuletzt durch das Modulkonzept erreicht. Die Verwaltung ist intuitiv und gut strukturiert, was wiederum die Administration sehr vereinfacht. Grundsätzlich lässt sich die Nextcloud sehr einfach an die eigenen Bedürfnisse anpassen.

Als Fazit lässt sich festhalten, wer eine Plattform für den Datenaustausch sucht, die noch die eine oder andere Möglichkeit an zusätzlichen Funktionen bieten soll, sollte sich Nextcloud auf jeden Fall genauer ansehen. Wer schlicht Dateien austauschen möchte und nicht unbedingt auf Container setzt ist auch mit Seafile gut unterwegs. Die Webapplikation Nextcloud hingegen ist so zu sagen “state of the art”.

 

Zukunftstechnologie Container

Container sind kein Hype oder ein Spielzeug für Nerds, sondern schon längere Zeit ein ernstzunehmendes Thema für reale Workloads und ein Kernelement bei der Automatisierung. So gesehen sind Container für vieles die Zukunft in der IT. Der Betrieb von virtuellen Maschinen (VM) auf einem klassischen Hypervisor ist doch schon längst , wenn auch immer noch eine sehr wichtige, Legacy IT.

Die klassische Virtualisierung wird auch noch weiterhin einen hohen Stellenwert in den Datacentern haben. Dabei spielt es keine Rolle, ob in der Cloud, der Colocation oder On Premises, trotzdem ist es Stand heute eine Legacy IT Technologie, die selbst bei mittelständische Unternehmen schon seit mehr als 15 Jahren im Einsatz ist. Dies wird nicht zuletzt auch daran deutlich, dass die Innovationen bei den Hypervisoren in den letzten Jahren überschaubar geworden sind. Die Technologie ist ausgereift und zuverlässig, aber das sind Container auch. Die Basis für den Betrieb von Containern gibt es ebenfalls schon etwas länger und wurde in 2013 mit Docker populär. Docker hat es geschafft, das Benutzen von Containern so zu verpacken, dass dies für eine breitere Gruppe von Anwendern möglich wurde. Aus dem anfänglichen Hype wurde eine stetige Weiterentwicklung die in eine Zukunftstechnologie mündete und an diesem Punkt sind wir jetzt. Container schicken sich nicht an, die klassischen virtuellen Maschinen oder gar die Technologie der Hypervisor beerben oder gänzlich ablösen zu wollen, aber viele Workloads die bis jetzt als einzelne VM betrieben wurden, werden durch die Container Technologie abgelöst.

Denkt man an die Anfänge der Virtualisierung zurück, ging es um Effizienz und bessere Administrierbarkeit, einfacheres Backup und der Unabhängigkeit von der Hardware, die durch den Hypervisor abstrahiert wird. Die Virtualisierung war für einen großen Innovationsschub und für eine effiziente Nutzung der physikalischen Ressourcen verantwortlich und hat ein großes Ökosystem um sich herum geschaffen. So langsam zeigen sich aber auch die Grenzen dieser Technologie und dabei sind Effizienz, Skalierbarkeit, Portabilität und Automation ist nur einige davon. Selbst kleinere Unternehmen betrieben eine Vielzahl von VM’s in ihren Datacentern. Es ist ja auch grundsätzlich richtig verschiedene Workloads voneinander zu trennen. Damit ist man aber jetzt direkt beim Thema Effizienz, denn mit immer mehr VM’s die jeweils ein eigenes vollwertiges Betriebssystem benötigen, steigt auch der Overhead im Verhältnis zum Workload und den Daten. Hat man nur VM’s ist dieser Weg alternativlos um die Workloads mit ihren verschiedenen Anforderungen zu trennen. Ein Beispiel hierfür sind mehrer PHP Versionen die die Entwicklung parallel benötigt.

Genau hier setzt die Technologie der Container an, sie ist effizient, skalierbar, portabel, flexibel, einfach und lässt sich zudem sehr gut automatisieren. Container virtualisieren nicht die Hardware, wie beim Hypervisor mit seinem VM’s, sondern virtualisieren auf der Ebene des Betriebssystems. Das macht sie schlanker, lässt sie schneller starten und auch nur einen Bruchteil der Ressourcen verbrauchen. Das wird u.a. auch mit dem Multi-Layer Dateisystemen erreicht, die die Technologie der Container mitbringt und die Wiederverwendbarkeit von Images in verschiedenen Containern. Damit sind Container der nächste logische Schritt in der Entwicklung der IT. Das die Technologie der Container funktioniert hat zum Beispiel Google schon längst bewiesen. Google schreibt selbst, dass bei ihnen von Gmail bis YouTube oder die Suche alles in Containern läuft. Jetzt hat nicht jedes Unternehmen eine IT wie Google und darum geht es auch gar nicht. Es zeigt aber auf jeden Fall, dass es für Container keine Grenzen gibt und diese auch für sehr große Workloads geschaffen sind. Für die allermeisten Nutzer von Containern dürften aber Themen wie die einfachere Umsetzung und das Ausrollen von neuen Anwendungen oder Projekten im Vordergrund stehen. Natürlich spielt nicht zuletzt der Umstand der immer wichtigeren Webanwendungen den Containern so zu sagen in die Hände. Bei den mobilen Geräten sind es die Apps und auf dem Desktop ist es der Browser als Schnittstelle zum Anwender, auf den Servern läuft die Webanwendung und das tut sie heute sehr oft im Container. Die omnipräsente Digitalisierung und “die” Cloud basiert mit Sicherheit nicht auf klassischen Client/Server Anwendungen der Vergangenheit und wohl eher auf modernen Applikationen.

Um es noch einmal aufzugreifen, Container haben nicht den Anspruch den Hypervisor oder VM’s obsolet zu machen, im Gegenteil, in vielen Fällen werden die Container auf einem virtuellen Host betrieben. Der Betrieb von virtuellen Container Hosts dürfte für die meisten IT Abteilungen der aktuell sinnvollste Weg zu sein, entsprechende Plattformen für die Entwickler und den Betrieb von Container bereitzustellen. Nur wenige IT Abteilungen werden den Bedarf an physikalischen Farmen für den Betrieb von Containern haben. Dies kann sich zwar in Zukunft einmal ändern, dass im Datacenter aus Gründen der Leistung oder anderer Anforderungen eine physikalische Trennung zwischen den Technologien stattfindet, um so die Workloads je nach Technologie auf der einen oder anderen Farm zu betreiben. Um aber heute einen Einstieg in die Technologie zu bekommen, bietet es sich geradezu an die vorhandenen Ressourcen des VM-Umgebung zu nutzen. Damit wird es natürlich sehr einfach Container zu verwenden, ohne dafür zusätzliche Infrastruktur anzuschaffen. Container bilden für eine Vielzahl von Anwendungsfällen den bessere und effizientere Ansatz und genau so sollte man diese Technologie auch verwenden. Vor allem auch in der Zusammenarbeit mit den Anwendungsentwicklern und ihnen so die Möglichkeit zu geben ihre Anwendungen lokal zu entwickeln und diese dann unter identischen Rahmenbedingungen im Datacenter zu betreiben. Die Verwendung von Container bedeutet aber auch ein Umdenken, nicht nur, weil Container keine VM’s sind und sie daher auch anders verwendet werden müssen, sondern auch, wie in Zukunft Anwendungen ausgerollt und entwickelt werden. Durch den Einsatz von Containern werden die Abläufe schneller, die Wege kürzer und das Deployment einfacher. Es kostet zwar etwas Zeit, sich mit dem Thema zu beschäftigen, aber diese zu Beginn investierte Zeit steht in keinem Verhältnis zu den Vorteilen und der ganz neuen Effizienz durch diese Technologie. Diese Technologie basiert auf vielen Dingen der OpenSource Community und so mancher wird sich vielleicht scheuen, hier nicht auf einen gewohnten Hersteller Support zurückgreifen zu können. Wer dies möchte und auch bei dem Betrieb von Containern auf kommerziellen Support zurückgreifen will, kann dies auch tun. Einer der Marktführer ist Redhat in diesem Bereich mit verschiedenen Plattformen für entsprechende Lösungen. Es gibt auch Lösungen von VMware & Co., Optionen stehen also auch hier zur Verfügung. Bei Fragen zum Thema Container Infrastruktur stehen wir wie gewohnt über die üblichen Kontaktwege zur Verfügung.

[Update]
VMware als auch Microsoft Azure sehen das Potential in den Containern und integrieren Red Hat OpenShift in ihre Umgebungen. Dazu gibt es einen Blog Artikel im vSphere-Blog von VMware und auf Golem zur Verbindung von Red Hat und Azure. Zu Red Hat und deren Produktportfolio und hier insbesondere zum Thema Container Lösungen wird es einen eigenen Beitrag hier im Blog geben.

DoH – DNS over https

Das Vorhaben von Firefox und Chrome in Zukunft die DNS Anfragen an den lokalen Resolvern vorbei per https über wenige zentralen Dienste abzuwickeln birgt mehrere Gefahren und Probleme, die noch nicht beantwortet sind. Bis jetzt gibt es nur wenige Vorteile und auch hier nur in öffentlichen Netzen.

In öffentlichen Netzen und teilweise mit viel gutem Willen im privaten Bereich gibt es aus Sicht des Datenschutzes ein paar Argumente, die für DoH sprechen. Jedoch gerade beim Thema Datenschutz muss aber auch die Frage gestellt werden, was machen die wenigen Resolver, die Stand jetzt von den großen Internet Konzernen betrieben werden, mit all den Anwenderdaten, die sie per DoH zusätzlich bekommen? Es ist zwar jetzt der Weg vom Browser zum Resolver verschlüsselt und kann zum Beispiel durch den Provider nicht eingesehen werden, aber im Gegenzug wissen dafür aber dann US Konzerne welche DNS Anfrage man gesendet hat. Wo jetzt da der Vorteil liegen soll erschließt sich mir irgendwie nicht. Die Frage ist auch im Privaten einfach, habe ich mehr Vertrauen zu Google, Cloudflare & Co. oder zu meinem Provider wie zum Beispiel der Telekom? Was ist mit den Diensten im Heimnetzwerk, die durch den lokalen Router, wie die Fritz!Box, aufgelöst werden? Auch hier wirft die Änderungen im DNS Verhalten der Browser mehr Probleme als Nutzen für den einzelnen Anwender auf. Denn viele Anwender die automatisch ihren Browser aktualisieren und diese Funktion sich automatisch ab einer kommenden Version einschaltet, wird den Zusammenhang der dann auftretenden Probleme im Heimnetz ab diesem Zeitpunkt wirklich vor Probleme stellen.

In Bezug auf Firmennetzwerke halte ich die Idee der Browser Entwickler salopp gesagt für Schwachsinn. Die DNS Dienste in Firmennetzwerken sind ein filigranes und empfindliches Gebilde, welche über die Jahre entsprechend gewachsen ist. Teilweise gibt es dort hochkomplexe Split-DNS Konfigurationen, die das Funktionieren der internen und externen Dienste für den Anwender garantieren und jetzt nehmen sich die Entwickler der Browser heraus es bestimmen zu wollen welcher DNS Resolver ein Browser fragen soll und sich nicht an den im IP Stack zugewiesenen zu halten?! Sorry, die haben den Knall nicht mehr gehört und absolut keine Ahnung wie Firmennetzwerke funktionieren. Alleine sich anmaßen zu wollen diese Entscheidung für die Welt zu treffen zeigt nur zu deutlich, dass die Entwickler nicht wirklich wissen was sie da tun und welche Konsequenzen dies hat. Offensichtlich sehen sie die Tragweite ihrer Entscheidung überhaupt nicht und somit haben sie absolut keine Ahnung wie Netzwerke und DNS in Unternehmen funktionieren.

Ich halte überhaupt nichts davon, dass andere eine solche Entscheidung über die Köpfe von Anwendern und vor allen von Administratoren in Firmennetzwerken hinweg treffen, die sich nicht einmal der wirklichen Konsequenzen ihrer Entscheidung bewusst sind. Denn wären sie sich der Konsequenzen bewusst, dann würden sie den Anwendern oder den Administratoren diese Option nur anbieten und jeder entscheidet für sich selbst ob er nun doch einen Resolver der Internetriesen oder den Resolver nimmt, der ihm die Antworten liefert, damit seine Dienste weiter funktionieren. Aus meiner Sicht entbehrt dies nicht einer gewissen Arroganz gegenüber den Anwendern und Administratoren es besser wissen zu wollen. An dieser Stelle möchte ich noch einen weitere Punkt anmerken, wenn in Zukunft dann jeder Entwickler einer App oder Anwendung nach seinem Gutdünken sich einen Resolver am Betriebssystem vorbei auswählt, wird es für die Verantwortlichen und vor allem für die Support Teams immer schwieriger die IT am Laufen zu halten. Jeder stöhnt über die zu große Komplexität der IT Infrastruktur und jetzt setzt man mit DoH noch eins oben drauf, was so gut wie nicht kontrollierbar ist – da muss man sich ernsthaft fragen, was in deren Köpfen vorgeht bzw. in welcher Realitätsblase sie sich befinden?!

Auch lasse ich das Argument der Sicherheit nicht gelten, denn gerade in Firmennetzwerken ist die Überprüfung der DNS Anfragen der Clients auf gefährliche Hosts ein wichtiger Baustein in den Cyber Security Maßnahmen eines Unternehmens und genau dieser Schutz soll jetzt fremdbestimmt umgangen werden?! Dass kann es ja wohl nicht sein. Es ist absolut unmöglich und realitätsfremd, was sich die Entwickler der Browser und in Zukunft wohl noch andere Apps und Anwendungen hier herausnehmen und bestimmen zu wollen. Dabei will ich ihre Ziele das Internet sicherer zu machen gar nicht in Abrede stellen, aber dies ist definitiv der falsche Weg und wenn nur ein wenig mehr darüber nachgedacht wird, begreift man dies auch, dass es so definitiv nicht geht.

Sollte es dennoch gemacht werden und die Funktion DoH automatisch aktiviert werden, dann ist dies eine Steilvorlage für die Unternehmen wieder auf den IE bzw. den Edge Browser (demnächst auf Chromium Basis) zu wechseln und wieder Firefox und Chrome aus den Netzen der Unternehmen zu verbannen. Ob die Anwender in diesem Fall wieder mit einem besseren bzw. einem besser abgesicherten Browser unterwegs sind, ist die Frage und was in diesem Fall wirklich in Sachen Cyber Security insgesamt gewonnen wurde dann auch.

Das Fazit muss aus meiner Sicht Stand heute sein, die Finger davon zu lassen und nicht noch neue Probleme schaffen, für die es noch keine Lösung gibt. Chrome und Firefox sind sehr gute Browser, die ich auch gerne benutze aber dieses Vorhaben halte ich ohne die passenden Lösungen für die offenen Fragen und die Probleme in Heim als auch Firmen Netzwerken für grundlegend falsch. DoH ist eine schöne Idee aber nicht bis zu Ende gedacht oder ist nur für eine bestimmte Anwendergruppe mit Vorteilen für die Internet Konzerne gedacht und der Rest der Anwender und Administratoren ist den Entwicklern schlichtweg egal, wobei wir dann wieder bei der Arroganz sind. Schöne Ideen alleine nützen halt nichts, wenn man eben nicht das große Ganze sieht und was die Realität und Notwendigkeiten betrifft, die in den Netzwerken zu Hause und vor allem auch in den Unternehmen bestehen.

Automation in der IT als Ausweg

Die Aufgaben einer IT Abteilung werden immer umfangreicher und komplexer, trotzdem müssen Kosten eingespart, die Effizienz erhöht werden und zusätzliches Personal steht auch nicht zur Verfügung. Auf der anderen Seite wird erwartet, dass die Infrastruktur jederzeit verfügbar ist und das Tagesgeschäft ebenfalls zeitnah abgewickelt wird. Dazu kommen noch die Anforderungen an die Cyber Security, die bei der aktuellen und zu erwartenden Bedrohungslage sehr hoch sind. Ein Blick in den Lagebericht des BSI genügt, dass hier jedem klar wird, wie wichtig der Schutz vor Cyber Attacken ist. Damit eine IT Abteilung die Anforderungen und Erwartungen, die in sie gesetzt werden erfüllen kann, braucht es neue Ansätze und einer davon ist Automation.
Diese neuen Ansätze zu finden ist für sehr viele IT Abteilungen ein fast unmöglicher Spagat, denn sie sind so im Tagesgeschäft gefangen, dass keine Zeit mehr bleibt sich Gedanken um neue und bessere Wege zu machen, Ideen zu verfolgen oder eine langfristige IT Strategie zu planen. Ganz zu schweigen davon, eine Vision zu entwickeln, wie sich die IT noch mehr in die Wertschöpfungskette einbringen kann und so das ganze Unternehmen durch das vorhandene Potential in den anderen Fachabteilungen gemeinsam auf ein ganz neues Level zu heben. Dafür ist einfach keine Zeit und somit bleibt das vorhandene Potential völlig ungenutzt liegen. Dabei wäre es so wichtig, dass Unternehmen bei der Digitalisierung aktiv mit dabei sind und nicht den anderen dabei zuschaut, wie sie nicht nur vorbei, sondern immer weiter weg ziehen. Daher wird es Zeit einige Dinge grundsätzlich und wertfrei zu hinterfragen. Ganz wichtig dabei, hier geht es nicht um Fingerpointing, denn in der Vergangenheit ist nicht unbedingt etwas falsch gemacht worden, die Dinge haben sich nunmal so entwickelt und man muss sich entsprechend anpassen. Dass einzig wichtige dafür ist, es muss die Bereitschaft zur Veränderungen vorhanden sein. Denn die muss geben, um sich den neuen Rahmenbedingungen zu stellen.
Um das zu tun, braucht es aber Zeit, die Stand heute nicht da ist und genau hier kommt die Automation ins Spiel. Dinge zu automatisieren ist fast schon so alt, wie die IT selbst. Vielleicht ist es durch die bunten Oberflächen etwas aus den Augen verloren worden, aber die Funktionen sind nach wie vor vorhanden: Batch-Dateien unter Windows, Shell-Skripte bei den unixoiden Betriebssystemen usw., neu hingegen sind so Dinge wie RestAPI’s, JSON, MQTT oder WebHooks. In der unixoiden und der Netzwerk Welt war es schon immer so und daran hat sich bis heute nichts geändert, administrative Arbeiten werden per CLI erledigt. Die Windows Welt hat in den vergangenen Jahren ganz massiv mit der PowerShell den gleichen Weg eingeschlagen und setzt nun konsequenterweise auch auf OpenSSH für den Remote Zugriff. Damit steht alles zur Verfügung um die Routineaufgaben automatisiert und zentral gesteuert zu erledigen und sich somit die notwendige Zeit für Neues zu verschaffen. Das dafür aus unserer Sicht richtige Werkzeug ist Ansible und das sowohl in der freien und in der kostenpflichtigen Variante. Ansible bietet viele Vorteile und kann vor allem mit sehr vielen Systemen direkt umgehen, denn es gibt eine riesige Anzahl zur Verfügung stehender Module für alle möglichen Bereiche der IT. Dazu gehören eben nicht nur die Server und deren Applikationen, sondern auch der ganze Bereich Netzwerk, Storage und Virtualisierung. Gibt es für eine Anforderung kein Modul, dann schreibt man es eben selbst, den geht nicht, gibt es nicht. Somit gibt es keine Grenzen für den Einsatz von Ansible und das sogar noch über den schon sehr großen Tellerrand der Automation hinaus.
Denn jetzt wird es interessant, tritt man einen Schritt zurück und betrachtet das große Ganze fügt sich alles zusammen: User Experience, Helpdesk, Routineaufgaben, DevOps, Cyber Security, Verfügbarkeit und Effizienz. Es greift alles ineinander und das herstellerübergreifend durch die neuen Schnittstellen und der Automation selbst. Diese Verzahnung macht aber nicht an den Grenzen der IT Abteilungen halt, sondern lässt sich auch auf das Unternehmen ausdehnen. Moderne System bieten Schnittstellen in Form von API’s, mit denen sich auf einfache Weise eine Verzahnung und somit eine Automation einrichten lässt.
Um es besser zu verdeutlichen ein paar einfache Beispiele aus den Optionen für die IT:
Wartungsarbeiten wie das Patchen der Serversysteme und der Anwendungen gehören zu den wichtigsten Aufgaben einer IT im Kampf gegen Cyber Attacken. Ist eine Umgebung schon ein klein wenig größer, dann fordert dies entsprechend viel Zeit zur Durchführung der Wartungsarbeiten. Diese Arbeiten lassen sich aber hervorragend mit Ansible und dessen Playbooks automatisieren. Dabei führt Ansible nicht nur einfach zeitgesteuert irgendwelche Scripte aus, sondern kann die Rückgabewerte entsprechend auswerten, dementsprechend reagieren und auch somit notwendige Neustarts durchführen. Durch die Integration in ein Monitoring System schaltet Ansible vor den Patches die Notifications ab oder setzt den entsprechenden Maintenance Mode. Im Anschluss werden die Notifications wieder aktiviert bzw. für alle Hosts mit Problemen, bei denen die Installation zum Beispiel nicht erfolgreich war, wird ein Ticket durch Ansible geöffnet und die Administratoren können es sich ansehen. Bei diesem Szenario gibt es einen Verbund aus Monitoring, Ansible und Ticket System.
Ansible kann aber auch zur Unterstützung des 1st Level Support genutzt werden. Dies kann zum Beispiel der Fall sein, dass der Support sehr einfach einen VPN Tunnel neu initiieren kann, in dem er über ein Portal oder direkt aus dem Prozess in einem Ticket dieses per Ansible gesteuert an das entsprechende Gateway gibt. Dabei kann dann Ansible dem Support noch eine entsprechende Statusinformation zum Tunnel als direktes Feedback geben. Bei man eine solche automatisierte Unterstützung entsprechend aus, so können schon sehr viele Dinge direkt vom 1st Level Support erledigt werden und müssen nicht in die nächste Ebene. Damit werden Tickets schneller bearbeitet und die User Experience steigt.
Ein mehr oder weniger lästiges Thema bei den Netzwerkadministratoren ist die regelmäßige Sicherung der ‘running configs’ und genau dabei kann Ansible sehr gut und sogar ‘out of the box’ unterstützen. Durch die Module für so gut wie alle möglichen Netzwerkkomponenten kann man dies vollständig automatisieren. In der aktuellen FortiOS Version 6.0 und dies noch in Kombination mit dem FortiManager und FortiAnalyzer steht eine komplette API zur Steuerung der Systeme zur Verfügung. Diese Option in Kombination mit Ansible stellt den Administratoren ein solch mächtiges Werkzeug zur Verfügung, was durch die flexibilität der Playbooks keine Wünsche mehr offen lässt.
Diese Möglichkeiten gelten auch für alle großen und kleinen Clouds und dabei spielt es gar keine Rolle, ob Public oder Private, VMware, OpenStack oder Docker & Co. alles lässt sich automatisieren und zentral steuern. Komplette Deployments bis hin zur Individualisierung der Servicekonfigurationen, es gibt keine Grenzen.
Aber eine Warnung vorweg, Ansible beinhaltet für Administratoren ein hohes Suchtpotential, denn die Ideen kommen mit zunehmender Nutzung der Plattform für die Administration und es zeigt sich das große Potential, welches in Ansible steckt. Vor allem auch, weil es weit über die klassische IT hinausgeht und man viele Bereich mit einbinden kann, die für bestimmte Dinge eine Automation benötigen.
Durch die Automation kann man sich nun die Zeit verschaffen, die IT wieder voranzubringen, Visionen zu entwickeln und die Aufgaben der Digitalisierung aktiv im eigenen Unternehmen gestalten. Seine Zeit mit Routineaufgaben und Turnschuhadministration zu verbringen ist alles andere als zeitgemäß. Gerade auch deshalb, weil es Werkzeuge wie Ansible gibt. Hinter Ansible steht Redhat und somit auch entsprechender Support in der kommerziellen Version. Um mit Ansible etwas zu spielen und auch darüber hinaus, reicht die OpenSource Version aus. Wenn man aber mehr machen möchte und vor allem dann, wenn es um Dinge wie die Integration in das große Ganze geht, dann sollte man zur kostenpflichtigen Version greifen. Die Kosten einer Automation sind relativ, denn diesen stehen den weitaus höheren personellen Kosten gegenüber, die sich einsparen und somit für sinnvoller Tätigkeiten nutzen lassen.

Absicherung unternehmenskritischer Webapplikationen

Webapplikationen gewinnen für Unternehmen immer mehr an Bedeutung und sind zunehmend als unternehmenskritisch einzustufen. In Zukunft wird sich dies noch mehr steigern, da immer mehr Applikationen, die herkömmlich einen lokal installierten Client erforderten, als Webapplikationen und somit als zentraler Dienst zur Verfügung gestellt werden. Da diese Art der Bereitstellung deutliche Vorteile gegenüber traditionellen Client/Server Anwendungen bieten, wird sich dieser Trend weiter fortsetzen. Durch diese Änderung in der Applikationslandschaft müssen auch die Sicherheitsmechanismen entsprechend angepasst werden.

Der breite Einsatz von Webapplikationen verändert viele Bereiche in der IT und macht somit eine neue Bewertung der geänderten Situation erforderlich. Es ist keine Frage, ob sich die Webapplikationen durchsetzen werden oder nicht, sondern nur, wann es denn so weit sein wird. Als Verantwortlicher im Bereich der Client Infrastruktur oder des End User Computing ergeben sich gleich mehrere Vorteile, wenn lokal installierte Applikationen auf dem Client nicht mehr benötigt werden. Die Aufwände für das Ausrollen der Anwendung und deren stetige Aktualisierung werden schlagartig obsolet und es ist nur noch eine Konzentration auf das Betriebssystem und den Browser notwendig, der für den Zugriff auf die Webapplikation benötigt wird. Da Microsoft mit ihrem Edge Browser einen neuen Weg eingeschlagen hat und in Zukunft die Chromium-Engine verwendet, ist es vorstellbar, dass ein Windows System „out of the box“ direkt vom Benutzer verwendet werden kann, ohne, dass die IT noch eine große Menge an zusätzlichen Installationspakete auf das System ausbringen muss. Dies alles spart sehr viel Zeit und macht auch einen Client schlanker und zugleich dadurch auch sicherer, da er weniger Angriffsfläche für Cyber Attacken bietet. Denn gerade Software von Drittanbietern, wie Adobe Acrobat oder Reader, Oracle Java, 7-zip & Co. sind oft Einfallstore für Schadcode. Denk man hier aber nur etwas weiter, so öffnet sich die Tür für eine andere Art von Clients, die vielleicht gar nicht mehr auf Windows basieren, was BYOD Szenarien einfacher möglich macht oder auch von Apps für mobiler Device mehr als nur ein kleiner Spalt, gegenüber denjenigen Clients, die eine IT normalerweise bereitstellt und die zugleich den Nachteil haben, dass mit ihnen viele neue Konzepte einfach nicht umsetzbar sind. Läuft die Applikation im Browser sind auch lokal auf dem System keine Daten im herkömmlichen Sinne mehr gespeichert. Dies spielt wieder weit in das Thema IT Sicherheit und Datenschutz respektive DSGVO mit hinein, vor allen auch deshalb, weil es mit Webapplikationen sehr einfach zu protokollieren ist, wer wann auf welche Daten wie zugegriffen hat. Sollte es einen für die DSGVO relevanten Datenabfluss geben, lässt es sich ebenfalls viel einfacher nachvollziehen, welche Daten betroffen sind und welchen Umfang der Vorfall hatte. Damit ist man direkt im Thema DSGVO und Meldepflichten angekommen, was für sehr viele eine sehr große Herausforderung darstellt. Um nun wieder die Kurve Richtung Absicherung zu bekommen, spielt das Thema Remote oder VPN Zugang zum Unternehmen eine wichtige Rolle. Ein vollwertiges VPN mit einer Netzwerkkopplung zwischen einem externen Client und dem Unternehmensnetzwerk ist viel schwieriger abzusichern und somit komplexer und fehleranfälliger gegenüber einer einzelnen Applikationsverbindung. Mit einem VPN in Form einer Netzwerkkopplung öffnet man das Unternehmensnetzwerk gezwungenermaßen in Richtung des Clients. Oft hat man hier als Verantwortlicher auch keine große Wahl, da der Client entsprechende Verbindungen zum AD benötigt und die lokal installierten Anwendungen dann direkt mit den Serversystemen und Datenbanken kommunizieren müssen. Bei einer Webapplikation hingegen benötigt man nur https und ggf. http für den Redirect. Die Verschlüsselung eines VPN’s und einer https-Verbindung basiert schlussendlich auf der gleichen Basis von AES Verschlüsselung, elliptischen Kurven und Prüfsummen. Daher ist die Diskussion welcher Zugang der sicherere ist, ebenfalls obsolet und vor allem dann, wenn statt IPSec ein SSLVPN zum Einsatz kommt. Der Mehrwert bei der Absicherung kommt auch bei der Serverumgebung zum Tragen. Hier lässt sich durch die klaren Strukturen von Applikationsservern, ggf. einer Middelware, den Datenbankservern und den Frontend Systemen, wie Reverse Proxies usw. ein sehr einfaches und zugleich sehr effektives Regelwerk mit Firewalls erstellen um die jeweiligen Systeme entsprechend vor unerwünschten Zugriffen zu schützen. Bei einer klassischen Client/Server Umgebung muss der Zugriff auf die Server von jedem Client aus erlaubt sein, damit die Anwendung funktioniert. Gegenüber der Webapplikation ist diese Angriffsfläche so zu sagen eher riesig, statt minimal. Ein gutes Beispiel hierfür sind Datenbankserver, die immer wieder von massiven Sicherheitsproblemen betroffen sind. Da die Datenbank mehr oder weniger von jedem Client direkt angesprochen werden kann, müsste diese sofort aktualisiert werden, was aber in den meisten Fällen im normalen Betrieb überhaupt nicht möglich ist. Bei einer Webapplikation hingegen hat ein normaler Client gar keinen direkten Zugriff auf die Datenbank und diese ist somit durch einen Client gar nicht erst angreifbar. Dies verschafft der IT Zeit ein entsprechendes Wartungsfenster für die Aktualisierung zu planen ohne die Sicherheit der Daten so massiv zu gefährden, als hätte jeder die Möglichkeit nun diese Sicherheitslücke auszunutzen. Das Thema der Webapplikationen hält daher viele Synergieeffekte bereit, die die vermeintlichen Nachteile dieser Art der Applikationsbereitstellung überwiegen. Denn häufig hört man das Argument, dass man um Arbeiten zu können online sein muss. Aber wenn man hier ganz ehrlich ist, dann ist dies doch der Normalzustand und für den Remote Zugriff gibt es sowieso keine andere Option. Dies gilt auch für die Zusammenarbeit mit Kunden und Partnern, ohne online zu sein, ist hier ebenfalls nichts mehr möglich. Noch nicht mal mehr telefonieren, da der SIP Trunk auch auf einer Kommunikation per IP-Protokoll basiert.

Unternehmen, die diesen Weg der Applikationsbereitstellung weitergehen, müssen sich Gedanken machen, wie man die so über das Internet bereitgestellte Applikationen entsprechend absichert. Vielen ist es wahrscheinlich gar nicht bewusst, aber diese Art Anwendungen bereitzustellen, wird von den meisten seit mehr als zehn Jahren schon gemacht – Outlook-Web-Access oder jetzt Outlook-Web-App (OWA), Outlook Anywhere und ActiveSync wird per https über das Internet für die Mitarbeiter bereitgestellt, damit diese mit ihren mobilen Geräten Zugriff auf ihre Mails, Kontakte und Kalender haben. Dabei spielt es gar keine Rolle ob der Exchange in Eigenregie oder in der Public Cloud läuft, der Weg dorthin ist immer https und somit ist es eine Webapplikation. Die Vorteile von überall an seine Mails, Termine und Aufgaben zu kommen, will keiner mehr abgeben und daher ist es nur eine Frage der Zeit, bis die anderen Anwendungen ebenfalls nur noch auf diesem Weg genutzt werden. Aber dieser Weg benötigt eine für den Betrieb ausreichende Sicherheit und eine entsprechende Absicherung der Anwendung selbst. Die gute Nachricht ist, dass es auf dem IT Markt Produkte gibt, die genau dazu in der Lage sind. Es steht alles zur Verfügung, man muss die vorhandenen Produkte nur entsprechend einsetzen. Wer Applikationen so bereitstellt, muss Systeme wie Web Application Firewalls (WAF), Application Delivery Controller (ADC), Intrusion Prevention System (IPS) sowie Reverse Proxies und Load Balancer ebenso selbstverständlich einsetzen wie Firewalls zur Absicherung der Netzwerksegmente. Grundsätzlich gehört aber auch ein Netzwerk- und Segmentierungskonzept mit dazu, dass die verschieden Systeme zu deren Schutz in unterschiedlichen Bereiche (Zonen) passend aufteilt. Ein solches Konzept muss auch die zukünftige Skalierbarkeit der Applikation berücksichtigen. Ein gutes Beispiel für eine solche Eigendynamik sind Intranet Lösungen oder Plattformen für den Austausch von Dateien. Häufig beginnen solche Projekte mit einer kleinen Anfrage aus einer Fachabteilung für die Bereitstellung entsprechender Webapplikationen im Rahmen eines Kundenprojektes oder für die Zusammenarbeit mit einem Partner. Bei allen Beteiligten zeigen sich sehr schnell die Vorteile von diesen Anwendungen und deren einfache Erreichbarkeit ohne aufwendiges bereitstellen von VPN Zugängen für interne und externe Benutzer. Es dauert dann meist nicht lange, bis die Eigendynamik ins Spiel kommt und immer mehr Abteilungen und externe Benutzer die Anwendungen verwenden bis schlussendlich das komplette Unternehmen dies tut. Spätestens zu diesem Zeitpunkt werden die Anwendungen dann unternehmenskritisch, denn bei einem Ausfall hat dies einen direkten Einfluss auf die Produktivität. Daher ist es sehr ratsam von Anfang an auf die Skalierbarkeit der jeweiligen Anwendung zu achten, weil es auf einmal für die IT Abteilung sehr schnell gehen kann, diese Anwendungen einer größeren Anzahl von Anwendern für das parallele Arbeiten auf diesen Systemen bereitstellen zu müssen. Designfehler von Quick’n Dirty Installationen lassen sich später nur mit großem Aufwand wieder beheben, meist es ist eine komplette Restrukturierung der Applikation mit aufwendiger Übernahme der vorhandenen Daten. Vor allem bietet ein durchdachtes Design von Anfang an überhaupt erst die Möglichkeit Webapplikationen entsprechend abgesichert bereitzustellen. Bei selbst entwickelten Applikationen müssen alle Abteilungen, wie Software Entwicklung, Netzwerk, IT Sicherheit, Serversysteme, Infrastruktur usw. von Anfang an zusammenarbeiten. Es ist sehr wichtig, dass Trennungen zwischen Frontend, Backend, Datenbanken usw. existieren und auch neuen Möglichkeiten wie Microservices und Container berücksichtigt werden. Der Einsatz von Reverse Proxy Diensten bzw. ADC’s in Kombination mit Schutz vor DoS Angriffen auf die Applikation sowie einer WAF und einem IPS ist mehr oder weniger Pflicht für den Betrieb von Webapplikationen die öffentlich erreichbar sind und auch sein müssen, damit die ganzen Vorteile auch zum Tragen kommen. Diese öffentliche Erreichbarkeit führt dann direkt zum nächsten Schritt der Absicherung. Wie authentifiziert man zuverlässig seine Benutzer und wie schützt man sich gegen den Missbrauch und Brute Force Attacken. Hier bieten sich SAML bzw. Single Sign On (SSO) Anmeldung auf Basis einer Zwei-Faktor-Authentifizierung (2FA) an. Aber auch hier gibt es geeignete Dienste und Produkte, die nur eingesetzt werden müssen. Der Einsatz einer 2FA für die eigenen Mitarbeiter ist noch relativ einfach umzusetzen, da man es hier einfacher hat eine entsprechende Lösung umzusetzen. Etwas schwieriger wird es bei externen Benutzern, die aber auch Zugriff auf die Anwendungen haben müssen. Hier sollte man sich entsprechende Gedanken machen, wie es auch für die externen Benutzer praktikabel ist, sich mit einer 2FA anmelden zu können. Vor allem sollte einem hier Bewusst sein, dass u.U. der externe Mitarbeiter mehr als nur einen Account mit einer 2FA hat. Demzufolge ist der Einsatz von Hardware Token oft schwierig. Einfacher ist es die 2FA ggf. mit einer App für das Mobiltelefon bereitzustellen, hier muss jedoch geklärt werden, ob der Mitarbeiter diese überhaupt auf sein Dienstgerät installieren darf. Eine Absprache mit der jeweiligen IT kann viel dazu beitragen, schnell eine Lösung herbeizuführen. Hat man diese Probleme alle erfolgreich gelöst, sind noch ein paar Punkte offen, die es zu bedenken gilt. Dazu gehören das Monitoring und die Anomalie Erkennung und ein entsprechendes Update Konzept für die Server, die Anwendungskomponenten und die Sicherheitssysteme selbst. Eine solche Anwendung steht exponiert im Internet zur Verfügung, was sie ja auch sein muss, denn sonst hätten die Benutzer ja keinen Zugriff auf diese. Demzufolge ist die Anwendung des ganz normalen Wahnsinns im Internet ausgesetzt. Wer sich im Vorfeld entsprechende Gedanken gemacht hat und seine Anwendung(en) passend bereitstellt, der profitiert von allen Vorteilen, der Webapplikationen und hat sogar deutlich weniger Probleme und Nachteile der klassischen Client/Server Anwendungen, denn als deren Entwicklung begann, hat keiner an eine Bereitstellung über das Internet gedacht. Alles was heute für diese Anwendungen implementiert wird, ist so zu sagen eine Krücke um es überhaupt möglich zu machen. Die Zukunft gehört den Webapplikationen und den RestAPI’s.

Bei Fragen zu Thema stehen wir wie gewohnt zur Verfügung.

 

Ausblick auf 2019

Die Glaskugel ist frisch poliert und lässt anscheinend einen ausreichend klaren Blick auf das kommende IT Jahr zu. In der Hoffnung, dass die Glaskugel nicht von Spectre & Co. betroffen ist, sollte der Blick völlig ungetrübt sein, wenn nicht, sind es eben nur alternative Fakten, aber daran ist die Welt ja auch mittlerweile mehr als nur gewöhnt.
Das Thema Cyber Security wird uns allen in 2019 erhalten bleiben, nur die Möglichkeiten zur Abwehr haben sich verbessert. Der nächste Schritt ist hier VMware NSX, diese Technologie erlaubt den IT Abteilungen ihre virtuellen Server endlich auf Ebene des Hypervisors gegeneinander abzuschotten und sogar mit AppDefence ungewöhnliches Verhalten einer VM zu erkennen. Dazu kommen noch all die NGFW/UTM Funktionen, die man vom Perimeter kennt, da viele der Firewall Hersteller sich mit entsprechenden virtuellen Instanzen in NSX über Schnittstellen von VMware mit in den Datenstrom einklinken können. Das Aufrüsten auf Seiten der IT Abteilungen ist auch dringend nötig, denn die Angreifer verbessern ihr Vorgehen stetig und daher ist ein Nachlegen in Sachen Cyber Security und auch bei der Forensik wichtiger denn je. Natürlich ist es ein Wettrüsten wie in den vergangenen Jahren auch und wer sich nicht schnell genug bewegt hat schon verloren. Die weiteren Themen sind Netzwerksegmentierung und hier allen voran in der OT in Kombination mit NSX, gefolgt von Sandboxing und im Besonderen das Monitoring bzw. auch SIEM Lösungen sind sehr wichtig im Kampf gegen die Angriffe, die von allen Seiten auf die eigene IT Infrastruktur einprasseln. Seit der zweiten Jahreshälfte des vergangenen Jahres sind Angriffe mit dem konkreten Ziel in die Systeme einzubrechen deutlich gestiegen. Diese Angriffe unterscheiden sich von denen der stetig vorbeikommenden Bots oder Script Kiddies, die nach offenen Ports suchen und dann nach verwundbaren Services suchen. Allen IT Verantwortlichen, den das nicht bewusst ist, sollten dringend über eine SIEM Lösung nachdenken oder zumindest für die Firewall Systeme ein zentrales Logging, welches die so gesammelten Daten entsprechend aufbereitet. Die Technologien sind da und stehen zur Verfügung, sie müssen nur eingesetzt werden. Die Themen Analyse, Verhaltenserkennung, Monitoring und das Auffinden von Anomalien werden die Themen im Bereich Cyber Security in 2019. Endlich wieder sehen, was denn wirklich passiert, so wie damals als die NextGen Firewalls aufgekommen sind und die IT Abteilungen wieder sehen konnten, was sich für Applikationen hinter dem Web Traffic verbarg.
Eine recht dunkle Stelle beim Blick in die Glaskugel ist beim Thema Patch-Management für das kommende Jahr 2019 zu finden. Die Ursache hier ist nicht das Fehlen von Patches, die somit nicht zur Verfügung stehen würden, sondern eher, dass diese nicht zeitnah auf allen Systemen installiert werden. Ein mangelndes Patch-Management ist das Schlaraffenland für Cyber Angriffe, denn die meisten der Angriffe sind nur durch das Fehlen von Patches für bekannte Sicherheitslücken so erfolgreich, dass Angreifer keine große Mühe haben in die Systeme einzudringen. Das Patch-Management ist eine der wichtigsten Grundpfeiler im IT Sicherheitsmanagement und gehört somit zu den wichtigsten Aufgaben in 2019 die zwingend und kontinuierlich umgesetzt werden müssen. Dazu gehört auch das regelmäßige Prüfen auf Schwachstellen, um zum einen das regelmäßige Patchen zu überprüfen und somit es gleichzeitig auch zu dokumentieren, dass es (endlich) stattfindet. Zum anderen neu Installierte Software zu finden, die sonst vergessen wird mit Updates zu versorgen. Daher gehören die beiden Themen Patch-Management und Verwundbarkeitsanalyse untrennbar zusammen. Es ist eine lästige Fleißarbeit, aber so immens wichtig für die Sicherheit der IT Umgebung als Ganzes, dass dieses für 2019 ganz weit oben auf der Liste stehen muss. Vor allem auch deshalb, weil jetzt noch Systeme in Betrieb sind, die immer noch nicht gegen WannaCry/EternalBlue/DoublePulsar gesichert wurden – es ist eigentlich unglaublich, denn Microsoft hat sogar nochmal Patches für XP und Server 2003 zur Verfügung gestellt. Erst Ende letzten Jahres hat ein Cyberangriff mit Namen Emotet wieder für Schäden in Millionenhöhe gesorgt, der genau wieder diese Sicherheitslücken ausgenutzt hat, obwohl es ja Patches gab und vor allem gab es in den vergangenen Jahren ausreichend Beispiele in denen Schadsoftware sich diese Lücke zu Nutze gemacht hat. Aber offensichtlich haben nur sehr wenige Lehren aus den damals schon Schäden im Bereich von mehreren Millionen gezogen. Demzufolge ist das das nächste Thema für 2019, diese Altlasten endlich abzuschalten oder durch Mikrosegmentierung passend abzusichern, wenn man dann nicht patchen will oder kann. Wobei man nun wieder beim Thema NSX ist, damit man einen Schutz um diese Systeme ziehen kann oder andere davon abhalten, diese zu erreichen. Zu diesem Themenkomplex gehört auch die Segmentierung des Netzwerks in der Physik wozu auch Firewalls im transparenten Modus gehören. Diese lassen sich sehr einfach vor diesen verwundbaren Systemen platzieren um diese entsprechend zu schützen und dies ohne die Netzwerktopologie ändern zu müssen. So gesehen gibt es keine Ausreden millionenschwere Produktionssysteme oder Anlagen mit Systemen zu schützen die nur wenige tausend Euro kosten. Analog gilt dies für die Office IT uneingeschränkt, durch ein entsprechendes Multilayer Konzept diese bestmöglich vor Cyberangriffen zu schützen oder zumindest die Auswirkung einer solchen Attacke nur auf einen begrenzten Bereich zu beschränken, weil es eine effektive Abschottung der verschiedenen Segmente gibt.
Der Einsatz von Containern wird sich auch in 2019 immer weiter ausbreiten. Dies war schon in 2018 zu erkennen und in 2019 wird sich dieser Trend weiter verstärken. Es hat etwas Zeit benötigt, bis sich die Container als das was sie sind bzw. als das was sie nicht sind im Denken der IT Abteilungen verankert hat. Container sind eben keine VM’s oder VM-lite und dürfen daher auch nicht wie VM’s behandelt werden. Aber so langsam ist das Verstehen, was Container sind, angekommen und nun möchten die IT Abteilungen daraus auch ihre Vorteile ziehen. Daher steht wie schon in 2018, auch in 2019 das Thema Container weit oben. Nicht zuletzt, weil u.a. Redhat massiv in diese Technologie investiert und fertige Produkte für ihre Kunden bereithält. Das Thema Container und Cloud passt so gesehen noch viel besser zusammen als traditionelle VM’s, die immer noch zu groß sind, für die Bandbreiten zum Internet, die vielen Unternehmen aktuell noch zur Verfügung stehen. Da das Handhaben von Containern bei geringeren Bandbreiten einfacher ist, eröffnen Container für viele schon jetzt den Weg in die Hybrid Cloud, der mit den viel zu großen VM’s technisch völlig unmöglich und bedingt durch die mangelnde Bandbreite versperrt ist.
Da wir jetzt beim Thema Cloud für 2019 angekommen sind, darf es natürlich nicht fehlen zu sagen, dass auch in diesem Jahr, die wie auch immer geartete Cloud ein Thema sein wird. Primär sehen wir die Private- und in Teilen die Hybrid-Cloud als Option für die allermeisten unsere Kunden. Es ist auch in 2019 nicht vorstellbar, egal wie visionär man die Dinge sehen will, vollständig mit der einen IT in die Public-Cloud zu wechseln. Dazu muss man kein Prophet sein, um eine solche Aussage zu treffen. Alleine das Problem der viel zu geringen Bandbreite ist schon das K.O.-Kriterium schlechthin. Dazu kommen dann für die Unternehmen noch all die rechtlichen Fragen, die geklärt werden müssen. Zudem muss die Frage für die Unternehmen mit einer lokalen Produktion, die von der IT abhängig ist, geklärt werden, wie die notwendige Redundanz der Anbindung zur Verfügung gestellt werden kann. Daher wird sich die Public-Cloud auch in 2019 nicht wirklich bei den Unternehmen durchsetzen. Eine Private-Cloud mit dem ein oder anderen Dienst bei einem der großen Anbieter, der diese Private-Cloud dann zur Hybrid-Cloud macht, kann man sich aber durchaus vorstellen und hier kommen dann die Container wieder in’s Spiel, die dann wiederum durch ihre leichte Portierbarkeit, auch bei weniger Bandbreite einen solchen Weg möglich machen. Der Einsatz der Cloud wird sich in 2019 steigern, aber nicht in einer Absolutheit wie sich das AWS, GCP oder Azure in ihren Whitepapers vorstellen.
Denkt man an den Einsatz einer Cloud kommt man um das Thema EdgeComputing nicht herum. Insbesondere dann, wenn es darum geht dezentrale Produktionsumgebungen oder Remote und Branche Offices entsprechend anzubinden. Auch beim Thema EdgeComputing sind zwei Punkte besonders wichtig: Cyber Security und Betriebssicherheit in Punkto Verfügbar- und Zuverlässigkeit. Wir als salutec haben uns natürlich zu dem Thema schon unsere Gedanken gemacht und werden in 2019 entsprechende Lösungen für solche Szenarien vorstellen, die wir für unsere Kunden entwickelt haben.
Das Thema Kommunikation wird in 2019 auch weiter in der Liste der wichtigen Themen nach oben rücken. Sei es durch die vielen Probleme von der nur halb durchdachten Einführung von S/MIME & Co. oder auch durch die Tatsache, dass die jüngeren Mitarbeitergenerationen eMail als den mehr oder weniger obsoleten Dino der digitalen Kommunikation ansehen und die Verwendung von Messenger bevorzugen. Grundsätzlich ist dies auch so, eMail ist so zu sagen ein Relikt aus den 80’er Jahren und hat sich im Grundsatz nicht verändert. Die Funktion ist immer noch die gleiche mit all den Vorteilen eines dezentralen Dienstes, der auf offenen Standards basiert, aber auch mit all den Schwächen, die daraus resultieren. Die Zeit arbeitet nicht für die eMail, daher sollten sich die Unternehmen, die noch keinen Messenger ihren Anwendern anbieten dringend Gedanken machen und daher ist die moderne Kommunikation ein wichtiges Thema in 2019. Wenn gleich die eMail als solches, natürlich nicht verschwinden wird. Nach wie vor ist eMail noch eine wichtige Business Anwendung – ihre Tage aber als primäres Medium zur Kommunikation sind gezählt.
Ein weiteres Thema in 2019 wird sein, wie man große Datenmengen zuverlässig für lange Zeit speichert und auch zur Verfügung stellt. Zu diesen Datenmengen gehört ebenso das Backup bzw. bei vielen das Backup to Disk. Aber es wird auch immer wichtiger diese Daten sicher extern zu speichern und damit ggf. gleichzeitig entsprechenden Auflagen zu erfüllen zu können. Daher sehen wir das Thema Datenspeicherung weit oben auf der Agenda für 2019 stehen. Sei es mit entsprechenden Dedup-Appliances oder entsprechender ScaleOut Lösungen im Storage-Bereich für unstrukturierte Daten. Hier sind es Themen wie Distributed Filesystem, Object Store, S3 & Co. mit möglichen Produkten wie Xcellis, InfiniBox, Redhat Storage Server, ZFS Storages oder Ceph und GlusterFS aus der OpenSource Welt für diejenigen mit entsprechenden Know How in diesen Bereichen. Gerade für die riesige Menge an unstrukturierten Daten und die noch kommenden Datenmengen der (Industrial) IoT bzw. Industrie 4.0 Systeme wird das Thema Storage in 2019 sehr wichtig werden.
Das Thema Anwendungssoftware wird in 2019 wieder ein weiteres Kapitel aufschlagen. Denn der Browser wird immer mehr zum Mittel der Wahl, wenn es darum geht Software bereitzustellen. Viele die in den vergangenen Jahren vielleicht noch nicht mutig genug waren, gehen aber jetzt diesem Schritt. Vor allem die Akzeptanz bei den Anwendern wird nicht zuletzt durch die jüngeren Mitarbeitergenerationen und dem gewohnten aus dem privaten Bereich immer höher. Auch aus Sicht der IT Abteilungen macht alles andere kaum noch wirklich Sinn. Lokal installierte Anwendungen sind für die allermeisten Fälle völlig obsolet. Natürlich gibt es nach wie vor entsprechende und auch begründete Ausnahmen – aber für alles andere sind die Argumente doch nur vorgeschoben. Daher sehen wir in 2019 einen großen Schritt in Sachen Anwendungen, die nur noch im Browser laufen bzw. wo der Anwender selbst nur noch einen Browser benötigt und dank HTML5 problemlos (s)einen virtuellen Desktop bedient. Ähnliches gilt für Software zur Zusammenarbeit, diese Plattformen haben sich von dem Status “nice to have” zu unternehmenskritischen Applikationen entwickelt. Aus dieser Entwicklung ergeben sich auch völlig neue Möglichkeiten in Sachen BYOD bzw. Kostenersparnis bei den Endgeräten und dieses vor allem im Bereich der Administration.
Unabhängig von allen hier aufgezählten Themen für 2019 ist eines das allerwichtigste Thema in der kommenden Zeit: Die Reduktion der Komplexität aktueller IT Infrastrukturen. Der immer größeren Komplexität Einhalt zu gebieten, wird die ganz große Herausforderung werden. Eine moderne IT mit der Konzentration auf das Wesentliche, wieder allem eine klare Struktur zu verleihen und dies auf Basis eines schnörkellosen Designs – aber das ist ja schon seit jeher unser Ding. Daher freuen wir uns auf alle neuen Projekte, die wir gemeinsam und partnerschaftlich mit unseren Kunden in diesem Jahr umsetzen werden. Gemeinsam und erfolgreich neue Ziele erreichen, weil es Spaß macht im Team zusammenzuarbeiten.
Allen ein frohes, glückliches und erfolgreiches neues Jahr.

Jahresrückblick 2018

Kurz nach dem langen Sommer geht plötzlich das Jahr zu Ende und es wird somit unweigerlich Zeit für den Jahresrückblick auf 2018. Wie immer beginnt es mit einem kleinen Blick auf die Jubiläen und die Jahrestage, um dann weiter zu den “wichtigen” Ereignissen des Jahres zu kommen. Und schon stellt sich schon wieder die Frage, was kommt überhaupt in einem Jahresrückblick hinein, welches Thema ist wirklich wichtig genug. Vielleicht kommen die Antworten ja auch noch beim Schreiben des Beitrags – also los geht’s.

In 2018 gab es den einen oder anderen Jahrestag, der direkt oder indirekt etwas mit IT zu tun hat. Daher möchte ich mit einem Jahrestag beginnen, der nicht direkt etwas mit der IT zu tun hat, aber ein Design vorgegeben hat, was bis heute Bestandteil der IT ist und somit irgendwie mit dazu gehört: Die Schreibmaschine wird 150 Jahren alt – am 23. Juni 1868 meldete die US Rüstungsfirma Remington das erste Modell mit der bis heute bekannten Tastatur als Patent an. Wenn sie am Schreibtisch sitzen, brauchen sie nur vor sich zusehen und schauen auf 150 Jahre Tastaturlayout. Noch nicht ganz so alt, ist mit 60 Jahren die NASA. Welche 1958 auf Basis des Gesetzes zu “National Aeronautics and Space” von Präsident Eisenhower gegründet wurde. Indirekt ist die NASA auch an verschiedenen Entwicklungen in der IT beteiligt und hat schon früh auf Computer als Technologie zur Steuerung ihrer Missionen gesetzt und entsprechende Systeme entwickelt. Daher gehört die NASA auch so ein wenig zur IT wie wir sie heute kennen. Zehn Jahre später, im Jahr 1968 wurde vor 50 Jahren Intel, was zu diesem Zeitpunkt noch Moore-Noyce Electronics hieß, von Gordon E. Moore und Robert Noyce in Mountain View, Kalifornien gegründet. Nach der Gründung dauerte es noch einmal zehn Jahre bis der Mikroprozessor 8086 im Jahr 1978 die Basis des Stammbaums der aktuellen Prozessoren legte. Was natürlich damals noch keiner erahnen konnte, dass dieser 16-bit Prozessor, der für Gleitkommaberechnungen noch einen extra Co-Prozessor des Typs 8087 benötigte, so ein Erfolg werden würde. Damit blicken wir jetzt auf 40 Jahre x86 Prozessorarchitektur zurück. Ebenfalls kam 1978 StarWars in die Kinos und Space Invaders in die Spielautomaten und sind somit ebenfalls 40 Jahre alt.

Vor 30 Jahren, im Jahr 1988 wurde OS/2 v1.1 erstmals mit grafischer Oberfläche veröffentlicht. Leider war nach der Version 4 mit Namen Warp das Thema OS/2 eher mehr wie weniger zu ende. Schade, denn OS/2 hatte deutlich mehr Potential und Fähigkeiten als viele andere Betriebssysteme ihrer Zeit. Aber wenn selbst der Hersteller nicht so richtig an sein Produkt glaubt, wird es offensichtlich nichts und wir leben in einer größtenteils Microsoft lastigen Welt bei den Desktops.

Gleich mehrer Unternehmen oder Produkte, wenn man sie denn so nennen will, dürfen auf ¼ Jahrhundert zurückblicken und ihren 25. Geburtstag feiern. Wir gratulieren somit den Linux Distributionen Slackware, Debian und Redhat, ebenso wie diese Linux Distributionen wird auch FreeBSD 25 Jahre alt. Vor 25 Jahren gab es noch ein wesentlich wichtigeres Ereignis, ohne dieses sie vielleicht jetzt wohl den Beitrag gar nicht lesen könnten. Am 30. April 1993 gab das CERN die erste Webseite öffentlich frei. Das von Sir Tim Bernest Lee entwickelte www erblickt so zu sagen die weite Welt. Ebenfalls wurde 1993 die erste Version des NSCA Mosaic Browser veröffentlicht und legte damit den Grundstein für alle noch kommenden Browser. Zu diesen Browsern gehörte auch Netscapes Navigator, dessen Source Code 1998 von Netscape freigegeben wurde, auf dem der Browser Firefox basiert und der dieses Jahr auch schon seinen 15. Geburtstag feiern durfte. Im September 1993 kam auch die sgi Workstation Indy auf den Markt und auf meiner bis zum bitteren Ende der Netscape Navigator lief – mit OpenGL 3D Beschleunigung, MIPS CPU R4600 auf Irix mit XFS Dateisystem.

Vor 20 Jahren, also auch 1998 gab es gleich mehrere Ereignisse die nicht ganz unbedeutend für die (IT) Welt waren. Der iMac rettet Apple, am 6. Mai 1998 kündigte Steve Jobs den ersten iMac an und legte damit den Grundstein für das was Apple heute ist. Ebenfalls im gleichen Jahr, unter großem Applaus kündigte Steve Jobs an, dass das NextStep-basierte Rhapsody mit dem klassischen Mac OS zusammengeführt wird – zu Mac OS X, was immer noch die Grundlage aller heutigen Apple Betriebssysteme macOS und iOS darstellt. Das was Linux immer verwehrt geblieben ist ist, auf dem Desktop Fuß zu fassen, hat Steve Jobs mit Apple und macOS geschafft, ein unixoides Betriebssystem auf dem Desktop zu etablieren. Alle anderen UNIX Workstations sind schon lange Geschichte oder führen, wenn überhaupt nur ein Nischendasein. Ebenfalls vor 20 Jahren wurde der Gigabit Ethernet Standard verabschieden und ein Jahr später gab es die 3Com 3C985B Gigabit Netzwerkkarte. Im Jahr 1998 wurden VMware und auch Google gegründet. Für Google begann alles mit einer Suchmaschine und VMware wurde seinerzeit noch belächelt und heute ist das Bild von beiden ein völlig anderes. Google ist ein Internet Gigant mit vielen Geschäftszweigen und VMware der Platzhirsch für Virtualisierung. Den Security Scanner Nessus gibt es auch seit 1998 und hat bis heute bestand. Er ist ein wesentlicher Beitrag zur Absicherung und Überprüfung von IT Systemen und Umgebungen. Die internationale Raumstation ISS gibt es auch schon seit 20 Jahren. Alles begann mit dem russischen Modul Sarja und aktuell wird die Frage gestellt, wie lange die ISS noch betrieben werden kann. Das Betriebssystem Linux ist auf der ISS sehr präsent, wie auch seit ein paar Jahren Experimente mit Raspberry Pi’s u.a. auch der sogenannte Astro Pi. Jetzt könnte man natürlich sagen, dass Linux erst die Erde verlassen musste um das dominante Betriebssystem zu werden. Wenn man wohl sehr genau zählt, ist es wohl doch nicht der Fall. Nur halb so alt, wie die ISS, ist das Betriebssystem Android. Ebenfalls seinen 10. Geburtstag darf USB 3.0 feiern. Aber genug in den Jahrestagen geschwelgt, es wird nun Zeit auf das Jahr 2018 zurückzublicken und was so alles Ereignisreiches in der IT Welt und auch sonst so passiert ist.

Die CPU Sicherheitslücken Meltdown und Spectre bzw. Spectre-NG waren einer der Paukenschläge des Jahres 2018. Bekannt waren die Lücken schon länger aber im Januar wurden diese veröffentlicht. Somit blieb zum Glück für einige Intel Manager noch Zeit sich davor von dem einen oder anderen Aktienpaket zu trennen.

Ganz plötzlich nach zwei Jahren Übergangszeit tritt die neue DSGVO in Kraft, hat viele überrascht und auch so einige überfordert. Passend zum Thema Datenschutz kommt Facebook u.a. mit dem Datenskandal Rund um Cambridge Analytics in die Schlagzeiten. Aber nicht nur das, es gab auch noch FakeNews Skandale, Myanmar, Beeinflussung von Wahlen, Rassismus Vorwürfe, Ansätze Daten zu verkaufen und auch noch einen Riesenhack, wie die Versuche all dies zu verschleiern. Facebook geht mit Daten um wie es will und greift zu aggressiven Maßnahmen gegen Kritiker, in dem es auf Schmutzkampagnen spezialisierte PR Agenturen anheuert um diese zu diskreditieren, Heise berichtete darüber. Zum Glück hat all dies zwar dafür gesorgt, dass Behörden und der Gesetzgeber darauf aufmerksam geworden ist, aber so richtige für Facebook spürbare Konsequenzen haben allzu viele Nutzer noch nicht gezogen. Noch mehr zum Thema DSGVO: Für Uber hagelte es nach einem verschwiegenen Datenleck in den Niederlanden 600.000 Euro Strafe, das Forum kuddels.de kam mit nur 20.000 Euro vergleichbar günstiger weg. Aber im Gegensatz zu Uber hatte das Forum den Verstoß gemeldet und mit der Datenschutzbehörde entsprechend gut zusammengearbeitet. Was auch im kommenden Jahr noch interessant werden dürfte, ist die Untersuchung bzw. die Ergebnisse und Konsequenzen zu Windows 10 und vor allem MS Office bezüglich der DSGVO. Im November wurde bekannt, dass Windows 10 und vor allem auch MS Office massiv gegen die DSGVO verstoßen. Einen weiteren Hack mit 500 Millionen Daten von Hotelgästen gab das Unternehmen Marriott bekannt. Bei einem Tochterunternehmen sind die Daten abgeflossen, unter denen sich auch Daten von Kreditkarten befinden. Zwar sind diese Daten wohl verschlüsselt gewesen, aber den Angreifern sind sehr wahrscheinlich auch die Schlüssel in die Hände gefallen. Vor allem die Folgen dieses Hacks sind noch gar nicht abzusehen, da sich mit diesen verifizierten Identitäten sehr viel Geld verdienen und auch auch hohe Schäden verursacht werden können.

In der Linux Welt hat sich auch einiges getan. Redhat kauft CoreOS einen Container Spezialist und wird seinerseits für die stattliche Summe von 34 Milliarden USD von Big Blue (IBM) gekauft. Redhat integriert Tectonic von CoreOS in ihr OpenShift und aus Container Linux wird Redhat CoreOS. Redhat Enterprise Linux Version 8 steht in den Startlöchern. Im November wurde die offizielle Beta Phase eingeläutet und für den Vorgänger RHEL 7 die Version 7.6 veröffentlicht. Wenn IBM es mit Redhat richtig anstellt und es nach allen Bekundungen auch tun wollen, kann es für beide und Linux als solches eine großer Schritt nach vorne werden. Insbesondere deshalb, da Redhat der Marktführer im Bereich von Enterprise Linux Systemen sammt Ökosystem ist. Redhat und IBM haben in der Vergangenheit schon länger eng zusammengearbeitet. Daher ist der Kauf von IBM nicht ganz ungewöhnlich oder wirklich überraschend. Wenn IBM Wort hält und Redhat eigenständig bleibt wird es auch für die OpenSource Welt ein großer Vorteil sein, wenn sich beide noch mehr engagieren. Zumindest hat es schon mal dazu geführt, dass Canonical, die Firma hinter Ubuntu, nun auch 10 Jahre Support auf ihre LTS Versionen angekündigt hat, was ja für RHEL und somit auch CentOS immer normal war. Welche Taten jetzt aus der Ankündigung von Canonical folgen, muss sich noch zeigen. Die Ubuntu 18.04 LTS hat leider nicht die Qualität ihres Vorgängers und fällt eher durch Qualitätsmängel auf, auch der neue Installer und die neue Netzwerkkonfiguration kann nicht wirklich überzeugen und alles macht den Eindruck als wäre es mit der heißen Nadel gestrickt, nur um die neuesten Versionen von Anwendungen in die Release Notes schreiben zu können. Was zumindest funktioniert ist das Release Upgrade von der 16.04 LTS, bei der zum Glück viele der gewohnten Strukturen im System erhalten bleiben.

Ein anderes ebenso “erfreuliches” Thema sind die von Oracle für Java angekündigten Lizenzänderungen bei dessen kommerzielle Nutzung auf Clients und Servern. Ab Januar kosten Updates und Patches Lizenzgebühren bei kommerzieller Nutzung von LTS Versionen. Die jeweils neuste Java Version darf immer für 6 Monate lizenzkostenfrei genutzt werden. Wie großzügig, es ist natürlich überhaupt kein Problem für Unternehmen jeglicher Größe zwei Mal im Jahr mal eben das neuste Java in der kompletten IT Infrastruktur auszurollen. Hier darf man jetzt mal gespannt sein, wie sich das OpenJDK oder andere Alternativen entwickeln. So lange noch Sun im Namen stand, war vieles besser. Seit der rote Schriftzug drin steht gab es viele negative Entwicklungen und das bei allen ehemaligen Sun Produkten.

Die New York Times wechselte auf Gmail und begründet dies auch entsprechend, der eigene Betrieb von Mailservern sei zu teuer und die eigene IT kann nicht das gleiche Sicherheitsniveau bieten, wie Google es kann. In einem längeren Bericht beschreibt die NYT ausführlich ihre Beweggründe und auch die rechtlichen Fragen, die sie zusammen mit ihrer eigenen Rechtsabteilung erörtert haben. Ein weiterer Hintergrund zu diesem Schritt ist der Hack vor ein paar Jahren in das Mailsystem der Zeitung. Diesen Schritt sind aber viele in der letzten Zeit gegangen und lassen ihre Mailsysteme oder Kommunikationssysteme in der Cloud betreiben und gehen weg von on premise Installationen in diesem speziellen Bereich.

Was lange währt wird endlich gut, könnte man sagen. Windows Notepad lernt nach mehr als 30 Jahren den UNIX/Linux Zeilenumbruch \n – dass man dies noch erleben dürfte … – naja, eher ist wohl davon auszugehen, dass es die meisten gar nicht bemerkt haben dürfen und es wohl keinen Benutzer von Notepad++ & Co. zum Wechseln animieren dürfte.

Apropos Microsoft, sie müssten dieses Jahr ein Windows Update zurückziehen, weil Daten aus den Homeverzeichnissen der User verschwanden. Aber irgendwie ist das ganze Prozedere der Updates und auch gerade bei den neuen Systemen nicht wirklich ganz so glücklich. Dafür hat der Microsoft Defender positiv überrascht und glänzt mit teilweise sehr guten Erkennungsraten, die sich auf dem Niveau andere kommerzieller Produkte befindet. Nach über 30 Jahren ist die Cebit nun Geschichte, in 2019 wird es keine Cebit mehr geben. Die seit 1986 bestehende Messe hatte in den letzten Jahren mit immer weiter sinkenden Besucherzahlen zu kämpfen und die Messe AG zieht nun die entsprechenden Konsequenzen, nach all ihren erfolglosen Versuchen das Konzept der Cebit zu ändern.

Die NASA-Sonde Voyager 2 hat hat Anfang November ebenfalls die Heliosphäre, wie ihre Schwester Voyager 1, verlassen und befindet sich im interstellaren Raum. Damit ist sie das zweite Objekt, welches von Menschen erschaffen wurde, was diese Grenze überschritten hat. Der Beweis wurde mit dem seit über vierzig Jahren arbeitenden Instrument Plasma Spectormeter (PLS) erbracht, was den Teilchenstrom unserer Sonne misst. Da dieser an der Grenze der Heliosphäre zum interstellaren Raum eher abrupt aufhört, konnte dies durch das Instrument an Board festgestellt und somit der Beweis erbracht werden. Im Jahr 2025 wird voraussichtlich das Ender der wissenschaftlichen Mission erreicht. Wir wünschen weiterhin eine gute Reise.

Da sich nun das Jahr langsam aber sicher dem Ende neigt, wird es Zeit für die ruhigen Tage damit man den Stress des Alltags hinter sich lassen kann und auch die Zeit findet diese Tage mit Familie und Freunden genießen zu können. An dieser Stelle möchten wir uns auch noch einmal ausdrücklich bei allen Kunden, Partnern, der Distribution, den Herstellern und allen die uns sonst noch im Jahr begleitet haben für das vergangene Jahr bedankten. Es ist nicht einfach selbstverständlich, dass wir gemeinsam ein so erfolgreiches Jahr mit vielen Projekten und auch Herausforderungen so positiv abschließen können. Das geht nur in der Gemeinschaft und daher noch einmal ein herzliches Dankeschön an alle, mit denen wir zusammenarbeiten dürften.

Auch möchten wir an diejenigen denken, die ein weniger glückliches Jahr erleben mussten oder nicht wie wir in einem Land der Welt in diesem Wohlstand leben dürfen. Die vielleicht in einem Land leben, in dem Dinge, die für uns einfach selbstverständlich sind, dort völlig unerreichbar oder gar nicht erst vorhanden sind, wie auch an Kinder und Jugendliche, die eigentlich ihr Leben noch vor sich haben sollten. An all diese möchten wir auch denken und verzichten, wie auch in den vergangenen Jahren, auf die üblichen Weihnachtspräsente und spenden dieses Jahr an die Welthungerhilfe, an Ärzte ohne Grenzen und an das Kinderhospiz Löwenherz in Syke. Durch die positive Resonanz wissen wir, dass das in ihrem Sinne ist und möchten uns auch hierfür ausdrücklich bedanken und wir so auch hier gemeinsam etwas von unserem Glück mit anderen teilen.

 

Wir wünschen allen ein frohes Fest, ruhige und angenehme Tag zum Jahreswechsel und vor allem ein frohes und gutes neues Jahr.

Das andere Enterprise Routing

Wenn man an Enterprise Routing denkt, fallen einem direkt Namen wie zum Beispiel Juniper, Cisco oder Alcatel-Lucent bzw. jetzt Nokia ein. Aber inzwischen haben sich noch ganz andere Hersteller und Produkte im Enterprise Routing etabliert, die viele noch gar nicht so wahrgenommen haben. Vor allem sind es dabei softwarebasierende Systeme, die diesen Schritt erfolgreich geschafft haben, aber auch nicht nur.

Ganz klassisch gehörte das Routing immer zu den üblichen Größen im Markt und die man auch gerade, wenn man so wie doch einige Mitarbeiter der salutec eher aus dem ISP und Carrier Umfeld kommen, spontan denkt. Noch vor ein paar Jahren war es so, Router sind von Juniper oder Cisco bzw. auch von Alcatel-Lucent und zum Anfassen mit blinkenden LED’s und werden in’s Rack geschraubt. Für viele Anwendungsfälle ist das nach wie vor auch die richtige Wahl. Aber eben nicht mehr für alle, denn die IT Welt steht nicht still und entwickelt sich immer weiter. Insbesondere im Bereich des Netzwerks, wo es riesige Sprünge in der Technologie und Entwicklung gibt. Die Betriebssystemvirtualisierung befindet sich aktuell mehr in einer Phase der Sättigung und die großen Fortschritte in der Entwicklung, wie man sie aus der Vergangenheit kannte, bleiben aktuell eher aus und sind mehr den Detailverbesserungen gewichen. Aber auch dies kann sich in Zukunft schnell wieder ändern. Denn im Bereich Software ist noch lange nicht das Potential ausgeschöpft, wie bei mancher Hardware die sich am Rande der physikalischen Grenzen bei ihrem aktuellen Design bewegt. In der Welt der Virtualisierung ist es VMware mit NSX-V und NSX-T, die zeigen wohin die Reise in Sachen Netzwerk geht, bei der immer mehr der klassischen Netzwerkfunktionen in Software abgebildet werden. Dass dies auch für große Umgebungen gilt, hat Google mit Projekt “Espresso” bewiesen, welches einen großen Teil (?) des kompletten Google Peering Traffics routet. Natürlich kann man die Umgebung von Google nicht zwingend mit denen eines Unternehmens vergleichen, aber darum ging es auch gar nicht. Es war nur ein Beispiel dafür, dass heute Routing im Software Defined Networking ebenso gut, wenn nicht sogar besser funktioniert, als mit Hardware und etwas Firmware je möglich gewesen wäre. Unabhängig davon, dürfte das Verhältnis von Preis und Leistung bei den Softwarelösungen deutlich günstiger ausfallen. Wobei wir nun genau beim Thema dieses Beitrags sind, Alternative Hersteller mit ausreichender oder guter Qualität für den Enterprise Bereich. Mit Vyatta gab es vor ein paar Jahren einen entsprechenden Ansatz Router in Software bereitzustellen. Brocade erwarb damals in 2012 Vyatta und wollte das Produkt entsprechend vermarkten, aus welchen Gründen auch immer ist dies nicht gelungen, obwohl Vyatta einer der Pioniere in diesem Bereich war. Brocade hat sich von außen betrachtet nicht gut angestellt, mit dem was sie da in Händen hatten und, man muss es schon so sagen, dass Potential einfach nicht richtig erkannt und entsprechende Fehler gemacht, im Gegensatz zu anderen. Auf Basis von Vyatta, als es noch OpenSource war, haben sich zwei Produktlinien entwickelt, die man heute zu den professionellen Produkten im Bereich Routing zählen muss und die sich vor allem in vielen Bereichen sehr bewährt haben. Diese beiden Produktlinien sind im Bereich Software VyOS und bei Hardware die EdgeRouter Serie von Ubiquiti. Warum diese beiden Produktlinien verwandt sind, zeigt ein kleiner Blick ins Innere der Systeme. Beide nutzen Debian als Basis und einen Vyatta-Fork auf dem das Router System jeweils basiert. Das darunterliegende Debian fungiert nur als Träger der eigentlichen Router-Applikation. Die Befehle sind sehr Juniper-like, wie auch der Systemaufbau. Bei Junos ist es FreeBSD auf dem das eigentliche System aufsetzt und hier eben Debian. Eine weitere Gemeinsamkeit ist der Root-Zugriff auf das jeweils darunter liegenden System. Zwar möchte sich dieser Artikel mehr auf VyOS konzentrieren aber auch von die EdgeRouter nicht gänzlich vernachlässigen, da diese im kommerziellen Umfeld immer mehr an bedeutung gewinnen. Dies zeigt sich vor allen in der stetigen Weiterentwicklung der EdgeRouter Modelle die es auch mit acht SFP+ Anschlüssen und immer Hardwarebeschleunigung gibt. Die Basis der EdgeRouter ist eine MIPS Architektur und basiert meist auf dem Octeon SoC von Cavium. Auch Provider wie zum Beispiel die Telekom setzen beim Endkunden nicht mehr, wie es vor ein paar Jahren noch üblich war, Cisco Router ein, sondern Systeme von ADTRAN. Der Markt ist hier ebenfalls im Wandel und das bekommen die etablierten Hersteller deutlich zu spüren. Das liegt vor allem an der Qualität und Zuverlässigkeit, der hier im Artikel beschrieben Systeme mit VyOS und EdgeRouter die damit zum neuen Enterprise Routing zählen und auch problemlos eingesetzt werden können. Vor allem eröffnen sich damit völlig neue Optionen in Sachen Design und Möglichkeiten. Beide bieten einen großen Funktionsumfang in den jeweiligen Systemen und im Fall von Ubiquiti vor allem auch das passende Management dazu, welches bei den traditionellen Herstellern oft nur mit weiteren Lizenzkosten möglich ist. An diese Stelle auch noch mal der ganz klare Hinweis, es geht um Router mit vielleicht besseren ACL’s aber nicht um Enterprise Firewalls. Daher diese klare Abgrenzung, denn diese Router bieten keine UTM- oder echte NGFW-Funktionen. Es sind echte Router und Gateways und genau das machen sie richtig gut. Dabei ist sogar der Funktionsumfang eines EdgeRouters noch etwas höher, als der von VyOS. Der EdgeRouter ist ein Stück Hardware und VyOS ist das passende Stück Software für die virtuelle Welt. Der Vollständigkeit Halber muss man aber erwähnen, dass sich das VyOS auch problemlos direkt auf einer Hardware installieren lässt. Bei AWS kann man zum Beispiel ein passendes VyOS mit wenigen Mausklicks über den Marketplace bereitstellen und es gibt fertige OVA Images für VMware. VyOS hat zwar jüngst angekündigt die fertigen Pakete der kommenden LTS Versionen kostenpflichtig zu machen aber auch diese gleichzeitig kostenfrei für alle die am Projekt in irgendeiner Weise mitarbeiten zur Verfügung zu stellen. Dieser Schritt ist lt. den Entwicklern notwendig, um die Weiterentwicklung von VyOS sicher zu stellen. Grundsätzlich bleibt aber VyOS OpenSource und alle Quellen stehen frei zur Verfügung. Dieser Schritt ist völlig nachvollziehbar, denn wie bei so vielen OpenSource Projekten nutzen einige Firmen diese Basis und dann mit ihren kommerziellen Produkten Geld damit zu verdienen, ohne jedoch etwas an die Community zurückzugeben. Aber nun zurück zum Thema. Durch den Einsatz von VyOS lassen sich sehr viele Szenarien direkt in der virtuellen Welt abbilden, zu denen man vorher noch teure Hardware benötigte. Ein VyOS Router ist zwar kein Ersatz für VMwares NSX, aber wenn man nur einen Border Gateway oder Router als VM benötigt, ist man hier genau richtig.

Sowohl VyOS als auch die EdgeRouter sind Systeme, die sich an professionelle Anwender richten und bei den Administratoren eine entsprechende Qualifizierung voraussetzen. Dies ist aber kein Argument gegen, sondern speziell für diese Systeme, denn man bekommt einen hochfunktionalen Router mit einem großen Funktionsumfang und vor allem mit einer vollwertigen CLI, wie es bei professionellen Netzwerkkomponenten üblich ist. Dynamische Routing Protokolle sind ohne zusätzliche Lizenzkosten implementiert und können problemlos auch in größeren Umgebungen eingesetzt werden.

Der Trend weg von den oft kostenintensiven Systemen der traditionellen Hersteller und hin zur Abbildung der Funktionen in Software bzw. zu kostengünstigeren Herstellern ist schon länger zu beobachten. Gerade im Bereich der Basisnetzwerkfunktionen ist dies sehr häufig der Fall. Auch im Segment von Loadbalancern und Application Delivery Controllern (ADC) ist dies zu beobachten. Geht es über diese Basisfunktionen hinaus, spielen ganz andere Faktoren eine wesentlich wichtigere Rolle und führen auch zu einer anderen Beurteilung eine Produkts. Wer aber genau vor diese Frage steht, mit welchen Systemen sich diese Basisfunktionen realisieren zu lassen, sollte auf jeden Fall einen Blick auf die Systeme jenseits der traditionellen Hersteller werden. Wer Fragen zum Thema Netzwerkdesign und Routing auf Basis neuer Systeme hat, kann sich gerne an uns wenden.