TAP-Technologie: Sicherheit auf allen Ebenen | Corning

Cloud-Computing ist stark im Trend. Immer mehr Unternehmen setzen auf diese Infrastruktur. Nahezu in fast allen IT-Bereichen. Allerdings galt Sicherheit lange Zeit als K.O.-Kriterium für den Umstieg. Um die Cloud-Umgebung zu sichern, sind Netzwerk TAPs (engl. Traffic Access Points) eine Lösung.

Bereits jedes zweite Unternehmen in Europa ist der Überzeugung, dass Cloud-Services entscheidend für die digitale Transformation sind. Auch deutsche Unternehmen springen auf den Zug auf. Laut einer Bitkom-Erhebung aus dem Jahr 2018 nutzen zwei Drittel aller deutschen Unternehmen Cloud-Anwendungen.

Der Wandel hin zu cloudbasierten Geschäftssystemen und -anwendungen bringt jedoch nicht nur Chancen, sondern auch einige Risiken mit sich. Wenn Dienste unterbrochen werden oder Sicherheitslücken zu Datenmissbrauch führen, kann das katastrophale Auswirkungen haben. Insbesondere im Fall hochsensibler Daten bei Regierungsbehörden oder bei medizinischen und personenbezogenen Daten.

Das Thema Netzwerksicherheit rückt immer mehr in den Mittelpunkt. Sowohl Software als auch Hardware spielen dabei eine wichtige Rolle. Denn mit der Cloud kommen neue potentielle Hardwareschwachstellen hinzu. Anwendungen werden außerhalb des eigenen Rechenzentrums gehostet, was es für Netzwerkadministratoren schwerer macht, die Netzwerkleistung in Echtzeit nachzuverfolgen und zu analysieren. Durch Systemverzögerungen und Switch-Überlastung kommt es zum Absturz von kritischen Anwendungen im Rechenzentrum und im SAN (engl.: Storage Area Network). Das IT-Team muss daher stetig auf der Hut vor potenziellen Sicherheitsbedrohungen sein.

Um die Cloud-Umgebung zu sichern, gibt es jedoch verschiedene Maßnahmen. Ein präventiver Ansatz mit Netzwerkadministration, strukturierter Verkabelung und Netzwerküberwachung bietet einen wirksamen Schutz durch effektive Fehlererkennung und Zugang zu Leistungs- und Nutzungsdaten. Zudem sorgt er dafür, dass die vorgenommenen Änderungen wirklich nur die gewünschten Ergebnisse produzieren.

Darüber hinaus kommen in Netzwerküberwachungssystemen momentan hauptsächlich zwei Technologien zum Einsatz: Switched Port Analyzer (kurz: SPAN), auch bekannt als Port-Spiegelung, und Traffic Access Point (kurz: TAP).

Beim SPAN-Port werden Datenpakete vom Switch oder vom Router an das Testgerät zur Analyse weitergeleitet. Dabei kopiert der SPAN-Port den Datenverkehr von einem beliebigen benutzten Port zu einem unbenutzten und verhindert bidirektionalen Datenverkehr. So fließen keine Daten ins Netzwerk zurück.

Ein passiver TAP ermöglicht hingegen die Weiterleitung des Datenverkehrs eines Netzwerks und die gleichzeitige Überwachung der Netzwerkverbindungen ohne Beeinträchtigung oder Unterbrechung des Datenstroms im aktiven Netzwerk. Hierzu wird der Datenverkehr mithilfe passiver optischer Splitter an ein verbundenes Überwachungsgerät übertragen.

Der unterbrechungsfreie Betrieb der IT steht bei allen Unternehmen an oberster Stelle. Es ist daher ratsam, eine Lösung zu implementieren, mit der die Netzwerküberwachung ohne Beeinträchtigung der aktiven Anwendungen funktioniert.

Da passive TAPs die Signale nicht replizieren, sondern einfach nur aufsplitten, kann ein Teil des Signals offline oder out-of-band registriert werden, um den eingehenden bzw. ausgehenden Datenverkehr zu analysieren, ohne die aktiven Anwendungen zu beeinträchtigen.

SPAN-Ports müssen von einem Netzwerktechniker konfiguriert werden, was zu Problemen bei der Aufrechterhaltung der Betriebszeit führen kann. So kann ein nicht deaktivierter SPAN-Port während einer Netzwerkaktualisierung als Netzwerk-Port genutzt werden. Dies kann zu einem sogenannten „Bridging-Loop“ mit ernsthaften Leistungsproblemen führen. Im Gegensatz zu SPAN-Ports haben TAPs den Vorteil, dass kein Netzwerktechniker notwendig ist.

Bei SPAN ist es für gewöhnlich so: je höher die Datenraten, desto höher die Kosten. Beispielsweise ist ein 10-Gigabit-Switch-Port teurer als ein 1-Gigabit-Switch-Port, während ein TAP-Port bei 1 Gigabit genau so viel kostet wie ein TAP-Port bei 10 Gigabit oder sogar 40 Gigabit. Aus diesen Gründen wird passives optisches Tapping für höhere Datenraten immer beliebter.

Die Integration des TAPs in die strukturierte Verkabelung ist möglich, jedoch nicht zwingend erforderlich. Außerdem können entweder FBT-Splitter (engl. Fused Biconical Taper) oder Dünnschicht-Splitter eingesetzt werden.

Für Betreiber, die ihre Netzwerke überwachen wollen, bieten integrierte TAPs viele Vorteile. Sie erfüllen nicht nur die gleiche Funktion wie ein normal strukturiertes Verkabelungsnetzwerk, sondern senden auch einen Teil des Lichts an die Überwachungselektronik.

Nicht integrierte TAPs müssen hingegen als eigenständige Komponenten außerhalb der strukturierten Verkabelung bereitgestellt werden, sodass die Verbindung vorübergehend deaktiviert werden, wenn die überwachten Ports ausgetauscht werden müssen. Bei integrierten TAP-Modulen können überwachte Ports verschoben, hinzugefügt und geändert werden, ohne das aktive Netzwerk zu beeinträchtigen.

Entscheidend ist der Installationsort. Die Repräsentation eines TAP-Ports als MPO-Stecker (engl.: Multi-fiber push-on) auf der Rückseite des Moduls bietet maximale Flexibilität beim Aufbau eines Netzwerks mit strukturierter Verkabelung. Dies ermöglicht zudem eine physische Trennung von aktiven Netzwerkports und TAP-Ports in verschiedene Schrankbereiche. Dadurch können die aktiven Überwachungsgeräte zentral installiert werden. Dies führt zu Kosteneinsparungen, da die Nutzung der aktiven Überwachungsgeräte optimiert und das Risiko von Patching-Fehlern reduziert wird.

Die direkt in die strukturierte Verkabelung integrierte Lösung ist der größte Vorteil von TAP-Modulen. In Verbindung mit der Hochleistungsdünnschicht-Multimode- und Singlemode-Splitter-Technologie wird die Übertragung weniger stark abgeschwächt, was größere Ethernet- und Fibre-Channel-Distanzen ermöglicht.

Im Gegensatz zu FBT-Splitter, die je nach Installationsort zu Bitfehlerraten führen können, können Dünnschicht-Splitter ohne Auswirkungen auf die Bitfehlerrate an jedem beliebigen Ort im System installiert werden. Auch der Systemaufbau kann so flexibler gestaltet werden, da Dünnschicht-Splitter längere Distanzen für das aktive Netzwerk und die Überwachungsgeräte ermöglichen.

Bei integrierten TAP-Modulen erfolgt das Tapping/Monitoring in alle Verbindungen sofort nach der Implementierung. Optional können auch nur bestimmte Verbindungen überwacht werden. Da keine Änderungen an der bestehenden Verkabelungsinfrastruktur vorgenommen werden müssen, wird das Netzwerk nicht unterbrochen.

Da integrierte TAP-Module denselben Platz wie herkömmliche MPO- oder LC-Module einnehmen, ist die Integration einer Überwachung in ein bestehendes Netzwerk ganz einfach: Netzwerkadministratoren müssen nur ein herkömmliches Modul gegen ein TAP-Modul austauschen.

Spätestens seit Einführung der DSGVO (Datenschutz-Grundverordnung) kann mangelnder Datenschutz zu hohen Kosten führen. Ein neuer Entwurf des von der Bundesregierung geplanten IT Sicherheitsgesetzes 2.0 sieht bei künftigen Verstößen erhebliche Bußgelder vor. Betreiber sollen zum Schutz kritischer Infrastrukturen und zur Einführung von Cyberstrategien und anderer Schutzmaßnahmen verpflichtet werden Daher müssen Unternehmen ihre Netzwerke auch auf Hardware-Ebene in- und auswendig kennen und skalierbare Sicherheits- und Überwachungslösungen integrieren. Die TAP-Technologie bietet diese Möglichkeit, was sie zu einer pragmatischen und realistischen Option für eine robuste und langfristige Lösung macht.

Cindy Ryborz und Tony Robinson
Corning Optical Communications
Letzte Aktualisierung: März 2025