WHITEPAPER

Die Security für Service Providers-Referenzarchitektur von F5

Updated October 28, 2013
  • Share via AddThis

Einleitung

Kommunikationsdienstleister (CSPs, Communication Service Providers) müssen sicherstellen, dass Kunden erfolgreich telefonieren und ihre Smartphone-Apps mit zuverlässiger Konnektivität nutzen können, und differenzierte Dienste für mehr Wettbewerbsfähigkeit und Stimulation der relativ flachen Umsatzströme. Service-Provider müssen daher eine überlegene Netzwerkqualität garantieren, ohne die Komplexität oder die Kosten zu erhöhen. Da sich Sicherheitsbedrohungen die Netzwerkqualität und das Kundenerlebnis direkt beeinträchtigen, hat Sicherheit oberste Priorität, und CSPs müssen sich ständig gegen eine wachsende Anzahl von Bedrohungen verteidigen.

Während Service-Provider mit einem explosiven Datenwachstum zu kämpfen haben, zwingt sie der Wettbewerbs- und Branchendruck zu zeit- und kostenintensiven Upgrades für 4G LTE. Diese Umstellung verändert die der Bedrohungslandschaft dramatisch. Darüber hinaus stehen IPv6-Migrationen und die Network Functions Virtualization (NFV)-Technologie unmittelbar bevor oder werden bereits eingeführt. Infolgedessen benötigen CSPs vielschichtige Unterstützung, damit ihre Netzwerke vorhersehbar, zuverlässig und verfügbar bleiben.

F5 bietet eine Suite dynamischer, mehrschichtiger Sicherheitslösungen, die diese CSP-Anforderungen über die gesamte Service Delivery-Architektur hinweg erfüllen können. Herkömmliche Firewalls und Einzelprodukte bieten nicht die zum Schutz der gesamten CSP-Infrastruktur erforderliche Breite. Die Sicherheitslösungen von F5 helfen CSPs dabei, ihre Netzwerke zu optimieren, zu sichern und zu monetarisieren, indem sie ihre Bereitstellungsarchitekturen und -abläufe vereinfachen, die Serviceverfügbarkeit und -zuverlässigkeit erhöhen sowie Informationen und Kontrolle über Anwendungen bieten – und das alles bei geringeren Kosten.

Herausforderungen

Die Sicherheitslandschaft für Service-Provider verändert sich dramatisch, da der Übergang zu 4G LTE die Service Delivery-Architektur flacher, offener und vollständig IP-basiert macht. Infolgedessen sehen sich Service-Provider zunehmend komplexen, vielschichtigen, gemischten und groß angelegten Angriffen auf Teilnehmer und die Service-Infrastruktur gegenüber. Die Beeinträchtigung des Netzwerks durch böswilliges Verhalten wie DoS-Angriffe, Botnets, Identitätsdiebstahl und kompromittierte Systeme muss ebenso verhindert werden wie unbeabsichtigte sicherheitsrelevante Probleme wie Signalisierungsstürme und falsch konfigurierte Systeme.

Gleichzeitig müssen CSPs zur Steigerung der Geschäftsleistung die Kosten senken und die betriebliche Effizienz ihrer Netze verbessern – und das trotz der derzeit hohen Kosten für die Bereitstellung von 4G-LTE-Diensten und die sichere Verwaltung des explodierenden Datenverkehrs, der die gesamte Infrastruktur belastet. Schließlich sind in den neuen 4G-LTE-Architekturen strategische Netzwerkelemente wie Richtlinienverwaltung, DNS-Adressierung und IMS-Dienste auf eine neue Signalisierungsinfrastruktur angewiesen, die ebenfalls geschützt werden muss.

In dieser Umgebung stehen Service-Provider unter anderem vor folgenden Sicherheitsherausforderungen:

  • Gefährdung der Dienstverfügbarkeit durch DoS und Distributed-Denial-of-Service (DDoS)-Angriffe, IP-Port-Sweeps und Signalisierungsstürme.
  • Datendiebstahl etwa von persönlichen und Bankinformationen, Unternehmensdatenbeständen bis hin zu Passwörtern.
  • Malware auf Endgeräten und Servern, die die Leistung verringert oder den Dienst stört.
  • Hochentwickelte dauerhafte Bedrohungen (Advanced Persistent Threats, APT), die aufgrund unzureichender Zugangskontrollen Netzwerk- und Rechenzentrumsressourcen gefährden.
  • Angriffe auf Webanwendungen wie die OWASP Top 10.

Herkömmliche Netzwerk-Firewalls bieten weder die erforderliche Skalierbarkeit, Flexibilität und Intelligenz, noch sind sie einfach zu verwalten. CSPs müssen reaktionsschnell sein, um angesichts der wachsenden Anzahl von immer raffinierteren Angriffen effektive Sicherheit zu gewährleisten. Hinzu kommt, dass die Bedrohungen nicht nur aus dem Internet kommen, sondern Angriffe durch DDoS-Botnets, Malware und andere Quellen mittlerweile auch von Mobilgeräten ausgehen. Da die Bedrohungen nun bidirektional sind, müssen Sicherheitslösungen auch bidirektionalen Schutz für die Netzwerkinfrastruktur bieten können.

Andere traditionelle Schutzmethoden versuchen, viele Einzelprodukte wie DDoS-Appliances, DNS-Appliances, Web Application Firewalls und Load Balancer zusammenzufügen – doch dieser Ansatz erhöht die architektonische Komplexität und Latenz und fügt dem Netzwerk potenzielle Ausfallpunkte hinzu. Darüber hinaus ist es aus betrieblicher Sicht extrem schwierig und ressourcenintensiv, die Produkte mehrerer Sicherheitsanbieter mit unterschiedlichen Systemen und Technologien zu verwalten und zu unterstützen. Noch schlimmer ist, dass Sammlungen von Einzelprodukten keine Informationen aus verschiedenen Angriffsvektoren integrieren oder eine einheitliche Verteidigung bieten. Umfassende Informationen über Angriffe sind von entscheidender Bedeutung, denn wenn Sicherheitsprobleme im Netzwerk ungelöst bleiben, häufen sich Serviceanrufe, unzufriedene Kunden und Abwanderung.

Lösungen

Erfolgreiche Sicherheit erfordert einen mehrschichtigen Lösungsansatz. CSPs brauchen eine Service-Delivery-Architektur mit einem ein breiten Spektrum an Sicherheit im Netzwerk, auf den Geräten der Benutzer und im Rechenzentrum. Innerhalb des Netzwerks müssen die Lösungen sowohl auf der Daten- als auch auf der Steuerungsebene Schutz bieten: auf der Datenebene, um die Kerninfrastruktur für mobile Pakete zu schützen, und auf der Steuerungsebene, um die Messaging- und Signalisierungsinfrastruktur zu schützen. Im Rechenzentrum müssen die Lösungen Schutz auf Anwendungsebene für die Dateninfrastruktur und die gehosteten Anwendungen selbst bieten.

F5 bietet eine Reihe dynamischer, mehrschichtiger Sicherheitslösungen, die Service Providern helfen, die gesamte Infrastruktur zu schützen und so zu skalieren, dass sie intelligent und flexibel unter den anspruchsvollsten Bedingungen arbeiten. Im Gegensatz zu konkurrierenden Einzelprodukten, die nur eine begrenzte Anzahl von Sicherheitsproblemen lösen, stützen sich die Sicherheitslösungen von F5 auf eine einheitliche Plattform und unübertroffene Funktionen, die Bedrohungen in der gesamten CSP-Infrastruktur handhaben können. So helfen diese Lösungen Service-Providern, ihre Netzwerke zu sichern, zu optimieren und zu monetarisieren.

Diagramm
Die Security für Service Providers-Lösung von F5

F5-Plattformen sind zertifizierte Firewall-Lösungen, die die Netzwerkarchitektur vereinfachen, mehr Flexibilität für eine schnelle Reaktion auf neue Bedrohungen, Carrier-Grade-Performance und Zuverlässigkeit bieten. Diese universellen Plattformfunktionen sind in allen F5-Lösungen implementiert, die unterschiedliche Funktionen in der Kerninfrastruktur von CSPs erfüllen sollen:

  • Sicherheit für das Paketkern (S/Gi)-Netzwerk
  • Sicherheit für die Messaging- und Signalisierungsprotokolle
  • Sicherheit für Internetrechenzentren

Die Lösungen fügen sich in eine einheitliche Service-Delivery-Architektur ein, die ein Höchstmaß an Sicherheit und ein optimales Erlebnis für die Teilnehmer bietet.

F5 bietet kein einzelnes Sicherheitsprodukt für diese Architektur an. Stattdessen wird die Lösung durch die Kombination intelligenter und skalierbarer Komponenten innerhalb des F5-Sicherheitsportfolios bereitgestellt: eine einheitliche Plattform, die den F5 BIG-IP Advanced Firewall Manager (AFM), BIG-IP Application Security Manager (ASM), BIG-IP Global Traffic Manager (GTM), BIG-IP Local Traffic Manager (LTM) und den F5 Traffix Signaling Delivery Controller (SDC) umfasst.

  • BIG-IP AFM ist eine leistungsstarke, zustandsbehaftete Full-Proxy-Netzwerk-Firewall, die sowohl DDoS-Angriffe auf Netzwerkebene wie SYN-Floods als auch Angriffe auf der Session-Ebene wie SSL-Floods abwehrt.
  • BIG-IP ASM, eine Advanced Web Application Firewall, nutzt die umfassende Anwendungskenntnis von F5, um HTTP-basierte Angriffe zu erkennen und die Auswirkungen zu minimieren.
  • BIG-IP GTM ist eine skalierbare DNS- und DNSSEC-Lösung, die DNS-basierte Netzwerk- und Session-Angriffe auf die DNS-Infrastruktur abwehrt.
  • BIG-IP LTM ist eine Lösung zur Anwendungsbereitstellung, die ein inhaltsbasiertes, intelligentes Trafficmanagement bietet.
  • Traffix SDC ist eine Diameter-Routing-Lösung, die Topology Hiding und Signaling Storm Protection von Drittanbietern bereitstellt.

Warum diese Lösung funktioniert

Die Sicherheitslösungen von F5 bieten wichtige Funktionen, die die gesamte Servicearchitektur durchdringen: Skalierbarkeit, Flexibilität, Anwendungstransparenz, Verwaltbarkeit und Performance. Daher können CSPs es vermeiden, mehrere Einzelprodukte unterschiedlicher Anbieter in verschiedenen Teilen der Service Delivery-Architektur unterstützen zu müssen. Dies ermöglicht ein breites Spektrum an Sicherheit ohne die Kosten und die betriebliche Komplexität einer Multi-Vendor-Umgebung.

Vielmehr vereinfachen die Lösungen von F5 durch dynamische, mehrschichtige Sicherheitsfunktionen auf einer einheitlichen Plattform die CSP-Architekturen und deren Betrieb, erhöhen die Serviceverfügbarkeit und -zuverlässigkeit, bieten Anwendungsbewusstsein und senken die Investitions- und Betriebskosten. Das Ergebnis ist eine überlegene Netzwerkqualität, die die Kundenzufriedenheit direkt verbessern kann.

Hauptfunktionen und Vorteile

Die Sicherheitslösungen von F5 bieten eine Reihe wichtiger Funktionen, um die Anforderungen von CSP-Servicebereitstellungsarchitekturen zu erfüllen. Diese Funktionen sind in die einheitliche Plattform integriert, um ihre Vorteile maximal auszunutzen.

  • Eine Full Proxy-Architektur: Diese Architektur ermöglicht es F5-Geräten, Sitzungen zu terminieren, zu inspizieren und weiterzuleiten, um höchste Transparenz und Kontrolle zu gewährleisten.
  • Skalierung und Leistung: Eine einzelne F5-Plattform skaliert auf bis zu 576 Millionen gleichzeitige Verbindungen, 640 Gbit/s Durchsatz und 8 Millionen Verbindungen pro Sekunde, um selbst die größten volumetrischen Angriffe zu entschärfen.
  • Eine einheitliche Plattform: Die F5-Plattform stellt mehrere Sicherheitslösungen als softwarebasierte Dienste auf einer gemeinsamen Systemarchitektur bereit, um den Betrieb zu vereinfachen und die Gesamtbetriebskosten zu senken.
  • Flexibilität und Programmierbarkeit: Die F5-Plattform bietet die Flexibilität anpassbarer Sicherheitsrichtlinien durch die Skriptsprache F5 iRules. Außerdem bietet sie automatisierte Programmierbarkeit und Orchestrierungsintegration über die F5 iControl- und F5 iCall-APIs. Ein vom Benutzer anpassbares Framework vereinfacht und beschleunigt die Sicherheitsimplementierung im gesamten Netzwerk über F5 iApps Templates.
  • Virtuelle Hardware- und Software-Editionen: F5-Plattformen werden auf dedizierten, hochleistungsfähigen Hardware- und Softwaregestützten virtuellen Editionen unterstützt, die NFV-bereit sind, um die ultimative betriebliche Flexibilität zu bieten.
  • Verfügbarkeit und Zuverlässigkeit: Das System bietet hohe Verfügbarkeit und Zuverlässigkeit durch Hardware-Redundanz, Synchronisierung, Zustandsüberwachung und automatischen Failover-/Failback-Funktionen.
  • Verwaltbarkeit: Mit einer ausgefeilten Management-Suite können CSPs Firewall-Richtlinien zentral verwalten, Sicherheitsrichtlinien logisch auf bestimmte Anwendungen abstimmen, die Wirksamkeit von Richtlinien auf allen Geräten überwachen und Richtlinienänderungen überprüfen.
  • DDoS-Bewusstsein und Schutz für alle Schichten: BIG-IP AFM ist DDoS-bewusst und kann automatisch Floods verhindern und Dutzende von Angriffen auf L2–L4 in Hardware-Implementierungen mit Leitungsgeschwindigkeit handhaben. Die DDoS-Lösungen von F5 bieten Sicherheit auf der Netzwerk-, Session- und Anwendungsebene.

Geschäftliche Vorteile

Die Sicherheitslösungen von F5 bieten CSPs eine Reihe von Vorteilen.

  • Vereinfachung von Architektur und Betrieb: Die einheitliche Plattform von F5 umfasst eine Reihe von Sicherheitslösungen für Daten- und Signalisierungsnetzwerke sowie für Rechenzentren, damit Service-Provider ihre Sicherheitsarchitekturen durch weniger Einzelprodukte und verschiedene Anbieter zu vereinfachen. Da die Lösungsplattform umfassend ist, verringert sich zudem der Wartungs-, Schulungs- sowie Fehlerbehebungsaufwand und die Sicherheitsrichtlinien der gesamten Bereitstellungsinfrastruktur werden zentral steuerbar.
  • Verbesserte Performance: F5-Produkte konsolidieren Sicherheitsfunktionen in einer einheitlichen, leistungsstarken Plattform, die die Anzahl der Netzwerksprünge und Latenzzeiten reduziert und dank Hardwarebeschleunigung Sicherheit mit hoher Performance vereint.
  • Verteidigung gegen volumetrische Angriffe mit unvergleichlicher Skalierbarkeit: Die Sicherheitslösungen von F5 bieten Service-Providern eine stark skalierbare Plattform mit einem überragenden Durchsatz, Verbindungen pro Sekunde und gleichzeitigen Sessions, um Umgebungen mit starkem Traffic vor volumetrischen Angriffen zu schützen.
  • Verbessertes Serviceerlebnis: Mit den Lösungen von F5 können Service-Provider Richtlinien pro Benutzer (statt pro IP-Adresse) einsetzen, um sich vor Angriffen und Bedrohungen zu schützen und eine bessere Serviceverfügbarkeit und -zuverlässigkeit zu gewährleisten. Dadurch pflegen Service-Provider das Vertrauen ihrer Kunden und schützen ihre Servicequalität, Kundendaten und Ruf vor schädlichen Cyber-Attacken.
  • Geringere Kosten: Die F5-Plattform konsolidiert die Sicherheitsfunktionen in einem einheitlichen Framework, um die Investitions- und Betriebskosten zu senken. Darüber hinaus sinken die Gesamtbetriebskosten durch die hohe Skalierbarkeit und Kapazität der F5-Plattform, weil Zeitaufwand für das Gerätemanagement, Kosten für Stellfläche und Stromkosten sinken.
  • Mehr betriebliche Flexibilität: Service-Provider können über die Skriptsprache iRules auf Zero-Day-Angriffe und andere Bedrohungen reagieren, ohne Notwendigkeit für Signatur-Updates oder Software-Upgrades. iRules erlauben F5-Lösungen die Kommunikation und Interaktion mit Orchestrierungssystemen für Richtlinien-Updates und externe Überwachung, während die iControl-API eine praktische Schnittstelle zu Protokollierungs- und Berichtssystemen bietet.
  • Hardware- oder virtuelle Editionen wählbar: F5-Sicherheitsdienste können sowohl als dedizierte Hardware – von einer Reihe von Appliances bis hin zu chassisbasierten Systemen – als auch in softwarebasierten virtuelle Editionen bereitgestellt werden. Die Kombination bietet passt sich flexibel an den aktuellen Bedarf und das verfügbare Budget an. F5 bietet auch Virtual Clustered Multiprocessing (vCMP) für die gemeinsame Nutzung von Ressourcen auf Appliances und Chassis-Blades an.
Diagramm
Die Security für Service Providers-Architektur von F5

Schlussfolgerung

F5-Security für Service Providers bietet eine dynamische, mehrschichtige Sicherheitsarchitektur für CSPs, die mit wachsenden Sicherheitsbedrohungen zu kämpfen haben – ganz zu schweigen vom explosivem Datenwachstum, stagnierenden Umsatzquellen, 4G-LTE-Upgrades und sich schnell ändernden Standards und Technologien. Um in dieser herausfordernden Umgebung überlegene und differenzierte Kundenerfahrungen zu bieten, brauchen CSPs qualitativ hochwertige Netzwerke, die vorhersehbar, zuverlässig und verfügbar, aber weder zu komplex noch zu kostspielig sind. Die F5-Suite für Service-Provider hilft beim Schutz der gesamten Infrastruktur und skaliert so, dass sie auch unter den anspruchsvollsten Bedingungen mit intelligent und flexibel funktionieren kann.

Gegenüber Konkurrenzprodukten, die nur eine begrenzte Anzahl von Sicherheitsproblemen lösen, basieren die Sicherheitslösungen von F5 auf einer einheitlichen, skalierbaren Plattform zur Abwehr von Bedrohungen in der gesamten CSP-Infrastruktur. Die Sicherheitslösungen von F5 bieten außerdem wichtige Funktionen für bessere Skalierbarkeit, Flexibilität, Anwendungstransparenz, Verwaltbarkeit und Performance der gesamten Servicearchitektur. Ohne die Komplexität verschiedener Einzellösungen mehrerer Anbieter können CSPs die Service Delivery-Architektur vereinfachen und umfassend absichern.