Security fürs Forschungsnetz
(Picture: GEANT)
Dass Hackerangriffe nicht nur Wirtschaftsunternehmen treffen, haben die Attacken gegen mehrere Supercomputer im Frühjahr 2020 gezeigt. Auch wissenschaftliche Netze müssen abgesichert werden – immerhin liegen hier unwiederbringliche Forschungsdaten und zahllose persönliche Informationen. Im europäischen GÉANT-Projekt befasst sich ein eigenes Arbeitspaket deswegen mit dem Thema Sicherheit.
Die Projektreihe GÉANT hat das Ziel, die nationalen Forschungsnetze zu verbinden und Services für eine globale Wissenschafts-Community bereitzustellen. Das erste GÉANT-Projekt zur Vernetzung der NRENs (National Research and Education Networks) ging bereits im Jahr 2000 an den Start. Das LRZ begleitet GÉANT seit rund 15 Jahren als Partner des DFN. Heute befasst sich GÉANT nicht mehr nur mit der Vernetzung, sondern bietet auch zahlreiche internationale und pan-europäische Services für Forschung und Lehre an. Ein Beispiel dafür ist eduroam (Education Roaming), ein fast schon weltweiter Verbund für die WLAN-Nutzung an Hochschulen. Alleine im Versorgungsbereich des LRZ sind zu Spitzenzeiten täglich fast 43.000 Geräte registriert.
Aktuell läuft innerhalb der Projektreihe GÉANT 4 Phase 3 (GN4-3), das Anfang 2019 startete und planmäßig 2023 enden wird. Neben der weiteren Verbesserung der bestehenden Dienste legt das aktuelle Projekt einen Schwerpunkt auf die Sicherheit. Dazu finden sich unterschiedliche Initiativen in GN4-3, darunter:
Trust & Identity: Für die Sicherheit und Vertraulichkeit von Daten und Diensten sind Identitätsmanagement und Vertrauenswürdigkeit aller Komponenten unverzichtbar. Im Zusammenspiel der NRENs entwickelt und betreibt GÉANT Dienste in diesem Bereich.
Security Operation Center (SOC): Um das Monitoring auf sicherheitsrelevante Vorfälle und die Alarmierung NREN-übergreifend zu koordinieren und schnellere Reaktionen zu ermöglichen, soll ein zentrales SOC etabliert werden.
Security Baselining: Um die Sicherheitsvorkehrungen aller beteiligten NRENs zu harmonisieren, wurden als ein Deliverable in GN4-3 Security Baselines festgelegt, die organisatorische, technologische und strukturelle Maßnahmen formulieren und dabei Hilfestellung für deren Umsetzung bieten.
Authentifizierung
Trust & Identity sind eine zentrale Komponente innerhalb von GÉANT. Um die Authentifizierungstechnologien der verschiedenen nationalen Forschungsnetze und der Industriepartner zu verbinden, sind einheitliche Workflows und Standards notwendig. „Innerhalb des Netzes wird zwischen Service-Providern und Identity-Providern unterschieden“, so Stefan Metzger, stellvertrender Abteilungsleiter Kommunikationsnetze am LRZ. Greift ein Benutzer des LRZ auf eine Ressource eines externen Service-Providers zu, erfolgt die Authentifizierung des Users über das LRZ als Identity-Provider. Für den Anwender ist kein lokales Konto beim Service-Provider notwendig. Realisiert werden Mechanismen des föderierten Identitätsmanagements (FIM), über einen zentralen Metadaten-Service und das darauf aufbauende Zusammenspiel von Service- und Identity-Providern.
Zudem muss in dem Verfahren zwischen zwei unterschiedlichen Authentifizierungsverfahren vermittelt werden: Einerseits bevorzugen die Universitäten meist SAML (Security Assertion Markup Language), ein XML-Framework zum Austausch von Authentifizierungs- und Autorisierungsdaten. In der Industrie hingegen ist das dezentrale Authentifizierungssystem OpenID Connect für webbasierende Dienste weit verbreitet.
Sichere Authentifizierung alleine reicht natürlich nicht, um die Netze sicher zu machen. Daneben gibt es zahlreiche technische und organisatorische Maßnahmen. Neben den obligatorischen Standards wie Firewalls zum Schutz der Netze gegen Denial-of-Service-Angriffe spielt dabei in GN4-3 besonders das Vulnerability-Management eine große Rolle. Hier wird ein europaweiter Dienst aufgebaut, um Systeme auf Schwachstellen zu überprüfen. „Bei Vulnerability-Scans spielt die Außensicht auf die Systeme, die ‚Angriffsfläche‘, eine große Rolle“, so Metzger. „Wenn die Infrastrukturbetreiber das komplett selbst machen, geht diese Perspektive eines potenziellen Angreifers meist verloren.“ Wichtige Fragen, die es hier zu entscheiden gibt: Welche Technologien werden eingesetzt? Wann und wie lange sollen Scans erfolgen? Und wo werden die Scanner idealweise platziert? Ein ähnlicher Ansatz ist auch bei der zentralen Überwachung der Infrastrukturen in Planung in Form eines europaweiten Security Operations Centers (SOCs). Metzger begrüßt diesen Schritt: „Es wäre gut, wenn es neben dem Network Operation Center auch ein SOC geben würde, das auf europäischer, NREN-übergreifender Ebene für Überwachung, Alarmierung und dergleichen zuständig wäre.“
Harmonisierte Standards
Doch klar ist: Technologien alleine machen Netze und Infrastrukturen nicht sicher. Security ist in weiten Teilen auch eine Frage der Organisation und der beteiligten Personen. Um die Vielzahl der Security-Ansätze zu strukturieren, hat das Projektteam einen Security-Leitfaden entwickelt. Darin werden die Mindeststandards beschrieben, die ein NREN auf jeden Fall erfüllen sollte. Diese werden nach drei Reifegraden gestaffelt – je nachdem, wie groß ein NREN ist und wie kritisch die bereitgestellten Dienste sind. Die Security Baseline umfasst dabei die Bereiche „Policy“, „People“, „Threats“ und „Operations“.
Mit GN4-3 wurden die Sicherheitsbestrebungen innerhalb der Projektreihe deutlich ausgeweitet. Neue Ansätze wie das SOC sind dabei nicht nur im Rahmen des Projekts interessant, sondern auch für den Betrieb des LRZ und den Betrieb der Universitäten und Hochschulen in Bayern. „Forschung und Betrieb sollten sich idealerweise gegenseitig befruchten“, erläutert Metzger. „Ein SOC, das operational arbeitet im produktiven Betrieb, wäre auch für das LRZ und seine Kunden eine Bereicherung.“
Interessierte finden weitere Details in der Security Baseline for NRENs von GEANT.