Cisco hat gerade seine neueste Sicherheitsinitiative angekündigt: Cisco Hypershield! Diese spannende Entwicklung hat viele Fragen aufgeworfen, und wir sind hier, um Klarheit zu schaffen. Hypershield ist kein herkömmliches Produkt im vertrauten 19″-2U-Format für unsere Rack-Schränke. Stattdessen handelt es sich um ein revolutionäres Konzept, das auf einer Kombination aus innovativen Technologien und einer neuen Herangehensweise an Sicherheitsprobleme basiert. Anstatt also zu versuchen, es in einem einzigen Satz zusammenzufassen, fangen wir von vorn an.
Es war einmal eine Zeit, da waren Firewalls physische Kästen mit zwei, vielleicht drei Schnittstellen. Die Guten (harmlose Mitarbeiter) waren intern verbunden, während die Bösen (fiese Hacker) ausgesperrt blieben.

Diese Firewalls passten perfekt in die damalige IT-Architektur, in der unsere Maschinen und Daten intern untergebracht waren – genau das, was wir mit unserer Firewall schützen wollten.
Im Laufe der Zeit stellten wir fest, dass nicht alle Außenseiter böse waren. Es gab auch Kunden da draußen, die wir in unser Unternehmen einladen wollten. Marketing, WebShops und Selbstbedienung wurden in die Onlinewelt verlagert, was zu erheblichen Effizienzsteigerungen führte.
Dies bedeutete jedoch auch, dass die Firewall weiter in das Unternehmen hinein verlegt werden musste, um die internen Systeme nach Bedarf zu segmentieren. Systeme mit Kundenzugang, Partner und verschiedene interne Einheiten wie Clients und Server wurden auf verschiedenen Firewall-Schnittstellen getrennt, um den Datenverkehr zwischen ihnen zu kontrollieren.
Es war auch eine Zeit, in der eine Anwendung normalerweise auf einem einzigen Rechner lief. In der Tat konnten mehrere Anwendungen auf demselben Rechner laufen. Es war üblich, einen Datei- und Druckserver, AD und DNS auf demselben Server laufen zu lassen. Auch ein SMTP-Server (für den Postverkehr zwischen Unternehmen) und ein IMAP-Server (für den E-Mail-Zugang der Kunden) konnten auf demselben physischen Rechner laufen. Die Firewall befand sich in der Mitte des Ganzen, und durch die Verwendung von IP-Adressen und Portnummern konnte man den Zugang zu diesen Anwendungen kontrollieren.
Doch jetzt ist alles anders. Mit dem Einsatz von Clouds und Containern kamen Microservices auf. Das bedeutet, dass alle Funktionen und Dienste, die früher in Anwendungen eingebettet waren, wie z. B. der oben erwähnte Mailserver, jetzt als Mikrodienste erscheinen. Ihre SMTP- und IMAP-Dienste werden in separaten Containern ausgeführt und befinden sich nicht unbedingt auf demselben Rechner. Sie können auf mehrere Server und sogar auf verschiedene Rechenzentren in verschiedenen Teilen der Welt verteilt sein.
Die größte Herausforderung besteht jedoch darin, dass aus Gründen der Skalierbarkeit und Redundanz wahrscheinlich mehrere Container denselben Dienst ausführen, so dass man nie weiß, wo sich die Funktionen befinden. Die Dienste bewegen sich dynamisch. Es würde niemanden mehr überraschen, wenn ich sagen würde, dass ich derzeit meine E-Mails in Frankfurt sende und empfange, sie aber von einer IP-Adresse lese, die zu einem Rechenzentrum in Irland gehört.
Aber wo bleibt da unsere gute alte Firewall? Wo platzieren Sie Ihre Firewall, um den Datenverkehr zu kontrollieren, und wie konfigurieren Sie sie, wenn Sie nicht wissen, wo sich Ihre Anwendungen und Funktionen befinden?
Ein Paradigmenwechsel – neue Technologie und neue Kombinationen
Wir stehen vor einem Paradigmenwechsel, und es wird deutlich, dass unsere zuverlässige alte Firewall trotz Cluster-Technologie und NG-Funktionen nicht ganz mithalten kann.
Cisco hat sich in weiser Voraussicht der Cloud- und Container-Welt zugewandt, neue Technologien übernommen und sie auf eine neue, innovative Weise kombiniert. Es gibt drei Haupttechnologien, mit denen wir uns in Zukunft vertraut machen müssen. Lassen Sie uns mit einem kurzen Überblick beginnen:
eBPF – Extended Berkeley Packet Filter
eBPF ist eine Technologie, die die dynamische Injektion von Funktionen in einen Betriebssystem-Kernel ohne Neukompilierung ermöglicht. Im Gegensatz zu Programmen, die oberhalb des Kernels laufen, arbeitet eBPF innerhalb des Kernels als Teil von ihm. Das bedeutet, dass Sie Funktionen mit minimalem Platzbedarf ausführen können und direkten Zugriff auf alle Systemaufrufe, Kernel-Ressourcen und Informationen erhalten. Sie können auf Daten aktiver Prozesse und Bibliotheken auf Rechnern zugreifen, den Zugriff auf CPU, RAM, Festplatte und – ganz wichtig – auf alle Netzwerkpakete, die in den Rechner ein- und ausgehen, sowie auf einzelne Prozesse und Anwendungen. eBPF bietet zahlreiche erweiterte Funktionen. So können Sie beispielsweise benutzerdefinierte „Tags“ erstellen und verwenden, so dass Sie sich keine Gedanken mehr über IP-Adressen und Portnummern machen müssen. Außerdem können Sie, falls gewünscht, den Datenverkehr zulassen oder blockieren und ihn umleiten, z. B. an einen Proxy.
eBPF stammt aus der Open-Source-Welt und unterstützt seit langem die Geschäftsmodelle der Cloud-Anbieter. In der Vergangenheit war selbst bei mehreren Anwendungen und Diensten auf demselben Rechner die CPU wahrscheinlich mehr als 80 % der Zeit im Leerlauf, und die Festplatte war nur halb voll. Diese „Ressourcenverschwendung“ untermauert das Geschäftsmodell der Cloud-Anbieter, die CPU-Zyklen und Festplattenspeicher verkaufen, nicht die Hardware selbst.
Die Kontrolle von Prozessen und Ressourcen ist entscheidend dafür, dass dieses Modell funktioniert. Es ist nicht gut, wenn der Prozess eines Kunden den eines anderen stoppen oder auf den Speicher oder die Festplatte eines anderen Kunden zugreifen kann. eBPF löst dieses Problem und kann Fragen zu Systemaufrufen, aktiven Prozessen, Bibliotheken und Ressourcen beantworten. Wir können all diese Fähigkeiten und Informationen nutzen. Wir können kontrollieren, was jeder Workload tun kann, und die Informationen nutzen.
Erinnern Sie sich an Log4J im Dezember 2021? In einer häufig genutzten Datenbank tauchte eine Sicherheitslücke auf, die viele von uns veranlasste, ihren Urlaub damit zu verbringen, ihre Rechner auf Sicherheitslücken zu überprüfen. Uns fehlte einfach der Überblick. Mit eBPF haben wir einen besseren Überblick und können Kontrollen einführen, um Katastrophen zu verhindern und künftige Urlaubssaisons zu sichern.
Stellen Sie sich Tausende kleiner, miteinander verbundener Baby-Firewalls innerhalb einer großen eBPF-Domäne vor. Alle Ihre Arbeitslasten und schließlich Ihre Netzwerkgeräte werden an dieser Domäne teilnehmen. Mit diesem Einblick auf Kernel-Ebene können wir Firewalls nicht nur auf der Grundlage von IP-Adressen und Portnummern, sondern auch auf der Grundlage von Prozessen, Bibliotheken und Ressourcennutzung erstellen.
Wir können Regeln definieren, die es einem Prozess eines Workloads in einem Teil der Welt erlauben, mit einem Prozess eines Workloads in einem anderen Teil der Welt zu kommunizieren. Es besteht möglicherweise keine Notwendigkeit, IP-Pakete über das Netzwerk zu senden, wenn der empfangende Prozess nicht läuft!
„Aber das gilt doch nur für unsere Arbeitslasten; was ist mit Netzwerkgeräten?“ – werden Sie vielleicht fragen – und ich danke Ihnen dafür!
DPUs (Data Processing Units – SmartNICs)
Cisco pflegt eine strategische Partnerschaft mit Nvidia, einem Unternehmen, das Sie wahrscheinlich durch seine Hochleistungs-Grafikkarten für Spiele-PCs und seine außergewöhnlichen GPUs (Graphics Processing Units) kennen. Nvidia produziert außerdem DPUs (Data Processing Units – SmartNICs) mit derselben hohen Performance, die als Äquivalent zu GPUs auf der Netzwerkkarte dienen. DPUs sind bereits in mehreren Cisco-Geräten vorhanden und werden in Zukunft wahrscheinlich eher die Norm als die Ausnahme sein.
Neben ihrer unglaublichen Geschwindigkeit verfügen DPUs über ein Merkmal, das in den Ankündigungen von Cisco eine wichtige Rolle spielt: Die Dual-Path-Technologie. Dies ist das Ergebnis einer durchdachten Innovation.
Bei dieser Technologie werden sämtliche Daten an zwei Ebenen gesendet. Die eine ist für die Produktion, während die andere die Pakete einfach verwirft. Wir messen jedoch fortlaufend, wie das Ergebnis für die Pakete in unserem „Testpfad“ ausgesehen hätte. So können wir neue Regeln testen, Patches anwenden und sogar unsere Firewall „on the fly“ aktualisieren. Wenn alles gut aussieht, schalten wir auf die andere Datenebene um und nennen sie „Produktion“. Eine integrierte Testumgebung – was kann es besseres geben? Ich habe aufgehört zu zählen, wie oft ich in einem dunklen Keller saß und mir wünschte, alle Anwendungen würden nach einem Firewall-Upgrade noch laufen.
Ach ja, habe ich schon erwähnt, dass diese DPUs für die Teilnahme an Ihrer neuen eBPF-Domäne konzipiert sind? Voilà – Firewall überall!
Künstliche Intelligenz
Ja, ich weiß, dass einige Leser mit den Augen rollen und kurz davor sind, ihren Browser zu schließen, aber warten Sie einen Moment … Ja, ChatGPT macht Fehler, und ich verstehe die Notwendigkeit, diese neue technologische Revolution zu respektieren, aber ehrlich gesagt habe ich nicht so viel Angst vor KI wie vor RHS (Real Human Stupidity). Außerdem ist KI bereits Teil unseres täglichen Lebens – ob es uns gefällt oder nicht!
Wenn Sie bis hierher gelesen haben, sind Sie wahrscheinlich im Besitz eines Smartphones. Wenn ja, ist es wahrscheinlich schon eine Weile her, dass Sie den Atlas in Ihrem Auto aktualisiert haben. Vielleicht haben Sie noch nie eine Reise mit einem Atlas aus Papier auf dem Esstisch geplant. Die meisten von uns verlassen sich dabei auf KI: Google Maps, Toskana – Go!
Wenn alle Fahrgäste auf das versprochene Eis oder die nächste Toilette fixiert sind oder schon schlafen, bevor das Auto die Einfahrt verlässt, nehme ich gerne jede Hilfe an, die die Technik bietet.
KI glänzt hier – mit zahlreichen Datenpunkten von anderen Fahrern, ihren Geschwindigkeiten, Straßenverläufen und externer „Intelligenz“ wie Unfallberichten, Baustelleninformationen und sogar Wetterbedingungen. In Kombination mit historischen „Big Data“ und fortschrittlichen Algorithmen leitet uns die KI um Staus und Unfälle herum und sorgt dafür, dass wir jedes Jahr die Toskana schnell und sicher erreichen.
Selbst wenn ich Zugang zu all diesen Daten hätte, könnte ich sie niemals manuell verarbeiten – schon gar nicht in Echtzeit. Davon bin ich ein großer Fan!
Früher sammelten wir manuell Informationen über Anwendungen, Portnummern, Bedrohungen und Schwachstellen, um unsere Sicherheitskonfigurationen und Firewall-Regeln zu erstellen. Das war ein langsamer, manueller Prozess. Heute haben wir dank eBPF, Workloads, Big Data und Intelligence eine Fülle von Informationen zur Verfügung. Tatsächlich haben wir so viele Informationen, dass es für einen Firewall-Administrator unmöglich wäre, sie alle zu verwalten und zu interpretieren. Deshalb wenden wir uns an KI… und wie ein weiser Mensch einmal sagte: „KI ist das, was wir nennen, wenn wir ihr noch nicht ganz trauen – danach nennen wir es einfach Automatisierung.“
In Zukunft werden wir KI nutzen, um Regelwerke zu definieren. Anfänglich müssen wir diese Regeln vielleicht noch genehmigen, aber mit all unseren Angaben können diese Regeln viel granularer und dynamischer gestaltet werden. Stellen Sie sich einen Prozess auf einem Rechner vor, der einmal im Monat mit dem Prozess eines anderen Rechners kommuniziert, z. B. die Lohnabrechnung. Beide Rechner sind Teil Ihrer Sicherheits-Domain, und mit eBPF wissen wir, dass beide Prozesse laufen. Wir wissen auch, wann die Kommunikation stattfinden soll und welche Daten betroffen sind. Das System kann also auf beiden Rechnern und allen dazwischen liegenden Netzwerkgeräten eine Firewall-Regel erstellen, die diese spezifische Kommunikation mit den jeweiligen Daten zulässt. Die Regel könnte sogar zeitabhängig sein und nur einmal im Monat mit den aktuellen IP-Adressen aktiviert werden. Alle anderen Maschinen, Prozesse, IP-Adressen und Daten würden diese Kriterien nicht erfüllen, und ihre Kommunikation wäre nicht erlaubt. Wenn ein Prozess nicht läuft, brauchen wir nicht alle unsere Firewalls zu öffnen.
Ich weiß, dass dies ein stark vereinfachtes Beispiel ist, und Sie stellen es zu Recht in Frage, aber der Punkt ist, dass wir über eine riesige Menge an Informationen und Telemetrie verfügen, die wir auf intelligente Weise nutzen können, um kontextspezifische Regeln zu erstellen.
eBPF, DPUs in Netzwerkequipment, und KI
In der Tat handelt es sich um drei Schlüsselkomponenten: eBPF, DPUs in Netzwerkgeräten und KI. Zusammen bilden sie das Äquivalent der IT-Architektur zu einem „Kinderüberraschungsei“, das die wesentlichen Bausteine zur Bewältigung künftiger (und aktueller) Firewall-Aufgaben und mehr liefert:
Segmentierung
Die Segmentierung ist die Hauptaufgabe, für die Firewalls konzipiert sind. Dabei geht es nicht nur um Stateful-Firewalls, sondern auch um NG-Funktionen und die Integration in den Kern unserer Workloads. Die Regeln können auf Prozessen, Bibliotheken und der Ressourcennutzung basieren. In Kombination mit der verteilten Architektur ermöglicht uns dies, Firewalls an viel mehr Orten zu implementieren, was viel besser in die neue, dezentralere Welt passt. Sie verspricht auch, unsere Ziele der Mikrosegmentierung innerhalb unseres Rechenzentrums zu erreichen.
Administration und Wartung
Mithilfe von KI und Dual-DataPath können wir Funktionen, Patches und Regeln aktualisieren, während wir betriebsbereit bleiben. Wir brauchen nicht auf „Wartungsfenster“ zu warten und zu hoffen, dass die Anwendungen danach noch funktionieren.
Schwachstellen-Management
Mit Echtzeitinformationen und Einblicken in die Workload-Konfigurationen ist ein effektives Schwachstellenmanagement möglich, das die Zeit bis zur Behebung der Schwachstellen erheblich verkürzt.
Regelerstellung und -pflege
Regeln die geprüft und zur Genehmigung bereit sind – und sobald wir Vertrauen in das System aufgebaut haben, nennen wir es Automatisierung.
Zusammen bilden diese drei Komponenten – eBPF, DPUs und KI – einen robusten und anpassungsfähigen Rahmen für die Verwaltung und Sicherung moderner IT-Infrastrukturen.
OK – 2 davon, bitte!
Immer mit der Ruhe. Cisco hat sich auf eine Reise begeben, die uns an einen besseren Ort bringen soll. Das Unternehmen hat Technologiefirmen erworben, um die Gleise für diesen schnell fahrenden Zug zu legen.
Isovalent
Isovalent ist für die Cloud und besonders für Kuberneten das, was Cisco für die „alte Netzwerkwelt“ ist, und sie haben nur vier Tasten auf ihrer Tastatur: e-B-P-F. Daher sind sie den Kubernetes-Benutzern nicht unbekannt, wo sie eine absolut dominante Position einnehmen. Aber die Strategie geht darüber hinaus. DPUs sind nur der erste Schritt – in Zukunft wird jede Cloud-VM, serverlose Funktion, DB usw. einbezogen! So können Sie diese Funktionen in Ihre eigene eBPF-Domäne mit Ihren eigenen Regeln bringen.
Splunk
Viele von uns kennen Splunk aus der SIEM-Welt, und Gerüchte besagen, dass das Unternehmen fortschrittliche KI entwickelt. Bedenken Sie, dass das Unternehmen von Anfang an auf ML (Machine Learning) und KI aufgebaut war.
Cisco ist in der Lage, diese Aufgabe durch eine bedeutende Zusammenarbeit mit Nvidia und mehrere andere Übernahmen und Partnerschaften zu bewältigen. Es wird eine lange Reise werden, und die erste Station kommt wahrscheinlich eher früher als später. Gerüchten zufolge soll noch in diesem Sommer ein eBPF-Agent auf den Markt kommen, und danach fährt der Zug weiter zur nächsten Station.
Erwarten Sie jedoch nicht, dass das System während der diesjährigen Reisesaison voll einsatzfähig ist. Sie müssen Ihre Systeme weiterhin schützen, Ihre Firewalls aktualisieren und sich wie gewohnt über Bedrohungen und Schwachstellen informieren. Es ist auch wichtig, neue Sicherheitsinvestitionen nicht aufzuschieben, da dies zu riskant ist. Cisco strebt einen reibungslosen Übergang an, sowohl in technischer als auch in wirtschaftlicher Hinsicht.
Aber… gewöhnen Sie sich an den Gedanken. Informieren Sie sich über KI, nutzen Sie sie und halten Sie sich über ihre Entwicklung auf dem Laufenden. Informieren Sie sich über eBPF und erkunden Sie die Möglichkeiten. Erkundigen Sie sich bei Ihren Lieferanten und überlegen Sie, ob Ihre Organisation und Ihre Prozesse diese neue Technologie verkraften können. Der Zug wird kommen – daran besteht kein Zweifel. Die Frage ist nur: Wann steigen Sie ein?