Mit einem aus der Cloud kommenden Sicherheitsservice und dazu passender spezifischer Hardware beim Endanwender präsentiert der deutsche Newcomer Ocedo ein interessantes Konzept. Angeboten wird der neue Service über Integratoren oder Provider, die den Sicherheitsservice in ihr Portfolio integrieren können.
Viele Niederlassungen sowie kleine und mittelgroße Firmen haben kaum IT-kundiges Personal, dafür aber durchaus Sicherheitsprobleme. Gleichzeitig sind kleinere Integratoren und Provider dringend auf neue, servicelastige Geschäftsmodelle angewiesen, denn in dem bloßen Verkauf von Hard- und Software steckt heute nur noch wenig Perspektive.
Mit einem neuen Sicherheitsservice wendet sich Ocedo an beide Zielgruppen: an die einen als Anwender, an die anderen als Vertriebspartner. Anders als reine Serviceanbieter, deren Angebote sich derzeit vermehren wie Sand am Meer, hat aber Ocedo dazu noch Hardware im Programm. Sie wird beim Endkunden installiert, hat jedoch keinerlei Bedienelemente, nur Ports, an die Endgeräte oder weitere Netzelemente angesteckt werden können. Die Verwaltung des Geräteparks und vor allem der daran angeschlossenen Mitarbeiter nebst ihrer Endgeräte erfolgt komplett übers Internet mittels der in der Cloud gespeicherten Lösung Ocedo Connect, einem gehosteten Controller.
Ocedo versteht Connect als eine SDN-Implementierung. Der Controller nutzt Open-Flow-Komponenten wie vSwitch, aber nicht das Open-Flow-Protokoll. ?Das ist nicht flexibel genug?, sagt Marcel Gehrlein, Vice President Engineering. Eine mandantenfähige Connect-Instanz soll für 30 bis 50 Endkunden und deren Mitarbeiter oder Geräte reichen, neue Instanzen lassen sich jederzeit einrichten. Bedient wird die Instanz jeweils vom Serviceanbieter.
Die Ocedo-Hardware ? drei Access Points für 802.11n und demnächst auch den ac-Standard im 5-GHz-Band, mehrere Gateway-Ausführungen und Switches mit unterschiedlichen Portzahlen ? wurde in Deutschland entwickelt. Die Teilefertigung erfolgt in Thailand, die Endmontage übernimmt mit Apligo ein Unternehmen aus Bruchsal. Fürs erste Jahr rechnet Marcel Gehrlein, Vice President Engineering, mit einer vierstelligen Gerätezahl. Bis zu 300 Partner sollen den Service hierzulande anbieten, vor allem auf Sicherheit und Netzwerke spezialisierte Integrationen oder Service Provider. Zudem baut Ocedo bereits das Geschäft mit Partnern im Ausland auf.
Gemietete Hardware und managed Servicees
Die Lösung ist darauf angelegt, dass der Servicepartner des Endkunden, der das Ocedo-System bedient und den Endkunden mit dem Sicherheitsservice beliefert, die gesamte Konfiguration und Verwaltung über die Managementoberfläche erledigt. Natürlich kann das Unternehmen auch seinen Endkunden Zugriff gewähren. Die Endkunden zahlen dafür einen jährlichen Subskriptionspreis pro Ocedo-Gerät, der für Access Points bei etwa 95 Euro jährlich liegt. Die Preise für Switches werden sich in ähnlichem Rahmen bewegen, die für Gateways etwas höher liegen. Dafür bekommen sie den Service.
In dem Gateway stecken ein Freescale-Chip, der unter anderem die Verschlüsselungsalgorithmen und Netzschnittstellen liefert, sowie Linux-basierende Open-Source-Software, namentlich IP-Tables, auf die Lösungen wie die Firewall zurückgreifen. Funktionen wie Loadbalancing zwischen verschiedenen Links wurden von Ocedo hinzuprogrammiert oder aus Open-Source-Bibliotheken übernommen und produktspezifisch umgebaut.
Bei der Servicenutzung können Endanwender jede beliebige Kombination der Ocedo- Gerätetypen einsetzen. Auch die Kombination mit Geräten anderer Hersteller ist möglich ? allerdings muss dann von Hand nachkonfiguriert werden, was einen der wesentlichen Vorteile der Lösung, die einfache Konfiguration von Zonen und VLANs durch den Dienstleister über die Web-Schnittstelle, ganz oder teilweise hinfällig macht.
Wird ein Ocedo-Gerät beim Endanwender an eine Internet-Verbindung angesteckt, dann meldet es sich automatisch bei der zentralen Ocedo-Connect-Controllerinstanz im Rechenzentrum des Providers. Dort wird es von einer Rendezvous-Funktion registriert, aber noch keiner Kundeninstallation zugewiesen. Später lässt sich dieses Gerät einfach durch die Eingabe einer Seriennummer spezifizieren. So kann es nicht vorkommen, dass ?Geister-Geräte? irgendwo herumstehen. Die erkannten Geräte lassen sich später zuordnen und übers Web kundenspezifisch konfigurieren.
Ein Gateway brauchen Endanwender vor allem dann, wenn sie ihr Netzwerk stark zonieren wollen und zonenübergreifende VPNs planen. Auch rein softwarebasierende virtuelle Gateways, die innerhalb einer VM laufen, lassen sich konfigurieren. Switches dienen vorwiegend zur Anbindung von Wireless APs oder drahtgebundener Geräte. Unternehmen, deren Mitarbeiter lediglich kabellose Endgeräte benutzen, kommen mit Wireless-APs aus, die direkt mit dem vorhandenen Internet-Router oder dem Ocedo-Gateway (für mehr Komfort) verbunden werden können.
Nutzerzentrierte Sicherheit
Die Sicherheitsimplementierung ist nutzerzentriert. Die Einrichtung eines Kunden beginnt damit, Adresse und Namen seiner Zentrale über eine einfach zu bedienende Maske einzugeben und dann Niederlassungen hinzuzufügen. Für das Rechtemanagement lassen sich ein vorhandenes Active Directory (Microsoft), Google-Apps-Directory und später auch andere Directory-Typen einlesen. User oder Endgeräte können sehr einfach in Gruppen zusammengefasst werden. Genauso einfach werden den Geräteports vorhandene Verbindungstypen zugewiesen, die Zonierung durchgeführt und gegebenenfalls VPNs über verschiedene Niederlassungen hinweg definiert. So lassen sich beispielsweise auch Gäste-Zonen mit verringerten Zugriffsrechten einrichten.
Ocedo bietet eine Liste vordefinierter Anwendungen an, etwa Yahoo oder Youtube, für die jeweils nutzerspezifische Zugriffsrechte per Mausklick definierbar sind. Endkundenspezifisch lassen sich hier beliebige weitere Applikationen hinzufügen, beispielsweise das ERP-System des Kunden. Dies ist eine Aufgabe für den Servicepartner, mit dem der Endkunde zusammenarbeitet. Auch dafür sind nur wenige Klicks und Eingaben notwendig. Jeweils ist nur das Anklicken einiger weniger Punkte notwendig, den Rest erledigen die von Ocedo entwickelten Algorithmen im Hintergrund.
WLAN-Planung inklusive
Noch nicht sehr funktionsreich, aber komfortabel ist die WLAN-Planungsfunktion. Mit ihr lassen sich vorhandene Pläne einlesen, bemaßen und dann mit Access Points bestücken. Dabei kann man unter verschiedenen Profilen wählen. Vordefiniert sind beispielsweise besonders dichte Umgebungen, Hochleistungsumgebungen mit wenigen Nutzern oder Umgebungen mit besonders großer Reichweite.
Nach der Auswahl des Profils, zu dem bestimmte Sendeleistungen gehören, lassen sich im Plan per Maus die APs platzieren. Dann wird die Abdeckung sichtbar ? unterschiedlich farbcodiert für verschiedene WLAN-Standards, Überschneidungs- und Kollisionsflächen. ?Das Tool berücksichtigt heute noch nicht alle Details, wir sind aber dabei, es zu verbessern?, sagt Gehrlein.
Sicherheit wird neben den Rechtevergaben etwa dadurch hergestellt, dass das System alle über Ocedo-Systeme nach draußen kommunizierenden Endgeräte registriert. Sie tauchen dann in einer Geräteliste auf. Nicht registrierte Endgeräte oder Nutzer werden so schnell entdeckt. Gegen maliziöse Web-Präsenzen soll das System die Anwender reputationsbasiert durch Blacklists schützen, die Ocedo demnächst von externen Dienstleistern beziehen möchte. Von wem ist jedoch noch nicht entschieden.
Eine Antivirus-Lösung ist nicht integriert ? sie entspräche heute nicht mehr dem vorwiegenden Angriffsverhalten. Anwender müssen also auch mit Ocedo einen Virenscanner auf dem Endgerät vorhalten.
Fazit
Ob deutsche Anwender damit glücklich sind, ihre Sicherheit gänzlich in den Hände eines Dienstleisters zu geben und keinerlei Bedienelemente mehr an ihren Netzsystemen vorzufinden, ist eine spannende Frage. Überzeugt das Geschäftsmodell die Endkunden, entsteht hier ein interessanter Mehrwertdienst, mit dem spezialisierte Integratoren ihr Portfolio aufpeppen können.