Ethernet-Verschlüsselung: Große Datenmengen schnell und sicher übertragen
Layer-2-Verschlüsselung: Vorteile der L2 Box auf einen Blick
Hochperformante Layer-2-Verschlüsselung mit einem Datendurchsatz von bis zu 100 GBit/s.
Eine verschlüsselte Systemplattform mit Smartcard-Technologie.
Die Boxen sind ohne Änderung in bestehende Netzinfrastrukturen integrierbar und erlauben einen nahezu wartungsfreien Betrieb.
Die SINA L2 Box ist in unterschiedlichen Konfigurationen von VS-NfD bis einschließlich GEHEIM, NATO SECRET sowie SECRET UE/EU SECRET zugelassen.
In den verschiedenen Varianten lässt sich die SINA L2 Box S flexibel einsetzen. Mit einem Datendurchsatz von bis zu 100 GBit/s überzeugt die Lösung vor allem im Szenario der Rechenzentrumskopplung durch eine starke Verschlüsselungsleistung beim Versand großer Datenmengen unter gleichzeitiger Berücksichtigung sehr hoher Sicherheitsanforderungen für VS-NfD.
Die SINA L2 Box H ist ein Ethernet-Verschlüsselungsgerät für nationale und internationale Hochsicherheitsnetze mit BSI-Zulassung bis einschließlich GEHEIM.
Digitale Datenübertragung mit Ethernet-Verschlüsselung
Mit fortschreitender Digitalisierung und der Automatisierung von Geschäftsprozessen nimmt der Bandbreitenbedarf bei der digitalen Datenübertragung stetig zu. Gerade in Rechenzentren und Cloud-basierten Anwendungen steigen die Anforderungen schnell in den Bereich von bis zu 100 Gbit/s.
Im Umfeld von Verschlusssachen können diese Bandbreiten häufig nur über mehrere parallel eingesetzte Systeme abgedeckt werden – die SINA L2 Box S hingegen kann diese hohe Verschlüsselungsleistung mit einem einzigen System VS-NfD-konform erreichen. Das spart Platz, Energie und Wartungsaufwand.
Rechenzentrumskopplung
Mit der hohen Verschlüsselungsleistung der SINA L2 Box S können Rechenzentren über Glasfaserkabel effizient gekoppelt werden. Dies ist besonders im Umfeld von hochverfügbaren Rechenzentrums-Clustern von großem Vorteil.
So lassen sich VS-NfD-konforme Punkt-zu-Punkt-Tunnelverbindungen auf der Netzwerkebene 2 zwischen zwei oder auch mehren Rechenzentren (Ring-Topologie) aufbauen, über die die Applikationen in und auch zwischen den Rechenzentren auf Layer 2- und Layer 3-Ebene abgesichert kommunizieren können.
Die SINA L2 Box stellt dabei eine hochsichere Firewall-Funktion am Zugang zum Rechenzentrum dar, da durch die Ethernet-Verschlüsselung nur kryptographisch authentifizierte Pakte durchgelassen werden und ungültige Pakte umgehend, hardwarebasiert verworfen werden.
SINA – Sichere Inter-Netzwerk-Architektur
SINA wurde als ganzheitliches Sicherheitssystem entwickelt, das komplette digitale Infrastrukturen schützt. Im Kern sorgen perfekt aufeinander abgestimmte Netzwerkkomponenten und Clients für eine wirksame Verschlüsselung und Trennung unterschiedlich klassifizierter Daten – lokal und beim Transfer über offene Netze.
SINA wird weltweit von Regierungen, kritischen Infrastrukturen und in der Industrie eingesetzt und mit über 170.000 installierten Systemen ist SINA die führende Sicherheitsarchitektur der Bundesrepublik Deutschland.
Zentrales Management
SINA Management verwaltet und konfiguriert zentral alle Benutzer und Komponenten des SINA Produktportfolios. Die zu schützenden Netze werden strukturiert aufgebaut, konfiguriert und administriert. Mit seiner graphischen Benutzeroberfläche ermöglicht SINA Management die einfache Konfiguration der Sicherheitsbeziehungen und Zugangsberechtigungen zwischen den SINA Komponenten und Netzen.
So funktioniert SINA Management: Konfigurationsdaten, wie IP-Adresskonfigurationen oder Routing-Informationen der SINA Komponenten, werden auf den SINA ID Token geschrieben – ein vertrauenswürdiges und geschütztes Speichermedium (Smartcard, Security Token oder USB-Token mit integrierter Smartcard). Dann werden die Konfigurationsdaten auf den SINA ID Token sicher gespeichert und den SINA Komponenten zur Verfügung gestellt. SINA Management erzeugt und verwaltet dabei die für den sicheren Betrieb der Komponenten erforderlichen Schlüssel und Zertifikate und schreibt diese ebenfalls auf die Speichermedien. Mit dem SINA Management werden Infrastrukturen mit bis zu mehreren tausend SINA Geräten verwaltet.
Post-Quanten-Kryptografie
Für die künftigen Ära des Quantencomputers gilt es Verschlüsselungsverfahren zu entwickeln, die auch dann noch sicher sind (Post-Quanten-Kryptografie). Denn gängige asymmetrische Verfahren bieten keinen ausreichenden Schutz vor Angriffen durch Quantencomputer. Im Gegensatz dazu sind die vermuteten Auswirkungen auf symmetrische Primitive weniger gravierend.
Bereits heute folgt die SINA L2 Box S der BSI-Handlungsempfehlung zur „Migration zu Post-Quanten-Kryptografie“. Die SINA L2 Box S verwendet zur regelmäßigen Schlüsselableitung einen vorverteilten symmetrischer Langzeitschlüssel, der via PIN-geschützter Smartcard im Gerät verfügbar gemacht wird. Dadurch ist es möglich, den asymmetrischen Schlüsselaustausch zwischen zwei Geräten mit Hilfe eines vorverteilten Geheimnisses symmetrisch zu verschlüsseln.
Für die Kryptografie auf elliptischen Kurven bietet die SINA L2 Box S darüber hinaus die Möglichkeit von geheim gehaltenen Kurvenparametern. Dies verkleinert den Angriffsvektor gegen Attacken mit Quantencomputern, da sich die Kurvenparameter bei Kenntnis von drei Punkten auf der Kurve berechnen lassen.
Daten und Kryptografie mittels Layer 2 Verschlüsselung trennen
Die hoch performante SINA L2 Box S Lösung kann auch für die Verschlüsselung von Daten zum Einsatz kommen, die über Wavelength Division Multiplex (WDM-Verbindungen) übertragen werden. Oft wird hier auf die Verschlüsselung des gesamten Datenstroms zwischen den Endstellen gesetzt (Layer-1-Verschlüsselung). Nur in wenigen Ausnahmen ist dies aber derzeit für Verschlusssachen zertifiziert. Ein weiterer Nachteil der Verschlüsselung auf Netzwerkebene 1 ist, dass keine Trennung der Datenübertragungs- und Kryptografiefunktionen möglich ist. Doch insbesondere bei größeren Organisationen liegen diese häufig in unterschiedlichen Verantwortlichkeiten. Sollten beide Funktionen in einem System verbaut sein, ist die Zuständigkeit für den Betrieb und die Konfiguration nicht eindeutig zuordenbar.
Mit der SINA L2 Box S ist es möglich, komplette 100Gbit/s Wellenlängen-Verbindung auf Layer 2 zu verschlüsseln, ohne dass sich das in der Netzwerk-Topologie bemerkbar macht. Die Verantwortung für Kryptografie und Datentransport kann damit anforderungsgerecht getrennt werden und es können verschlüsselte und unverschlüsselten Wellenlängen gemeinsam übertragen werden.
Infrastruktur effizient nutzen
Bei der Vernetzung von verschiedenen Standorten von Behörden und Unternehmen besteht insbesondere bei sternenförmigen Topologien an den Hauptstandorten ein erheblich erhöhter Bandbreitenbedarf. Statt mehrere parallele Übergänge einzusetzen, kann eine hochleistungsfähige SINA L2 Box S integriert werden. Eine Dopplung ist dann nur noch aus Redundanzgründen erforderlich. Dadurch kann sowohl die eingesetzte Verbindungsinfrastruktur (z. B. Glasfaser) als auch der verfügbare Platz in den Netzknotenstandorten deutlich effizienter genutzt werden.
Mit Cloud-basierten-Technologien Netzwerke verwalten
Bei einem Software-definierten Wide Area Network (SD-WAN) kommen Software- und Cloud-basierte-Technologien zum Einsatz, um Netzwerke zu verwalten. Dadurch können bei modernen Netzinfrastrukturen höhere Bandbreiten erreicht und Kosten reduziert werden. Dank der Ethernet-Verschlüsselung der SINA L2 Box S kann hierbei der Datenaustausch abgesichert werden.
Bei SD-WAN-Ansätzen werden zusätzliche Informationen zur Paketweiterleitung verarbeitet, indem Regelwerke (policies) aufgestellt werden. Unter anderem werden dabei die Anforderungen der eingesetzten Applikationen sowie die Qualität der verwendeten Netzwerke mitberücksichtigt. Zum Beispiel können die Datenpakete bei Sprach- oder Videoverbindungen als solche erkannt und effizient über eine entsprechende Regel (beispielweise immer über das Netz mit der aktuell niedrigsten Laufzeit) transportiert werden.
Dabei wird zwischen Overlay und Underlay des Datentransports unterschieden. Im Overlay erfolgt die regelbasierte Weiterleitungsentscheidung (policy based forwarding). Im Underlay findet der Datentransport zwischen den Standorten statt. Da die Underlay-Netzwerke meist über sicherheitstechnisch nicht vertrauenswürdige Infrastruktur aufgespannt werden, müssen spätestens am Übergang zwischen Overlay und Underlay die Dateninhalte verschlüsselt werden.
Ein großer Vorteil beim Einsatz der SINA Layer 2 Box am Übergang zwischen Overlay und Underlay ergibt sich beim Routing von IP-Verbindungen: Statt individueller IP-basierter Weiterleitungen auf Netzwerkebene 3 wird jeweils nur der entsprechende Datentransport zwischen den Standortübergangen auf der Netzwerkebene 2 bearbeitet. Die SINA L2 Box S stellt somit eine transparente und unabhängige Verschlüsselungsfunktion bereit, ohne die vom SD-WAN bereitgestellten Netzwerkfunktion zu beeinflussen.
Werden im Wesentlichen Standorte und Rechenzentren miteinander verbunden, so ist die Anzahl der Endpunkte meist im kleinen bis mittleren Bereich – die individuellen Bandbreiten können aber zum Teil sehr hoch werden. Für dieses Anwendungsszenario eignet sich die SINA L2 Box S in ihren verschiedenen Leistungsstufen von 10 Gbit/s über 40 Gbit/s bis hin zu 100 Gbit/s optimal. Die SINA L2 Box S 100G kann dabei sowohl in Punkt-zu-Punkt-Szenarien als auch als Kopfstation (Headend) für Aggregationslösungen eingesetzt werden.
Somit sind Netzbetreiber frei bei der Auswahl einer SD-WAN-Lösung im unverschlüsselten Netzwerkbereich. Zusätzlich bietet die SINA L2 Box S eine vom jeweiligen SD-WAN-Hersteller unabhängige, transparente VS-NfD-zugelassene Lösung für sicheren Datenaustausch mittels Ethernet-Verschlüsselung „Made in Germany“.
Schicken Sie uns eine Anfrage über das Kontaktformular. Wir helfen gerne weiter.