Frank Pieper, Juniper Networks

Das Netz des Jahrhunderts

Interview mit Frank Pieper, Area Vice President für Deutschland, Österreich und die Schweiz (DACH) bei Juniper Networks, über aktuelle Bedrohungen für Netzwerke und der Abschied vom alten, statischen Netz

---

IT-DIRECTOR: Bedrohungen nehmen zu und erfordern die ständige Reaktion auf immer neue und unkalkulierbare Angriffe professionell agierender Krimineller. Ist diesen Angriffen mit Sicherheitsstrategien und -Produkten überhaupt beizukommen?
F. Pieper: Zu einem guten Prozentsatz ja. Komplette und allumfassende Sicherheit wird es nie geben, denn die größte Bedrohung kommt ja vom eigenen Mitarbeiter, von innen. Wir können mit unserer Technik nur gegen die Angriffe von außen auf die IT-Systeme vorgehen. Mafiöse und kriminelle Tätigkeiten kann niemand vollständig unterbinden. Wir können die Tore für Kriminelle weitgehend geschlossen halten. Und wir können – darauf legt der Gesetzgeber im Zusammenhang mit der Vorratsdatenhaltung sehr viel Wert – dokumentieren: Wer war denn da vor Ort und könnte es gewesen sein.

IT-DIRECTOR: Juniper verspricht Sicherheitsinnovationen quer zu Geräten, Netzwerk und Anwendungen? Was ist da in der Entwicklung?
F. Pieper: Um die Aufwände bei der Implementierung von Sicherheitslösungen zu reduzieren, arbeiten wir derzeit an einem verbesserten Management von Netzwerk- und Sicherheitsprodukten. In der Firewall am Übergang zwischen öffentlichen und privaten Netzen erledigen wir unsere Hauptaufgabe. Es folgen dann gleich weitere Prüfungen, zum Beispiel das Policy Checking (Einhaltung von sicherheitspolitischen Vorgaben – Anm. d. Red.). Wo nötig und gewünscht können wir noch per Application Firewalling eine Anwendung absichern. Sobald der User aber in die Anwendung gelangt ist und zum Beispiel mit einer betriebswirtschaftlichen Software arbeitet, ist in puncto Sicherheit bereits alles erledigt. Wenn dann die Anwendungssoftware selbst noch Sicherheitsfunktionalität beinhaltet, dann hat das mit unserer Sicherheitstechnik auf Netzwerk-Ebene nichts zu tun.

IT-DIRECTOR: Was machen die Security-Research-Teams bei Juniper?
F. Pieper: Diese Teams beobachten und analysieren rund um die Uhr neue Bedrohungen. Neben internen Recherchen ist der enge Kontakt zu verschiedenen Herstellern und Sicherheitsteams bei Partnern, Serviceprovidern und Endkunden eine wesentliche Informationsquelle. Die Ergebnisse werden dann zum Beispiel bei der Entwicklung von neuen Signaturen oder bei der Erkennung von Protokollanomalien umgesetzt. Um mit neuen Bedrohungen Schritt zu halten zu können, aktualisieren die Teams die Pattern, URLs und Decoder für unsere Antivirus-, Intrusion-Prevention- und Webfilterlösungen kontinuierlich und zeitnahe.

IT-DIRECTOR: Unter dem Namen “Virtual Gateway“ bietet Juniper ein Produkt für das virtualisierte Rechenzentrum. Versprochen wird Antivirusschutz und Monitoring gegen Malware und Hacker ohne Performance-Beeinträchtigung. Klingt wie die Quadratur des Kreises ...
F. Pieper: Gerade weil wir „Virtual Gateway“ entwickelt haben, haben wir eine Performancesteigerung hinbekommen. Warum? Wenn ich jeden Server mit einem eigenen Gateway versorge, muss ich viele Gateways betreiben, monitoren und administrieren – Gateways können durchaus auch mal ausfallen und die Performance beeinträchtigen. Dadurch dass wir eine Vielzahl von Gateways durch ein zentrales virtuelles ersetzen, vereinfachen wir die Struktur und eliminieren potentielle Störfaktoren. Gute Performancewerte erreichen wir, wenn wir unsere Security-Module im Kernel des Hypervisors integrieren auf einem virtuellen Server.

IT-DIRECTOR: Um die digitale Signatur ist es in Deutschland relativ ruhig geworden. Vor zwei bis drei Jahren war das ein großes Thema. Der ganz große Durchbruch wurde noch nicht erreicht. Woran liegt das? Hat Juniper eine Lösung?
F. Pieper: Juniper stellt keine eigenen Signaturprodukte her. Die Kunden können uns sagen, welche Signaturlösung sie einführen wollen. Die Signaturlösung wird aber in jedem Fall von anderen Firmen hergestellt oder betrieben.

IT-DIRECTOR: Welche Bedeutung hat die digitale Signatur in den USA?
F. Pieper: Die USA arbeiten mit relativ einfachen Methoden. Dort ist der Token „state of the art“, obwohl er schon in die Jahre gekommen ist. Die Digitale Signatur hätte mehr drive bekommen, wenn die Amerikaner sich stärker dafür entschieden hätten.

IT-DIRECTOR: Juniper wirbt mit der „Highend Firewall“. Ist das ein schönes Wort oder eine bestimmte Technik?
F. Pieper: Aufgrund von Sicherheitsanforderungen, Virtualisierung und der ungebremsten Vermehrung der Services und  Userzahlen brauchen wir leistungsfähigere Firewalls. Wir müssen nicht mehr ein paar hundert oder tausend User managen können, sondern gleichzeitig Zehntausende oder Hunderttausende.

Technische Besonderheit an einer Highend Firewall ist eine gute Skalierbarkeit. Sowohl die Performance als auch die Funktionalität lassen sich nachträglich erweitern. Man kann heute mit einer Firewall mit 10Gbps Performance starten und morgen die Leistung auf bis zu 120 Gbps erhöhen.

IT-DIRECTOR: Ist das eine Lösung, die ausschließlich oder überwiegend für Serviceprovider und Großunternehmen entwickelt wurde?
F. Pieper: Die Techniken, die wir auf unseren Firewalls anwenden, sind im Grundsatz auf allen Geräten gleich – unabhängig von der Nutzerzahl. Ob man bei der Sparkassenfiliale einen Router für fünf Mitarbeiter reinstellt, oder bei einem Telekommunikationsunternehmen eine Lösung für 100.000 User, ist aus dem Blickwinkel der Technik ziemlich egal.

IT-DIRECTOR: Hat Juniper eine Lösung gegen Firmenspionage?
F. Pieper: Firmenspionage ist ein weiter Begriff. Wir haben Lösungen auf der Netzwerkebene wie Firewalling, Intrusion Prevention, Applikation Firewalling und Unified Access Control im Portfolio, aber keine vollwertige Data Loss oder Leak Prevention. Wir können monitoren und dokumentieren und Annomalitäten detektieren. Ein wichtiger Punkt für die Abwehr von Firmenspionage ist die Aufklärung der Mitarbeiter über „Social Engineering“.

Wir bei Juniper haben „Social Networking Guidelines“ verbindlich festgelegt. Mitarbeiter sollen sich in sozialen Netzwerken als Mitarbeiter des Unternehmens zu erkennen geben, müssen aber in der Kommunikation mit firmenfremden Personen oder Gruppen ganz bestimmte Spielregeln einhalten.

IT-DIRECTOR: Hackerangriffe sind in letzter Zeit sehr erfolgreich. Das spricht nicht für sichere Netzwerktechnologie und deren Hersteller. Wie will Juniper den Hackern das Handwerk legen?
F. Piepier: Einige erfolgreiche Hackerangriffe der letzten Zeit gingen auf das Konto von Systemen mit mangelhaftem Design oder mangelhafter Administration. Netzwerktechnologie kann hier nicht immer vorbeugend helfen. Letztlich ist ein vernünftiger Level an Security nur dann zu erreichen, wenn man sich dafür auch durchgängig entscheidet. Die Hersteller können Vorschläge machen, aber sie können ihren Kunden nicht alle Entscheidungen aus der Hand nehmen.

IT-DIRECTOR: Juniper stellt es so dar, es gäbe das statische alte und das dynamische neue Netzwerk, das Reich der Finsternis und das Reich des Lichts. Ist das nicht ein bisschen arg holzschnittartig? Die Netzwerktechnologie hat doch in den vergangenen Jahrzehnten eine evolutionäre Entwicklung mit zahlreichen Fortschritten erlebt.
F. Pieper: Nun, die Netzwerktechnologie ist gegenwärtig komplett im Umbruch, es ist nicht übertrieben, alt und neu so entgegenzusetzen, wie wir das tun. Wir beobachten eine gewaltige Explosion bei der Zahl der User und der Geräte sowie beim Traffic. Es werden daher völlig neue Netzwerkarchitekturen benötigt.

Obwohl Netzwerkprovider viele neue Dienste anbieten, haben sie dennoch alte Dienste beibehalten. Sie betreiben ISDN-, Daten- und MPLS-Netzwerke sowie Netzwerke für internetbasierte Services. Hier ist Migration der richtige Weg: Schon jetzt kann man die  Technik  vereinheitlichen, ohne gleich alles neu machen zu müssen.

Im Backbone ist die Diskussion „ Optische Netze oder reine IP-Netze“ entschieden. Die vom Markt sehr gut aufgenommene Lösung der Zukunft heißt  „Supercore“ und vereint Optik und IP.

Eine weitere Neuerung im neuen Netzwerk: Wir reduzieren. Wir machen im Backbone nur noch bestimmte Routingfunktionen und kommen hier mit einem kleineren Satz an Befehlen aus. Warum? An der Auffahrt auf die Autobahn ist schon geklärt, welchen Service ein Kunde benötigt. Auch die Sicherheit ist schon geprüft. Jetzt muss die Autobahn nur noch rasend schnell funktionieren.

IT-DIRECTOR: Das neue Netzwerk soll ein einziges Betriebssystem für alle Router, Switches und Endgeräte aufweisen und damit leichter und kostengünstiger zu managen sein. Anwender wollen sich aber nicht von einem Anbieter abhängig machen und bauen ihre Netzwerke unter Verwendung von Hard- und Software verschiedener Hersteller. Ist das aus Ihrer Sicht ein Fehler?
F. Pieper: Wenn jedes Gerät ein eigenes Betriebssystem hat, dann können Inkompatibilitäten die Folge sein. Aus diesem Grund setzen wir auf ein einziges Betriebssystem. Das ist kein einfacher Weg, aber die Vereinfachung schlägt sich letztlich in geringeren Kosten nieder. Das Betriebssystem, das wir einsetzen, ist ein gehärtetes Unix-System. Wir müssen härten …

IT-DIRECTOR: Was heißt „Härten“ in diesem Zusammenhang?
F. Pieper: Ein gehärtetes Unix-Systeme bedeutet: Das System ist geschlossen. Sie sehen nicht mehr den Kernel, kommen nicht mehr in den Code rein. Das heißt aber nicht, dass wir so etwas wie proprietäre Systeme hätten. Wir haben für Offenheit gesorgt. Es gibt APIs (Programmierschnittstellen – Anm. d. Red.) und ein Software Development Kit. Kunden können etwas programmieren, aber nur in vorgegebenen Bahnen, auf saubere Art. Das nennen wir Öffnung unserer Netze.

IT-DIRECTOR: Juniper kündigt das „programmierbare Netzwerk“ an und verweist auf rund 80 Software-Entwicklungspartnerschaften. Welche Art Anwendungen werden in den nächsten Jahren auf den Markt kommen?
F. Pieper: Mit der Entwicklercommunity, die schon Linux und Android zum Erfolg verholfen hat, entwickeln wir vielfältige Netzwerkapplikationen. Ein Beispiel: Die Firma Joulex entwickelt eine Energiemanagementlösung. Mit der Software lässt sich der Stromverbrauch und der CO2-Ausstoß um bis zu 60 Prozent senken. Dafür braucht Joulex keine eigene Hardware vor Ort, sondern nutzt die installierten Juniper-MX-Komponenten.

IT-DIRECTOR: Mehrere Großunternehmen – darunter Microsoft und Deutsche Telekom – haben in diesem Jahre eine Netzwerk-Software-Initiative ins Leben gerufen. Ist Juniper mit von der Partie?
F. Pieper: Juniper hat sich hier nicht beteiligt sondern setzt schon immer auf offene Standards. Unsere Netzwerklösungen bauen nur auf standardisierten Protokolldefinitionen auf.

IT-DIRECTOR: Eine ganz große Neuerung im Netzwerk wird der Abbau hierarchischer Strukturen zugunsten von Fabric-Strukturen sein, die alles mit allem verbinden. Wie weit ist die Einführung des Produkts QFabric gediehen? Existieren bereits Anwender, die über Erfahrungen berichten?
F. Pieper: ja, es gibt erste Anwender, darunter IBM und jetzt aktuell die Deutsche Börse.

IT-DIRECTOR: Gibt es Kinderkrankheiten?
F. Pieper: Ich hier nicht von Kinderkrankheiten sprechen. Wir finden natürlich bei Tests vor Ort bei den Kunden Thematiken, die wir so noch nicht berücksichtigt haben. Wir versuchen, den Anforderungen der Kunden über neue Softwareversionen mit drei Produktzyklen pro Jahr gerecht zu werden und erweitern die Funktionen.

IT-DIRECTOR: Wann werden die Kunden sich von den klassischen hierarchischen Strukturen verabschieden und in neuere Fabrics investieren?
F. Pieper: Vom Wendepunkt, an dem mehr fabric-orientierte Struktur und weniger hierarchische Switching-Architektur verkauft wird, sind wir noch weit entfernt. Aber das kann durchaus in zwei bis drei Jahren der Fall sein. Die Reise wird früher oder später wohl in Richtung Fabrics gehen – das haben inzwischen alle großen Hersteller gemerkt.

IT-DIRECTOR: Könnte es sein, dass diese technische Innovation wie so viele andere nicht weniger als zehn Jahre benötigt, um sich durchzusetzen?
F. Pieper: Im Gegenteil. Die Anforderungen der Kunden laufen der Innovation derzeit voraus. Die wachsenden Bandbreitenforderungen und das steile Wachstum von Cloud-Services fordert eine hohe Skalierung im Data Center mit minimalen Durchlaufzeiten. QFabric ist die ultimative Lösung der aktuellen Probleme in Data Centers.

IT-DIRECTOR: Ist die Verknüpfung von altem hierarchischem Rechenzentrum und neuem QFabric wirklich zu machen?
F. Pieper: Hier gibt es mehrere Ansätze: Eine schrittweise Migration ist grundsätzlich ein integraler Bestandteil der Lösung. Bestehende Multi-Tier-Switching-Infrastrukturen können mit QFabric erweitert und dann schrittweise migriert werden.

IT-DIRECTOR: Für welche Anwendungen und Anwender ist QFabric geeignet, für welche nicht?
F. Pieper: QFabric löst die Probleme mit hoher Skalierung von 10-Gbps-Schnittstellen und der fortgeschrittenen Virtualisierung.

IT-DIRECTOR: Nehmen wir ein Beispielunternehmen, das 1.000 bis 10.000 Mitarbeiter hat, ein Fertigungs- oder Handelsunternehmen. Die Zahl der User, die an einem Rechner arbeiten, liegt unter 1.000, Smartphones werden nur in der Chefetage und bei Vertrieblern genutzt. Ist QFabric für ein solches Unternehmen die richtige Technik?
F. Pieper: QFabric wurde für den Einsatz im Data Center entwickelt, nicht für ein LAN/Campus-Umfeld, wie es hier beschrieben ist. Hierfür gibt es schon seit längerer Zeit Lösungen, die die Campus-Probleme adressieren mit Hilfe von Clusterlösungen.

IT-DIRECTOR: Welche Zukunft hat das 2-Tier-Netzwerk von Juniper angesichts von QFabric?
F. Pieper: Die 2-Tier-Lösungen werden nicht verschwinden, weil durch den verteilten Charakter einer Campus-Infrastruktur die Konzepte einer QFabric heute nicht sinnvoll angewandt werden können.


Frank C. Pieper
Alter: 51 Jahre
Werdegang: Vor seiner Position bei Juniper Networks war Pieper Geschäftsführer Deutschland bei Avaya, Vice President Central Europe bei AT&T sowie Leiter Global Business bei Verizon. Er ist Mitglied der American Chamber Of Commerce (AmCham) in Deutschland.
Derzeitige Position: Seit Dezember 2010 Area Vice President für Deutschland, Österreich und die Schweiz (DACH) bei Juniper Networks
Hobbys: Sport (Badminton, Fahrradfahren), Touren mit der Harley Davidson

---