managed layer 2 encryption service - home |...
TRANSCRIPT
Managed Layer 2 Encryption Service
SLA Contract Vendor Management Monitoring HardwareOwner
Managed Perimeter Security
VPN
Fire
wal
l/VP
N
IDS/
IPS
Prox
y
Web
App
licat
ion
Fire
wal
l
Laye
r 2 En
cryp
tion
Vuln
erab
ility
Sca
nnin
g
Laye
r 2 En
cryp
tion
08/2013
Layer 2 Encryption Service
Um eine Verbindung/Leitung zu sichern, empfiehlt sich eine Verschlüsselung. Diese kann entsprechend dem OSI-Modell entweder auf dem Layer 2 (Data-Link-Layer) oder auf dem Layer 3 (Network-Layer) ge-macht werden.
Es gibt folgende Gründe für eine Verbindung/Verschlüsselung basierend auf Layer 2 (z.B. SES oder SOS)
Gründe für Layer-2-Verbindung/Verschlüsselung:
> Die Bandbreite kann optimal ausgenutzt werden, da nur ein minimaler Overhead verwendet wird
> Rechenzentrum-zu-Rechenzentrum-Verbindungen
> Flexibilität: Traffic kann – oder muss – der Kunde selber steuern (Routing)
> Key Management kann der Kunde selber machen
> Verschlüsselung von diversen Protokollen (FiberChannel, Ficon, Ethernet)
> Dedizierte Verschlüsselungs-HW
> Verschlüsselung kann einfach in ein bestehendes Layer-2-Netz integriert werden (weil keine Routinganpassungen notwendig sind)
Je nachdem, welches Verbindungsprodukt gewählt wurde, gibt es unterschiedliche Verschlüsselungs-lösungen. Die Verschlüsselung auf Layer 2 wird in diesem Dokument weiter beschrieben. Verschlüsse-lung auf Layer 3 ist vor allem unter dem Begriff VPN (Virtual Private Network) bekannt. Verfügen Sie über eine Layer-3-Verbindung über Internet, ist der VPN- bzw. Firewall-VPN-Service für Ihre Bedürfnisse geschaffen. Verfügen Sie über eine Layer-3-Verbindung über MPLS (LAN-i), ist «SecureCER» die korrekte Verschlüsselungsoption.
Eine Layer-2-Verschlüsselung kann auf Basis zweier Verbindungstechnologien von Swisscom erbracht werden. Diese beiden Produkte (SOS und SES) sind für den hier beschriebenen Verschlüsselungsservice Voraussetzung. Zusätzlich kann der Layer-2-Verschlüsselungsservice auch auf einer Dark Fiber erbracht werden.
Verschlüsselung über SOS (Swisscom Optical Service):
> Punkt-zu-Punkt-Verschlüsselung
> Verschiedene Bandbreiten möglich
> Keine Einschränkungen bezüglich L2-Protokollen (siehe Leistungsbeschreibung SOS)
> Keine QoS (Quality of Service)
Verschlüsselung über SES (Swisscom Ethernet Service):
> Punkt-zu-Punkt- sowie Punkt-zu-Multipunkt-Verschlüsselung
> Verschiedene Bandbreiten möglich
> Einschränkungen bezüglich L2-Protokollen (siehe Leistungsbeschreibung von SES)
> QoS (Quality of Service) möglich
Nutzen
Der Verschlüsselungsservice enthält folgende Leistungen und Nutzen:
> WAN-Strecke verschlüsselt (FINMA-Compliant)
> Diverse Protokolle können verschlüsselt werden
> Keine zusätzlichen Latenzzeiten
> Hohe Bandbreiten ohne Performance-Einbussen verschlüsseln
08/2013
Wiederkehrende Leistungen
Health Monitoring
Es wird sichergestellt, dass Health Incidents innerhalb der definierten Service-Level-Zeiten bearbeitet werden. Ist ein Managed Object nicht zu erreichen, wird gemäss im SLA (Service Level Agreement) vordefinierten Weg informiert.
Reporting
Verfügbarkeit der Linkverschlüsselung pro Monat
Key Management (optional)
Der Master Communication Key (bei „Punkt zu Multipunkt“ zusätzlich der Broadcast Communication Key) wird in einer Regelmässigkeit von 12 Monaten erneuert. Der Kunde hat keinen Zugang / keine Sicht auf die vergebenen Keys.
Serviceoptionen und Serviceeinschränkungen
Da der Verschlüsselungsservice auf einer SES- oder SOS-Leitung basiert, sind die Einschränkungen dieser Services zu beachten. Diese sind den entsprechenden Servicebeschreibungen zu entnehmen.
Die Verschlüsselungs-HW enthält gerätespezifisches Schlüsselmaterial (Smartcard mit dem logischen Schlüssel sowie Kaba-Schlüssel). Die Lagerung dieses Schlüsselmaterials wird vom Kunden übernommen.
Weitere MSS-i-Dienstleistungen
MSS-i enthält sämtliche Security Services, welche für einen ganzheitlichen Schutz Ihrer IT-Infrastruktur not-wendig sind. Alle Services unterstehen den identischen SLAs und werden rund um die Uhr (7/24) aus der Schweiz betrieben. Durch Kombination von mehreren Services können Kosten optimiert und die Sicherheit erhöht werden. Weitere Informationen unter www.swisscom.ch/security