CUG – Closed User Groups: Die Alternative zu MPLS-Netzwerken (Datenaustausch im Finanzumfeld)
DE-CIX
von Dr. Thomas King, CTO DE-CIX
Banken arbeiten häufig in Partnerschaften mit anderen Finanzdienstleistern zusammen, damit ihre Endkunden nicht nur ihren Kontostand im Webportal oder in der App ihrer Bank sehen können, sondern alle ihre Finanzdaten von verschiedenen Dienstleistern und Banken auf einen Blick erfassen können.Bisher nutzen sie meist Multiprotocol Label Switching (MPLS)-Netzwerke, um sich mit ihren eigenen Filialen zu verbinden.”
MPLS-Netzwerke bieten zwar eine gute Performance in Bezug auf Sicherheit, Bandbreite und Latenzzeit, haben aber einige Nachteile: Denn diese Verbindungen sind vergleichsweise teuer und es ist zeitaufwändig, sie zu implementieren.
Um die Kosten so gering wie möglich zu halten, beschränken Banken außerdem häufig ihre Bandbreite restriktiv.”
Doch MPLS-Netzwerke sind nicht flexibel skalierbar, gerade in Bezug auf die Bandbreite. Sobald die Nachfrage steigt, können Banken nicht schnell genug aufrüsten. Infolgedessen sind die Datenübertragungsraten unannehmbar langsam und die Nutzererfahrung lässt zu wünschen übrig. Insbesondere für Finanztransaktionen ist das inakzeptabel. Gerade weil MPLS-Netze teuer and zeitaufwendig sind, zögern Banken, sich darüber mit Partnern zu verbinden. Das wiederum führt dazu, dass Verbindungen zu Partnern und Kunden nicht als Teil der eigenen Netzwerkarchitektur angesehen werden und das weniger sichere öffentliche Internet teilweise für Kommunikation und Datenaustausch genutzt wird.
Eine zeitgemäße Alternative ist die direkte Zusammenschaltung von Netzwerken an einem Internetknoten (IX). Mit einer solchen Zusammenschaltung, Interconnection genannt, kann sich eine Bank ohne den Umweg über das öffentliche Internet direkt mit ihren Partnern und Endnutzer-Zugangsnetzwerken reibungslos, performant und sicher verbinden.
Geschlossene Gesellschaft
Um die Einhaltung höchster Sicherheitsstandards zu gewährleisten, kann am Internetknoten eine sogenannte Closed User Group (CUG) eingerichtet werden, zu der nur zuvor definierte Teilnehmer Zugang haben. Die CUG ist eine private und exklusive Umgebung für den sicheren Datenaustausch zwischen einer ausgewählten Gruppe von Teilnehmern. Für den Aufbau komplexer Partnerökosysteme eignet sich eine Nabe-Speichen-Architektur besser als ein bilateraler Ansatz. Die Nabe (Hub) wird durch die CUG gebildet.
Mit Hilfe der CUG wird eine Art privates Netz abseits der Angriffsvektoren des öffentlichen Internets, wie zum Beispiel DDoS-Attacken oder IP-Routing-Angriffe, aufgebaut, das auf spezielle Anwendungen, zum Beispiel eine Finanzapplikation, zugeschnitten ist.”
CUGs können schnell und einfach für spezifische Anwendungsfälle eingerichtet werden und lassen sich bei Bedarf problemlos an veränderte Anforderungen anpassen. Je nach Anwendungsfall und beteiligten Partnern können CUGs entweder global oder lokal konzipiert werden.
Dr. Thomas King ist seit 2018 Chief Technical Officer (CTO) bei DE-CIX (Website). Zuvor war er dort ab 2016 bereits als Chief Innovation Officer (CIO) angestellt. Er begann seine Karriere von 2008 bis 2010 als Technischer Mitarbeiter ebenfalls beim DE-CIX und war verantwortlich für das BSI IT-Grundschutz / ISO 27001-Bereitschaftsprogramm, das 2010 in einer erfolgreichen Zertifizierung mündete. Im Jahr 2010 wechselte Thomas King zur 1&1 Internet AG und war dort als Produktmanager für mobile Anwendungen und Mail zuständig. Dr. King kam 2014 als Leiter der Forschungs- und Entwicklungsabteilung zu DE-CIX zurück und wurde 2016 in die neu geschaffene Position des Chief Information Officer befördert. Thomas King erwarb 2004 einen Master-Abschluss in Informatik und Betriebswirtschaftslehre an der Universität Mannheim und promovierte 2008 am Lehrstuhl für Rechnernetze an der Universität Mannheim.Ein Unternehmen, beispielsweise das, welches die vertraglichen Beziehungen zu den Endkunden unterhält, richtet die CUG als Eigentümer ein. Um bei dem oben genannten Beispiel zu bleiben: Eine Bank als CUG-Eigentümer kann ihren Kunden ermöglichen, nicht nur auf das eigene Konto über das Bankportal zuzugreifen, sondern auch den Kontostand bei ihren anderen Banken und Finanzdienstleistungen einzusehen und zu managen.
Ein zusätzlicher Vorteil einer CUG besteht darin, dass kontrolliert werden kann, wohin der Datenverkehr aller Mitglieder fließt und die Einhaltung rechtlicher Vorgaben überprüfbar ist.”
Nach den Bestimmungen der EU-Datenschutzgrundverordnung (DSGVO) dürfen beispielsweise sensible Finanzdaten das Gebiet der Europäischen Union nicht verlassen. Während die Einhaltung solcher territorialen Vorschriften mit den verschiedenen Partnern auch außerhalb einer CUG vertraglich geregelt werden kann, ist die Kontrolle des Datenverkehrsflusses mit MPLS nicht immer möglich.
Bei der Implementierung einer CUG sollten die nachfolgenden vier Aspekte beachtet werden.
In vier Schritten zu einer CUG
1. Den passenden Ort wählen
Der Internetknoten, der das Zentrum einer CUG bildet, sollte strategisch ausgewählt werden. Einerseits werden bei zu großen geografischen Entfernungen zu den einzelnen Partnern die Latenzzeiten zu hoch. Denn die Geschwindigkeit, mit der sich Daten fortbewegen können, ist auf die Lichtgeschwindigkeit begrenzt. Obwohl dies bereits enorm schnell ist, werden Verzögerungen – die Latenzzeiten – spürbar, wenn die Daten zu weit reisen müssen. Anwendungen im Finanzhandel erfordern Reaktionszeiten im niedrigen Millisekundenbereich, weshalb die maximale Entfernung, die Daten zurücklegen sollten, 50 bis 80 km beträgt. Andererseits spielt der Rechtsraum eine Rolle, sensible Daten sollten immer im Bereich derselben Gerichtsbarkeit ausgetauscht werden. Nicht zuletzt sollte ein neutraler IX gewählt werden, der nicht an bestimmte Netzbetreiber oder Rechenzentren gebunden ist.
2. Konnektivitätspartner finden
Für jeden Teilnehmer muss eine direkte Verbindung zu dem gewählten Internet Exchange eingerichtet werden. Dies kann vom jeweiligen Hauptsitz der Unternehmen aus geschehen oder von einem Rechenzentrum, in dem die betreffenden Daten gespeichert werden. Ein Connectivity-Provider kann etwa der lokale Internetdienstanbieter des Unternehmens sein. Alle Teilnehmer der CUG können ihre eigenen Verbindungspartner wählen. Große Internetknoten bieten aber auch Partnerprogramme an und können so als zentrale Anlaufstelle für die Konnektivität fungieren.
3. Datenzugriff kontrollieren
Die Teilnehmer einer CUG sollten intern die drei As (Autorisierung, Authentifizierung und Abrechnung) regeln. Dies erfordert Entscheidungen darüber, auf welche Datenbanken und APIs die anderen Teilnehmer einer CUG zugreifen dürfen. Der Internet-Exchange-Betreiber kann seinerseits auf Netzebene sicherstellen, dass nur bestimmte Protokolle zugelassen werden, je nach den Bedürfnissen und Spezifikationen des CUG-Eigentümers. Der Gruppenbesitzer kann beispielsweise festlegen, welche Netzwerkprotokolle in der CUG zulässig sind.
4. Die CUG in Betrieb nehmen
Die Implementierung einer CUG kann binnen Wochen oder sogar Tagen erfolgen – je nach Komplexität des Ökosystems und beteiligten Carriern und Internet-Service-Providern. Am besten sollten CUGs parallel zu den bestehenden Systemen eingerichtet werden. Erst wenn alles einwandfrei läuft und getestet ist, kann der Betrieb mit minimalem Aufwand auf die Infrastruktur der CUG migriert werden.
So versetzen sich Finanzdienstleister in die Lage, schnell und effizient auf Veränderungen in einem dynamischen Markt zu reagieren und bleiben mit Hilfe einer kostengünstigen, flexiblen und leicht skalierbaren Konnektivität auch in einem sich rasant entwickelnden Markt wettbewerbsfähig.Dr. Thomas King, DE CIX
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/160009
Schreiben Sie einen Kommentar