14.10.2008, 10:32 Uhr
Kommunikation in der Arena
Wechselnde User, individuelle Zugriffsrechte, ein Höchstmass an Sicherheit: Die in der neuen AFG Arena St.Gallen installierte Kommunikations-Infrastruktur lässt sich für alle Anforderungen flexibel konfigurieren. Virtualisierung heisst das Zauberwort.
Die AFG Arena St.Gallen ist Fussballstadion, Einkaufszentrum und Conference Center in einem. Foto: AGFA Arena
Die im Juli 2008 eröffnete AFG Arena in St.Gallen zählt mit ihren 19694 Sitz- und Stehplätzen zu den grössten Sportarenen der Schweiz. Zum Gesamtkonzept des 410-Millionen-Franken-schweren Bauprojekts gehört nebst dem nach modernsten Grundsätzen konzipierten Fussballstadion auch ein integriertes Conference Center samt Nachwuchsakademie sowie ein angegliedertes Shopping Center. Auch im Bereich des internen Kommunikationsnetzwerks setzt das Stadion Best-
marken: Die Basisinfrastruktur sorgt dafür, dass den verschiedensten Benutzergruppen jederzeit die benötigten Services zur Verfügung stehen, ohne dass dazu physische Modifikationen notwendig sind.
marken: Die Basisinfrastruktur sorgt dafür, dass den verschiedensten Benutzergruppen jederzeit die benötigten Services zur Verfügung stehen, ohne dass dazu physische Modifikationen notwendig sind.
Individualität als ServiceLeistung
Ganz egal, ob in der AFG Arena ein Fussballspiel ausgetragen wird, ein Rockkonzert über die Bühne geht oder ein anderer Grossanlass Tausende von Besuchern anlockt - immer halten sich zahlreiche Dienstleister im Stadion auf, die zum Gelingen der Veranstaltung beitragen, für Sicherheit sorgen oder über den Anlass berichten. Dazu gehören Journalisten, TV-Stationen und Broadcaster - aber auch Caterer, Lieferanten und Security-Firmen. Allen gemeinsam ist der Wunsch nach einem leistungsfähigen Netzwerk, völlig unterschiedlich sind jedoch die konkreten Anforderungen. Klar, dass beispielsweise TV-Stationen auf eine fast grenzenlose Bandbreite angewiesen sind, während etwa der Ticketverkauf eine gesicherte Realtime-Verbindung zu den Stadion-Drehkreuzen braucht.
Die Konfiguration der in der AFG Arena installierten Infrastruktur kann sich also täglich oder gar stündlich ändern. Folglich ist es wichtig, dass die Einbindung der einzelnen Benutzer nicht durch physische, sondern ausschliesslich durch logische Mutationen einfach, schnell und jederzeit erfolgen kann. Ist dies - wie im St.Galler Stadion - der Fall, darf von einer virtualisierten Kommunikationsinfrastruktur gesprochen werden. Wesentlich ist, dass alle gängigen Technologien und Systeme unterstützt werden und dass sich alle User auf höchste Sicherheitsstandards verlassen können - unabhängig von Zugangstechnologie und Standort.
Obwohl sämtliche User und Applikationen dieselbe Kommunikationsinfrastruktur nutzen, sorgen individuelle (Zugriffs-)Rechte für eine sichere, standortunabhängige und Rechte-spezifische Einbindung. Dabei wird für den Zugriff auf die freigegebenen Services nicht nur das Nutzerprofil (User-ID und Passwort), sondern auch die MAC-Adresse der jeweiligen Ressource verwendet. Ein Journalist hat so beispielsweise über sein bei der Ankunft registriertes und eingebundenes Notebook Zugriff auf alle ihm zur Verfügung stehenden Funktionen - ganz egal, ob er sich im Presseraum, im Back-Office-Bereich oder an einem anderen Ort innerhalb der Arena befindet.
Die Konfiguration der in der AFG Arena installierten Infrastruktur kann sich also täglich oder gar stündlich ändern. Folglich ist es wichtig, dass die Einbindung der einzelnen Benutzer nicht durch physische, sondern ausschliesslich durch logische Mutationen einfach, schnell und jederzeit erfolgen kann. Ist dies - wie im St.Galler Stadion - der Fall, darf von einer virtualisierten Kommunikationsinfrastruktur gesprochen werden. Wesentlich ist, dass alle gängigen Technologien und Systeme unterstützt werden und dass sich alle User auf höchste Sicherheitsstandards verlassen können - unabhängig von Zugangstechnologie und Standort.
Obwohl sämtliche User und Applikationen dieselbe Kommunikationsinfrastruktur nutzen, sorgen individuelle (Zugriffs-)Rechte für eine sichere, standortunabhängige und Rechte-spezifische Einbindung. Dabei wird für den Zugriff auf die freigegebenen Services nicht nur das Nutzerprofil (User-ID und Passwort), sondern auch die MAC-Adresse der jeweiligen Ressource verwendet. Ein Journalist hat so beispielsweise über sein bei der Ankunft registriertes und eingebundenes Notebook Zugriff auf alle ihm zur Verfügung stehenden Funktionen - ganz egal, ob er sich im Presseraum, im Back-Office-Bereich oder an einem anderen Ort innerhalb der Arena befindet.
Sichere Verwahrung für Hacker
Kernstück der in der AFG Arena eingesetzten Netzwerkinfrastruktur bildet ein Kommunikationssystem der OmniSwitch-Familie von Alcatel-Lucent. Dieses basiert auf der Crystal-Sec-Sicherheitslösung und bildet im Verbund mit einer leistungsfähigen Firewall von Fortinet ein sogenanntes «Auto Defending Network». Unterstützt werden Realtime-Security-Funktionen wie Antivirus, Content Filtering, Traffic Shaping, Firewall, VPN, Intrusion Detection und Prevention, Antispam und Virtual Domains.
Die mittels OSA (Open Standard Architecture) integrierte Gesamtlösung unterscheidet sich wesentlich von Security-on-Destination-Technologien, die eingeloggten Usern das gesamte Netzwerk transparent machen und die Zugriffs- und Abwehrmechanismen den einzelnen Applikationen und Servern überlassen: Ist ein Hacker einmal im Netz, sind gezielte Attacken auf die sichtbaren Systeme möglich.
Demgegenüber verfolgen Auto-Defending-Netzwerke eine Security-on-Source-Strategie. Bei dieser «Sicherheitsprüfung am Zugang» sehen User, die mittels Benutzername, Passwort und MAC-Adresse am Switch eingeloggt sind, nur die ihnen freigegebenen Netzwerkbereiche und Applikationen. So sind etwa Back-Office-Applikationen oder das Ticketing-System mit Kundendaten für alle User ohne Autorisierung komplett unsichtbar.
Die mittels OSA (Open Standard Architecture) integrierte Gesamtlösung unterscheidet sich wesentlich von Security-on-Destination-Technologien, die eingeloggten Usern das gesamte Netzwerk transparent machen und die Zugriffs- und Abwehrmechanismen den einzelnen Applikationen und Servern überlassen: Ist ein Hacker einmal im Netz, sind gezielte Attacken auf die sichtbaren Systeme möglich.
Demgegenüber verfolgen Auto-Defending-Netzwerke eine Security-on-Source-Strategie. Bei dieser «Sicherheitsprüfung am Zugang» sehen User, die mittels Benutzername, Passwort und MAC-Adresse am Switch eingeloggt sind, nur die ihnen freigegebenen Netzwerkbereiche und Applikationen. So sind etwa Back-Office-Applikationen oder das Ticketing-System mit Kundendaten für alle User ohne Autorisierung komplett unsichtbar.
Eine weitere, in der Kommunikationslösung integrierte Security-Funktion bietet der «Quarantäne-Manager». Dabei übernehmen die Switches eine aktive Rolle beim Schutz vor Angriffen und deren Eindämmung. Der Quarantäne-Manager kann auf Informationen jeder Sicherheitseinrichtung oder Applikation im Netz, die einen Einbruch erkennt, reagieren und die entsprechenden Zugangs- oder Netzwerkkomponenten isolieren. Dadurch werden Hacker beziehungsweise User mit unbekannten MAC-Adressen, die ins Netzwerk einzudringen versuchen, in ein spezielles Quarantäne-V-LAN verbannt. Ihre Adresse wird registriert und für alle weiteren Zugriffe gesperrt.
Offener Standard mit Mehrwert
Die in der AFG Arena eingesetzte Kommunikationslösung basiert auf der Integration von Komponenten unterschiedlicher beziehungsweise komplementärer Hersteller, welche die Open Standard Architecture (OSA) unterstützen. So ist eine «Best-of-bred-Strategie» umsetzbar. Auch KMU sowie die öffentliche Verwaltung könnte eine solche kostengünstige und trotzdem leistungsfähige Kommunikationsinfrastruktur umsetzen.
OSA bildet eine attraktive Alternative zu den heute (noch) verbreitet eingesetzten proprietären Systemen. Diese führen einerseits zu einer hohen Abhängigkeit und andererseits verunmöglichen (oder erschweren) sie die Einbindung komplementärer Systeme von Drittanbietern. Es überrascht daher kaum, dass OSA-
basierende Systeme ein starkes Wachstum verzeichnen und nicht nur in den USA sondern auch in Europa Marktanteile gewinnen. Das Kommunikationsnetzwerk der AFG Arena in St.Gallen macht deutlich, welche Vorzüge durch die Umsetzung einer wegweisenden OSA-Strategie erreichbar sind.
OSA bildet eine attraktive Alternative zu den heute (noch) verbreitet eingesetzten proprietären Systemen. Diese führen einerseits zu einer hohen Abhängigkeit und andererseits verunmöglichen (oder erschweren) sie die Einbindung komplementärer Systeme von Drittanbietern. Es überrascht daher kaum, dass OSA-
basierende Systeme ein starkes Wachstum verzeichnen und nicht nur in den USA sondern auch in Europa Marktanteile gewinnen. Das Kommunikationsnetzwerk der AFG Arena in St.Gallen macht deutlich, welche Vorzüge durch die Umsetzung einer wegweisenden OSA-Strategie erreichbar sind.
Zum Autor: Marcel Kistler ist ICT Solution Architect und Bereichsleiter ICT bei Swisspro