metamorworks - stock.adobe.com
Die Vorteile von SD-LAN für die Campusvirtualisierung
Die LAN-Virtualisierung umfasst seit langem VLANs zur Segmentierung des Datenverkehrs. Aber das softwaredefinierte LAN bietet mit Zero-Trust-Strategien umfassendere Sicherheit.
Software-defined LAN oder SD-LAN ist nicht mehr und nicht weniger als die Anwendung von softwaredefinierten Netzwerkprinzipien auf das LAN außerhalb des Rechenzentrums.
Zu diesen Grundsätzen gehört die Trennung der logischen Steuerung eines Netzwerks (die Spezifikation der Richtlinien, die regeln, was mit wem kommuniziert) von der tatsächlichen Weiterleitung von Paketen von Ort zu Ort. In der Praxis bedeutet dies, dass eine Control Plane (eine Verwaltungsplattform, die auf einer VM oder in einer Cloud läuft) die Aktivitäten einer Netzwork oder Forwarding Data Plane steuert. Dabei handelt es sich meist um virtuelle und physische Switches. Im Allgemeinen verfügt die Control Plane über APIs, die eine Automatisierung zur programmatischen Steuerung von Netzwerkrichtlinien ermöglichen.
Die Trennung von Logical Plane und Data Plane unterstützt die LAN-Virtualisierung auf neue und interessante Weise. Es ist jedoch wichtig, sich daran zu erinnern, dass dies nicht das erste Mal ist, dass die IT das LAN virtualisiert hat.
Vor SD-LAN Schritt 1 machen: Virtuelle LANs
Virtuelle LANs (VLAN) gibt es schon seit Jahrzehnten und werden fast ebenso lange im Campus-LAN eingesetzt. Netzwerktechniker haben VLANs seit Langem implementiert, um das Netzwerk auf Layer 2 zu segmentieren. So können beispielsweise Systeme, die über Ports in einem VLAN verbunden sind, nicht direkt mit Ports in anderen VLANs kommunizieren, sondern müssen über einen Router oder eine Firewall auf diese zugreifen.
VLANs schaffen separate Netzwerkdomänen, die mehrere logische LANs über ein gemeinsames physisches Netzwerk legen. Netzwerkteams können VLANs verwenden, um den Datenverkehr auf folgende Weise zu trennen:
- für verschiedene Abteilungen
- für verschiedene Geräteklassen, wie IP-Telefon-VoIP-Verkehr
- für verschiedene Sicherheitsdomänen, zum Beispiel ein VLAN für den mit dem Netzwerkmanagement verbundenen Verkehr.
VLANs ebneten den Weg für SD-LAN, indem sie die enge Kopplung zwischen Netzwerknutzung und Netzwerkinfrastruktur aufhoben.
SD-LAN
VLANs sind ein Layer-2-Mechanismus, der vollständig in Ethernet-Frame-Headern enthalten ist und auf der Ebene der Switch-Ports implementiert wird. SD-LAN verallgemeinert die Idee, so dass sie nicht nur von Ethernet oder anderen Layer-2-Protokollen abhängt. Es virtualisiert das LAN vollständig, so dass die Richtlinienkontrolle von den Switches abgezogen wird und nur noch die Durchsetzung der Richtlinien übrig bleibt.
Ein vollständig realisiertes SD-LAN-System berücksichtigt Kriterien jenseits von Layer 2, um Entscheidungen über Zugang und Sichtbarkeit zu treffen. Es sollte zum Beispiel die Identität von Benutzern, Prozessen, Programmen und Geräten berücksichtigen. Es könnte auch IP-Adressen, den Standort des Geräts und sogar die Tageszeit einbeziehen. Unabhängig davon, welche Faktoren das System unterstützt, können Netzwerkingenieure damit Richtlinien festlegen, die den Zugang zum Datennetz und den Umfang der zulässigen Aktivitäten für Netzwerkknoten regeln.
Zero Trust, SDP und das SD-LAN
Der aufregendste Aspekt von SD-LAN ist derzeit sein Nutzen für die Implementierung einer Zero-Trust-Netzwerkzugangsarchitektur (ZTNA). Mit einer umfassenden SD-LAN-Strategie kann der grundlegende Zero-Trust-Ansatz (alles blockieren, was nicht ausdrücklich erlaubt ist) auf der Ebene des Campusnetzwerks implementiert werden. Das heißt, das SD-LAN kann als die Campusseite des Software-defined Perimeters (SDP) dienen.
Mit einer Zero-Trust-Richtlinie würde ein SD-LAN standardmäßig den Großteil des lateralen Netzwerkdatenverkehrs unterbinden, beispielsweise die Kommunikation zwischen Laptop A und Laptop B. Das wiederum würde verhindern, dass sich eine Vielzahl von Malware von einem kompromittierten Gerät aus in einer Umgebung ausbreitet.
Nehmen wir zum Beispiel das inzwischen leider klassische Szenario, dass ein bösartiger Akteur korrupte IoT-Geräte als Plattform für Angriffe auf Workstations nutzt. SD-LAN stoppt diesen Prozess. Diese korrumpierten Geräte (zum Beispiel Verkaufsautomaten) können nur ihre Management-Workstation sehen und mit ihr kommunizieren, nicht aber ein ganzes Netzwerksegment. Möglicherweise sind sie nicht einmal in der Lage, diese Management-Workstation zu kompromittieren, wenn die Ports, Protokolle oder Datenmengen, die in den Angriff involviert sind, gegen die Zugangsregeln für die Verbindung verstoßen.
Die Vorteile von SD-LAN
SD-LAN hat eine Reihe von Vorteilen. In betrieblicher Hinsicht schafft das Vorhandensein eines Controllers mit APIs das Potenzial für eine umfassendere und effektivere Automatisierung des LAN-Betriebs.
Das verbesserte Management erstreckt sich auch auf eine bessere Fähigkeit, den aktuellen Zustand des Netzwerks zu erkennen, darzustellen und zu überprüfen. So können Netzwerkteams beispielsweise nachverfolgen, was sich im Netzwerk befindet, wie sich die einzelnen Einheiten verhalten und was von den Richtlinien abgewichen ist.
Und wie das Potenzial zur Implementierung von Zero Trust zeigt, bietet SD-LAN die Möglichkeit, die grundlegende Sicherheitslage von Unternehmensnetzwerken erheblich zu verbessern. Selbst wenn ein Unternehmen nicht ganz bis zu Zero Trust vordringt, sind bemerkenswerte Verbesserungen möglich.
Die Herausforderungen von SD-LAN
Auch bei SD-LAN gibt es zahlreiche Herausforderungen, einige davon sind:
- die Fähigkeit, die vorhandene Infrastruktur für die Implementierung von SD-LAN zu nutzen
- die Kosten für die Aufrüstung von allem, was nicht ordnungsgemäß integriert werden kann
- die Zeit, die die Mitarbeiter benötigen, um ihre Kernkompetenzen neu zu entwickeln und das gesamte Potenzial von SD-LAN auszuschöpfen
Und wie bei einer allgemeineren Zero-Trust-Strategie besteht auch bei der Verfolgung von ZTNA im Campus-Netzwerk die größte Herausforderung für die meisten Unternehmen darin, zu verstehen, welche Richtlinien zu implementieren sind: was muss mit was kommunizieren.
Da Unternehmen eine breite Verlagerung hin zu einer stärkeren Netzwerkautomatisierung und strengeren Sicherheitsvorkehrungen einleiten, wird SD-LAN ein immer wichtigeres Werkzeug sein, um die Unternehmensziele zu erreichen.