Cherries - stock.adobe.com
So profitieren Sie von Software-defined Networking Security
Software-defined Networking Security bedeutet mehr als nur Mikrosegmentierung. Unternehmen können mit SDN auch Sicherheitszonen zuweisen oder das Monitoring verbessern.
Software-defined Networking Security, insbesondere Mikrosegmentierung, bleibt der entscheidende Grund, weshalb Organisationen in ihren Data Centern SDN bereitstellen.
Wenn IT-Teams SDN zu Sicherheitszwecken aber in den produktiven Einsatz übernehmen, können sie sich erheblichen Herausforderungen gegenübersehen. Eine Ursache liegt darin, dass SDN-Plattformen oft voraussetzen, dass die IT weiß, was die Mikrosegmente in ihrem Netzwerk sind, selbst wenn das häufig nicht stimmt.
Am Ende stellen dann in der Praxis viele IT-Teams eine SDN-Plattform wie Cisco Application Centric Infrastructure (ACI) oder VMware NSX bereit, um ihre vorhandene Strategie für Sicherheitszonen und granulare Segmentierung zu replizieren. Organisationen profitieren von diesen Deployments, indem der produktive Einsatz mit einem neuen Tool erfolgt und ohne dass der Betrieb übermäßig gestört wird. Andererseits kann IT-Teams das volle Potenzial der zur Verfügung stehenden Tools entgehen.
IT-Teams sind oft mit dem Problem konfrontiert, sich das Wissen über ihre Netzwerke aneignen zu müssen, das für eine erfolgreiche Mikrosegmentierung erforderlich ist. Organisationen, die in der glücklichen Lage sind, auf bereits vorhandene, robuste Systeme für Network Analytics zurückgreifen zu können, besitzen einen Vorteil, denn solche Analytics-Plattformen machen es unnötig, dieses Know-how zu erwerben. Diese Plattformen können rasch abbilden, welche Systeme miteinander sprechen, wann das passiert und wie (zum Beispiel welche Protokolle oder Transaktionstypen verwendet werden).
Mit einer solchen Darstellung kann die IT dann leichter einschätzen, wo sie engere Grenzen um Systemgruppen ziehen und wie eng sie den Kommunikationsradius fassen muss. Kleinere Gruppen und eingeschränkte Kommunikationsreichweiten führen zu einer besseren Sicherheit mit reduzierten Bedrohungsoberflächen und geringerem Risiko einer Kompromittierung. In der Tat kann diese Art von tiefergehenden Einblicken ein wesentlicher Treiber für die Bereitstellung von Network Analytics sein.
In Organisationen ohne robuste Netzwerkanalyse-Tools sollten IT-Teams sich darauf vorbereiten, ein erhebliches Maß an Zeit in die manuelle Abbildung des Netzwerks und das Führen präziser Netzwerkkarten zu investieren. Eine Alternative ist die Investition in Automatisierungs- und Analytics-Plattformen, die solches Wissen aktuell halten.
Verbesserungen durch Software-defined Networking Security
Andere Möglichkeiten, wie Organisationen speziell von Software-defined Networking Security profitieren können, umfassen verbessertes Monitoring, das Einrichten von demilitarisierten Sicherheitszonen und die Automatisierung der Netzwerkkonfiguration.
Verbessertes Monitoring. Ein Unternehmen kann ein Software-defined Network neben seinem Produktionsnetzwerk nutzen, um ein paralleles Netzwerk zur Verfügung zu haben, das für Monitoring und Management zuständig ist. Dieses parallele Netzwerk kann replizierten Paket-Traffic aus dem Produktionsnetzwerk per kostengünstigem White Box Switching und möglicherweise sogar Open-Source-Software herausziehen.
Sicherheitszonen. Auf ähnliche Weise kann ein Unternehmen ein Software-defined Network nutzen, um Traffic durch zahlreiche Sicherheits-Appliances zu routen, sobald dieser von einem Teil des Netzwerks zu einem anderen fließt. Dies kann den Durchsatz verbessern und Kosten reduzieren.
Automatisierung. Indem die IT das Netzwerk-Provisioning und Konfigurations-Auditing in System-Deployments integriert – mit IaC-Tools (Infrastructure as Code) wie Ansible oder Salt –, kann sie die Rate der Fehlkonfigurationen, die zu Sicherheitsproblemen führen, reduzieren und die Remediation-Rate aller entstehenden Probleme verbessern.
Das Endziel für Software-defined Networking Security
Natürlich ist der ultimative Endzustand von Software-defined Networking Security bei voller Produktion das, was Nemertes Research Deep Segmentation (Tiefe Segmentierung) nennt. Darunter versteht man die Möglichkeit, so granular wie gewünscht, zu steuern, welche Entitäten sich sehen und miteinander kommunizieren dürfen – und wie sie dies machen –, und zwar End-to-End im gesamten Unternehmensnetzwerk.
Sicherheitsgefährdungen lassen sich stark einschränken, wenn jeder Edge Switch – physisch oder virtuell – und jedes andere paketverarbeitende Gerät Sicherheitsrichtlinien in einem vollständig Software-defined Perimeter durchsetzen kann. In dieser Umgebung lassen sich Land-and-Expand-Angriffe verzögern oder potenziell stoppen, bevor sie sich auf ein anderes System ausbreiten.
Das typische Unternehmen hat noch einen weiten Weg vor sich, bevor dieses Endstadium der Architektur erreicht ist. Doch SDN-Tools werden immer ausgereifter, was Umfang, Skalierbarkeit und einfache Bedienbarkeit angeht, während sie gleichzeitig zunehmend erschwinglicher werden.
Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!