Herausforderungen im Firmennetzwerk
Die Anforderungen an die Datenkommunikations-Infrastruktur nehmen täglich zu, bedingt durch die rasant ansteigende Anzahl von Benutzern und Geräten, die in irgendeiner Art und Weise Daten austauschen wollen. Folgende Grundherausforderungen müssen wir adressieren:
- Die Komplexität von Konfigurations-Anpassungen im Firmennetzwerk, bedingt durch sich ständig ändernde Anforderungen aus den verschiedenen Geschäftsbereichen, muss mit nicht-linear ansteigendem Aufwand bewältigt werden können.
- Grundsätzlich verschiedene Benutzer- und Gerätetypen müssen strikt segmentiert werden.
- Benutzer/Geräte müssen automatisch identifiziert werden und nachfolgend korrekt der zulässigen Kommunikationsbeziehung zugeordnet werden.
- Die Verfügbarkeit der Netzwerkinfrastruktur muss sehr hoch sein und Fehler sind wenn immer möglich präventiv zu verhindern.
- Informations-/Datensicherheit ist zu gewährleisten, während firmeninterne und geheime Daten auf keinen Fall das Firmennetzwerk verlassen sollen.
Nachfolgend zeige ich auf, wie mit dem Intuitiven Netzwerk von Cisco diese Punkte systematisch gelöst werden.
Steigende Komplexität
Müssen neue Gerätegruppen mit dazugehörigen neuen Kommunikationsbeziehungen in bestehende Netzwerke integriert werden, bedeutet dies viel Arbeit! Neue virtuelle Netzwerke müssen auf jedem einzelnen Netzwerkknoten manuell (über das Command Line Interface) oder durch das Erstellen und Verteilen von Konfigurations-Vorlagen auf jeden Netzwerkknoten angelegt werden. Dies ist nicht nur zeitaufwändig sondern auch sehr fehleranfällig.
Die Netzwerk Design und Policy Komponente des Cisco DNA Center erlaubt eine intuitive Definition von Richtlinien und die Konfiguration “per Knopfdruck” auf alle Netzwerkelemente. Es wird also an einer Stelle die Absichtserklärung (Intent) definiert und danach auf beliebig viele Netzwerkknoten verteilt. Somit steigt der Aufwand für Konfigurationsanpassungen nicht mehr linear mit der Anzahl Netzwerkelementen an und die Anfälligkeit auf Benutzerfehler wird auf das Minimum reduziert.
Strikte Segmentierung von Daten
Immer mehr Geräte benötigen eine Netzwerkverbindung – seien dies Klimaanlage- oder Licht-Steuerungen, Gebäudeautomation-Steuerungen und -Endgeräte, Sensoren aller Art, Kassensysteme, Buchhaltung & ERP Systeme, Endnutzergeräte wie auch Produktionsroboter. Auf keinen Fall darf ein Fehlverhalten oder im Extremfall ein Missbrauch eines solchen Gerätetypen dazu führen, dass andere Gerätegruppen von dem Vorfall betroffen sind beziehungsweise Opfer eines Sicherheitsmissbrauchs werden.
Durch die Anwendung einer Technologie mit dem Namen “Security Group Tag” kann dies ohne den immensen Aufwand der durch das Erstellen von multiplen, netzwerkweiten virtuellen Netzwerken (VLANs) entsteht, realisiert werden. Im wesentlichen wird der Datenverkehr der Endgeräte der Richtlinie entsprechend markiert (mit einem “Tag” versehen) und dann basierend auf einem festgelegten Regelwerk nur an die vordefinierten Endpunkt Gruppen weitergeleitet.
Automatische Identifikation von Endgeräten
Um den Verkehr spezifischer Endgeräte automatisch markieren zu können und damit die oben beschriebene Segmentierung zu garantieren, bedingt es eines gezielt ausgearbeiteten Konzepts. Darin wird festgelegt wie Endgeräte, die als solche erkannt werden, entsprechenden Gruppen zugewiesen werden. Jedoch muss auch sichergestellt werden, dass Geräte, die als solches nicht bekannt sind, auch gemäss einer vorgegebenen Richtlinie behandelt bzw. kategorisiert werden.
Die Cisco Identity Services Engine (ISE) ermöglicht genau dies. Für jedes Gerät welches an das Firmennetzwerk angeschlossen wird, erstellt die ISE aufgrund Attributen wie Benutzerinformation, Zeit, Lokation sowie Gerätetyp eine kontextbezogene Identität. Dieser Identität werden dann gemäss den festgelegten Richtlinien Kommunikationsrechte zugeteilt.
Präventiver Betrieb
Um die Stabilität und somit die geforderte Verfügbarkeit eines Firmennetzwerkes zu garantieren, müssen Probleme frühzeitig erkannt und genau so schnell auch behoben werden – am besten bevor der Anwender es merkt.
Genau dieses Ziel verfolgt die DNA Assurance Funktion des Cisco DNA Center. Eine Vielzahl von Netzwerk-Telemetriedaten wird auf der DNA Center Appliance aggregiert und korreliert. Hier werden zudem die gesammelten Informationen weiter mit Zusatzparametern angereichert, die z.B. aus der Cisco ISE kommen können. Als Endresultat dieser Datenanalyse erlaubt DNA Assurance dem Netzwerkbetreiber Probleme zu erkennen, bevor Benutzer massgeblich beeinträchtigt werden, und per Mausklick können die Befehle zur Lösung des Problems an die Netzwerk Infrastruktur delegiert werden.
Datensicherheit
Der Schutz und der sichere Transport von Firmendaten ist absolut essentiell für den Geschäftserfolg jedes Unternehmens. Firmendaten sollen nur vorgängig definierte Verkehrsmuster ausweisen. Wenn Unregelmässigkeiten bei den Verkehrsmustern erkannt werden, muss das Netzwerk möglichst automatisch den Datentransport unterbrechen und die involvierten Endpunkte in ihren Möglichkeiten einschränken.
Mit Cisco StealthWatch wird exakt dieses Problem adressiert. Verkehrsflüsse innerhalb des Unternehmens sowie Datenverkehr zu Cloud Serviceanbietern oder ins öffentliche Internet werden systematisch analysiert und mit einem Standardmuster verglichen. Dieses wurde automatisch angelegt über einen gewissen Zeitraum, kann aber auch manuell angepasst werden. Sollten starke Unterschiede zwischen dem aktuellen versus dem Standardmuster bestehen, greifen vordefinierte Prozesse ein und unterbinden die Datenflüsse. Auch bei diesem Lösungsteil spielt die Cisco Identity Services Engine wieder eine sehr wichtige Rolle, da Richtlinien einmal in der ISE festgelegt und dann durch verschiedene Kontrollmechanismen auf Netzwerkelemente angewendet werden.
Zusätzlich wird die Verkehrsflussanalyse und auch das allenfalls nötige Eingreifen durch die immer häufiger verschlüsselten Kommunikationsprotokolle erschwert. Es ist zwischenzeitlich sehr schwierig festzustellen, welche Daten effektiv von A nach B transportiert werden. Hier hilft Cisco Encrypted Traffic Analysis (ETA), mehr dazu aber im nächsten Blog.
In der Zwischenzeit sind Sie herzlich eingeladen, im DNA Readiness Assessment herauszufinden, wo Ihr Netzwerk heute steht, auch im direkten Vergleich mit Ihrer Branche.
Tags:
