Cisco Schweiz Blog
Share

Herausforderungen im Firmennetzwerk

- 3. November 2017 10:49

Die Anforderungen an die Datenkommunikations-Infrastruktur nehmen täglich zu, bedingt durch die rasant ansteigende Anzahl von Benutzern und Geräten, die in irgendeiner Art und Weise Daten austauschen wollen. Folgende Grundherausforderungen müssen wir adressieren:

  1. Die Komplexität von Konfigurations-Anpassungen im Firmennetzwerk, bedingt durch sich ständig ändernde Anforderungen aus den verschiedenen Geschäftsbereichen, muss mit nicht-linear ansteigendem Aufwand bewältigt werden können.
  2. Grundsätzlich verschiedene Benutzer- und Gerätetypen müssen strikt segmentiert werden.
  3. Benutzer/Geräte müssen automatisch identifiziert werden und nachfolgend korrekt der zulässigen Kommunikationsbeziehung zugeordnet werden.
  4. Die Verfügbarkeit der Netzwerkinfrastruktur muss sehr hoch sein und Fehler sind wenn immer möglich präventiv zu verhindern.
  5. Informations-/Datensicherheit ist zu gewährleisten, während firmeninterne und geheime Daten auf keinen Fall das Firmennetzwerk verlassen sollen.

Nachfolgend zeige ich auf, wie mit dem Intuitiven Netzwerk von Cisco diese Punkte systematisch gelöst werden.

Steigende Komplexität

Müssen neue Gerätegruppen mit dazugehörigen neuen Kommunikationsbeziehungen in bestehende Netzwerke integriert werden, bedeutet dies viel Arbeit! Neue virtuelle Netzwerke müssen auf jedem einzelnen Netzwerkknoten manuell (über das Command Line Interface) oder durch das Erstellen und Verteilen von Konfigurations-Vorlagen auf jeden Netzwerkknoten angelegt werden. Dies ist nicht nur zeitaufwändig sondern auch sehr fehleranfällig.

Das intuitive Netzwerk lernt ständig dazu

Die Netzwerk Design und Policy Komponente des Cisco DNA Center erlaubt eine intuitive Definition von Richtlinien und die Konfiguration “per Knopfdruck” auf alle Netzwerkelemente. Es wird also an einer Stelle die Absichtserklärung (Intent) definiert und danach auf beliebig viele Netzwerkknoten verteilt. Somit steigt der Aufwand für Konfigurationsanpassungen nicht mehr linear mit der Anzahl Netzwerkelementen an und die Anfälligkeit auf Benutzerfehler wird auf das Minimum reduziert.

Strikte Segmentierung von Daten

Immer mehr Geräte benötigen eine Netzwerkverbindung – seien dies Klimaanlage- oder Licht-Steuerungen, Gebäudeautomation-Steuerungen und -Endgeräte, Sensoren aller Art, Kassensysteme, Buchhaltung & ERP Systeme, Endnutzergeräte wie auch Produktionsroboter. Auf keinen Fall darf ein Fehlverhalten oder im Extremfall ein Missbrauch eines solchen Gerätetypen dazu führen, dass andere Gerätegruppen von dem Vorfall betroffen sind beziehungsweise Opfer eines Sicherheitsmissbrauchs werden.

Nutzer- und Gerätesegmentierung im Netzwerk

Durch die Anwendung einer Technologie mit dem Namen “Security Group Tag” kann dies ohne den immensen Aufwand der durch das Erstellen von multiplen, netzwerkweiten virtuellen Netzwerken (VLANs) entsteht, realisiert werden. Im wesentlichen wird der Datenverkehr der Endgeräte der Richtlinie entsprechend markiert (mit einem “Tag” versehen) und dann basierend auf einem festgelegten Regelwerk nur an die vordefinierten Endpunkt Gruppen weitergeleitet.

Automatische Identifikation von Endgeräten

Um den Verkehr spezifischer Endgeräte automatisch markieren zu können und damit die oben beschriebene Segmentierung zu garantieren, bedingt es eines gezielt ausgearbeiteten Konzepts. Darin wird festgelegt wie Endgeräte, die als solche erkannt werden, entsprechenden Gruppen zugewiesen werden. Jedoch muss auch sichergestellt werden, dass Geräte, die als solches nicht bekannt sind, auch gemäss einer vorgegebenen Richtlinie behandelt bzw. kategorisiert werden.

Kontextgewinn durch die Identity Services Engine ISEDie Cisco Identity Services Engine (ISE) ermöglicht genau dies. Für jedes Gerät welches an das Firmennetzwerk angeschlossen wird, erstellt die ISE aufgrund Attributen wie Benutzerinformation, Zeit, Lokation sowie Gerätetyp eine kontextbezogene Identität. Dieser Identität werden dann gemäss den festgelegten Richtlinien Kommunikationsrechte zugeteilt.

Präventiver Betrieb

Um die Stabilität und somit die geforderte Verfügbarkeit eines Firmennetzwerkes zu garantieren, müssen Probleme frühzeitig erkannt und genau so schnell auch behoben werden – am besten bevor der Anwender es merkt.Daten sammeln, analysieren und daraus lernen

Genau dieses Ziel verfolgt die DNA Assurance Funktion des Cisco DNA Center. Eine Vielzahl von Netzwerk-Telemetriedaten wird auf der DNA Center Appliance aggregiert und korreliert. Hier werden zudem die gesammelten Informationen weiter mit Zusatzparametern angereichert, die z.B. aus der Cisco ISE kommen können. Als Endresultat dieser Datenanalyse erlaubt DNA Assurance dem Netzwerkbetreiber Probleme zu erkennen, bevor Benutzer massgeblich beeinträchtigt werden, und per Mausklick können die Befehle zur Lösung des Problems an die Netzwerk Infrastruktur delegiert werden.

Datensicherheit

Der Schutz und der sichere Transport von Firmendaten ist absolut essentiell für den Geschäftserfolg jedes Unternehmens. Firmendaten sollen nur vorgängig definierte Verkehrsmuster ausweisen. Wenn Unregelmässigkeiten bei den Verkehrsmustern erkannt werden, muss das Netzwerk möglichst automatisch den Datentransport unterbrechen und die involvierten Endpunkte in ihren Möglichkeiten einschränken.

Informationen mit KontextMit Cisco StealthWatch wird exakt dieses Problem adressiert. Verkehrsflüsse innerhalb des Unternehmens sowie Datenverkehr zu Cloud Serviceanbietern oder ins öffentliche Internet werden systematisch analysiert und mit einem Standardmuster verglichen. Dieses wurde automatisch angelegt über einen gewissen Zeitraum, kann aber auch manuell angepasst werden. Sollten starke Unterschiede zwischen dem aktuellen versus dem Standardmuster bestehen, greifen vordefinierte Prozesse ein und unterbinden die Datenflüsse. Auch bei diesem Lösungsteil spielt die Cisco Identity Services Engine wieder eine sehr wichtige Rolle, da Richtlinien einmal in der ISE festgelegt und dann durch verschiedene Kontrollmechanismen auf Netzwerkelemente angewendet werden.

Zusätzlich wird die Verkehrsflussanalyse und auch das allenfalls nötige Eingreifen durch die immer häufiger verschlüsselten Kommunikationsprotokolle erschwert. Es ist zwischenzeitlich sehr schwierig festzustellen, welche Daten effektiv von A nach B transportiert werden. Hier hilft Cisco Encrypted Traffic Analysis (ETA), mehr dazu aber im nächsten Blog.

In der Zwischenzeit sind Sie herzlich eingeladen, im DNA Readiness Assessment herauszufinden, wo Ihr Netzwerk heute steht, auch im direkten Vergleich mit Ihrer Branche.

Tags:
Kommentar hinterlassen