Dynamisierung und Automatisierung der Infrastruktur kritisch betrachtet

Software-Defined Networking – aber sicher!

| Autor / Redakteur: Christian Vogt / Andreas Donner

"Software-Defined Networking dynamisiert und flexibilisiert das Netzwerk; davon profitiert auch der Bereich Security", sagt Christian Vogt, Regional Director Germany bei Fortinet
"Software-Defined Networking dynamisiert und flexibilisiert das Netzwerk; davon profitiert auch der Bereich Security", sagt Christian Vogt, Regional Director Germany bei Fortinet (Bild: Fortinet)

Die Digitalisierung der Wirtschaft verlangt die Weiterentwicklung und Steigerung der Leistungsfähigkeit der dahinterliegenden Netzwerktechnologie. Denn leistungsfähige, moderne Netzwerke sind in der Lage, automatisch und flexibel auf sich ändernde Anforderungen des Geschäfts zu reagieren – bei gleichzeitig hohem Security-Standard.

Software-Defined Networking (SDN) dynamisiert und flexibilisiert das Netzwerk, indem es Hardwarekomponenten wie Router und Switches durch eine Softwareschicht ersetzt. Der konkrete Vorteil: Es müssen nicht mehr real existierende Einzelgeräte – möglicherweise unterschiedlicher Hersteller – individuell implementiert, konfiguriert und bei Bedarf umständlich händisch ausgetauscht werden. SDN stellt eine Möglichkeit dar, dem Ansturm von Endgeräten, Anfragen und Datenströmen mit der Geschwindigkeit Herr zu werden, die heute bereits verlangt wird.

Für die SDN-Technologie sprechen unter anderem folgende Vorteile:

  • Anwendungen, Netzwerkdienste und Daten können Fachabteilungen, Mitarbeitern und Kunden flüssiger und zuverlässiger als in herkömmlichen Netzen bereitgestellt werden.
  • Die Transparenz und Protokollierbarkeit des Verhaltens von virtuellen Netzwerkkomponenten, Datenströmen und Anwendungen verbessert Steuerbarkeit, Nachvollziehbarkeit, Sicherheit und die Effizienz des Netzwerks.
  • Die physische Netzwerkinfrastruktur wird einfacher, da weniger Hardware und Kabel vorhanden sind. Das reduziert Kosten für Implementierung, Betrieb, Wartung und Erneuerung von Netzwerkkomponenten, die nur noch als Software vorhanden sind. Vom Stromverbrauch ganz zu schweigen.
  • Im Sinne des offenen Ansatzes ist der Controller nicht herstellerspezifisch und lässt sich je nach Anforderungen des Geschäfts an das Netzwerk frei konfigurieren.
  • Switches, Router und WLAN-Zugänge sind zentral steuerbar.
  • Netzwerkdienste und -eigenschaften lassen sich flexibler konfigurieren, als das in herkömmlichen Netzen möglich ist.
  • Virtuelle Maschinen lassen sich im SDN vollautomatisch oder bei Bedarf per Mausklick verschieben.
  • Sicherheits-Policies lassen sich mit einem Mausklick über den Controller an alle Router und Switches im Netzwerk verteilen.

Mithilfe von SDN können also gewachsene Strukturen in Netzwerkarchitekturen "durchbrochen" werden. Die Anforderungen der Anwendungen, die in diesen Infrastrukturen zum Einsatz kommen, rücken damit stärker in den Fokus: Netzwerkgeschwindigkeit, Virtualisierung und die Nutzung ganzer Ressourcenpools statt einzelner physisch verteilter Ressourcen; zum Beispiel Speicher- oder Rechenkapazitäten.

Fachabteilungen können so schneller auf Anwendungen zugreifen, Lastspitzen werden besser verteilt, Netzwerkstaus vermieden. Folge: Der Alltag an den IT-gestützten Arbeitsplätzen im Unternehmen läuft flüssiger.

Und was ist mit der Sicherheit?

Im Gegensatz zum traditionellen Netzwerk unterteilt SDN die Netzwerksteuerung in zwei Schichten. Netzwerkfunktionen wie Routing oder Load Balancing werden virtualisiert. Durch eine zentrale "Orchestrierung" wird ein zentrales, automatisierbares Management ermöglicht. Das Netzwerk und die darin laufenden Prozesse werden somit transparent, laufend protokollierbar und in der Folge auch sicherer.

Das ist unter anderem ein wichtiger Aspekt, wenn Compliance- oder Sicherheitsanforderungen beziehungsweise deren nachweisliche Erfüllung zum Wettbewerbsfaktor werden. So verlangen Fertigungsunternehmen der Automobilbranche von ihren zahlreichen mittelständischen Zulieferern oder Entwicklungspartnern bereits heute hohe Datensicherheitsstandards. Wer hier in den kritischen Bereichen rechtzeitig auf die Vorteile von SDN setzt, kann bei der Auftragsvergabe durchaus die Nase vorne haben.

Virtuelle Router, Firewalls, VPN-Gateways und Load Balancer sorgen nicht nur technisch für Flexibilität. Sie minimieren auch die "Schraubarbeit" des IT-Verantwortlichen: Es genügt ein Klick zum Aufsetzen von Routern, Firewalls und VPN-Templates in der virtuellen Umgebung für ein schnelles Rollout. Und wird die virtuelle Instanz nicht mehr benötigt, ist sie mit wenigen Klicks wieder entfernt.

Da alles protokolliert werden kann, lassen sich auch die Kosten für genutzte Netzwerkservices den betroffenen Abteilungen oder einzelnen Kostenstellen – zum Beispiel Kundenaufträgen – zuordnen. Somit wird auch die Kalkulation von Projekten genauer, Preise lassen sich knapper ausweisen – ein weiterer Wettbewerbsvorteil.

Integration und Interaktion

SDN schafft neue Möglichkeiten zur Integration beziehungsweise Interaktion. Damit lässt sich sowohl die Dynamik als auch die Effizienz im Netzwerk steigern. Sicherheitslösungen wie Firewalls, Content- und Malware-Filter oder Intrusion-Prevention- und -Detection-Systeme können jetzt flexibel und ohne physische Veränderungen des Netzwerkaufbaus direkt in den Datenfluss "integriert" werden. Das beschleunigt und vereinheitlicht Prüfprozesse, da Sicherheit sozusagen im Netzwerk verteilt ist und nicht wie beim sprichwörtlichen Flaschenhals alles an einer Stelle "gecheckt" werden muss, was bekanntermaßen Verzögerungen verursacht.

Herausforderungen in puncto IT-Sicherheit

Durch die zentralisierte Steuerung des gesamten Netzwerks durch den SDN-Controller wird dieser auch zum Dreh- und Angelpunkt für die Sicherheit. Ein Ausfall bedingt automatisch auch den Ausfall des Netzwerks, sofern keine adäquaten Maßnahmen ergriffen wurden. Der physikalische, organisatorische und logische Schutz des SDN-Controllers ist damit oberste Regel. Die Kommunikation von und zum SDN-Controller stellt den zweiten wichtigen Aspekt dar. Sie muss vollständig gesichert, also verschlüsselt sein. Die kommunizierenden Elemente müssen ebenfalls "trusted Elements" sein – sowohl sämtliche Hardware wie z.B. Switches (am sog. Southbound-Interface) als auch sämtliche Anwendungen und Services, die das Verhalten des Controllers beeinflussen können (am sog. Northbound-Interface) müssen vertrauenswürdig und unangreifbar sein.

Schließlich muss es ein Set höchst stabiler Regelwerke geben, die die unendliche Vielfalt der Möglichkeiten eines Software-Defined-Netzwerks berücksichtigt und darauf in Echtzeit reagiert. Ebenso lebensnotwendig ist ein kontinuierlicher "Gesundheits-Check", ein Echtzeit-Reporting und eine kontinuierliche Analyse, ob alle durch dynamische oder manuelle Änderungen des SDN bedingten Regelveränderungen auch die Unternehmens-Vorgaben (z.B. Compliance) einhalten.

Planungshilfen für IT-Sicherheit im SDN-Umfeld

Bei allen zu erwartenden Vorteilen einer geschmeidigen IT-Security-Infrastruktur sind einige wichtige Aspekte bei der Planung derselben zu berücksichtigen. Ein zu schnelles Migrieren kann an dieser Stelle fatale Folgen haben. Im Folgenden finden sich einige Anregungen, die in einem solchen Veränderungsprozess hilfreich sein können.

Regelung der Verantwortlichkeiten

Bereits ohne SDN sind die Verantwortlichkeiten für die verschiedenen Security- Bereiche innerhalb eines Unternehmens ein nicht selten heikles Thema. Neben der klassischen Trennung zwischen Produktions- und Office-Netz gibt es weitere Hoheitsgebiete wie z.B. Netzwerk und Desktop, Firewall/VPN und Content uvm. Im Rahmen der zentralen Orchestrierung eines SDN verschmelzen möglicherweise viele dieser separaten Einheiten. Eine detaillierte Regelung der Verantwortlichkeiten ist daher essenziell und muss früh in einem Migrationsprozess berücksichtig werden.

weiter mit: "Plan, build, run, secure" ist Geschichte

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43233584 / Technologie)