Suchen

Dynamisierung und Automatisierung der Infrastruktur kritisch betrachtet

Software-Defined Networking – aber sicher!

Seite: 2/2

Firma zum Thema

"Plan, build, run, secure" ist Geschichte

Die klassische Vorgehensweise bzw. Reihenfolge der Planung, Installation/Konfiguration, Betrieb und erst dann der Absicherung wird im Zuge einer SDN-Einführung hinfällig, da viele Prozesse parallel ablaufen müssen. Jede Veränderung der Konfiguration der virtuellen, SDN-gesteuerten Netzwerkarchitektur muss von automatisierten Veränderungen bzw. Anpassungen der Sicherheitsregeln begleitet werden. Dies hat Vorteile, da Sicherheit sehr viel früher in den Planungsprozess einbezogen wird – allerdings auch Nachteile, da viele Variationsmöglichkeiten bereits im Vorfeld bedacht und integriert werden müssen, was Quelle von Fehlern sein kann und vermutlich wird.

Ein weiteres Feld, das hier berücksichtigt werden muss, ist die Verschiebung von Netzwerkinfrastrukturressourcen sowohl zwischen verschiedenen Clouds als auch zwischen verschiedenen VMs oder ganzen VM-Umgebungen. Diese geforderte Elastizität muss sich auch in der Security-Architektur widerspiegeln, aber eben auch die möglichen Veränderungen quasi vorhersehen und automatisiert in Regelwerken abbilden.

Das Ende des Perimeters

Durch die Intensivierung des Zugriffs von allen auf alles, bereits weithin im Rahmen der Mobilisierung verbreitet und durch das Internet der Dinge vor einem weiteren Schub, erfordert auch hier ein Umdenken. Die eindeutige Grenze, der Perimeter, der durch eine intelligente Firewall abgesichert wird, verschwimmt bzw. vervielfacht sich – was nicht zum Wegfall der Firewall sondern vielmehr zu einer Erweiterung ihrer Intelligenz führen muss.

Proprietäre Schnittstellen

Die noch lange nicht abgeschlossene Entwicklung von SDN-Technologie und entsprechenden Standards bedingt eine derzeit große Zahl proprietärer Schnittstellen, z.B. der Northbound-Interfaces. Dies erschwert die Anbindung und Integration entsprechender SDN-Security-Controller und muss ebenfalls bei der Planung berücksichtig werden.

Flexibilität bei Security-as-a-Service (SaaS)

Die vorwiegend bei Providern anzutreffenden SaaS-Service-Angebote werden dieselben Erwartungen an Flexibilität, Art des Verbrauchs und vor allem auch Bezahlmodelle bieten müssen, wie es die Anwender bereits heute bei der Nutzung von VM-Instanzen bzw. -Services gewohnt sind.

IT-Verantwortliche aufgemerkt!

Für einen erfolgreichen Start in das SDN-Zeitalter sollte eine IT-Abteilung bei bevorstehender Neuanschaffung von Netzwerkausrüstung zwingend darauf achten, dass die neuen Router, Switches und Ethernet-Fabric-Lösungen alle Anforderungen und Standards unterstützen, wie zum Beispiel VXLAN, OpenFlow und eine RESTful API. Die Standardisierung dieser Protokolle vermeidet Sackgassen, die durch proprietäre Tunneling-Protokolle entstehen.

Vor der Entscheidung für SDN sollten daher folgende Punkte abgearbeitet werden:

  • Identifikation der Hauptgründe für SDN
  • Einrichten eines übergreifenden Projektteams mit Mitgliedern aus IT und Fachabteilung(en)
  • Identifikation der Anforderungen, die Anwendungen an das Netzwerk stellen (z.B. Virtualisierung, Einrichtung von Ressourcenpools)
  • mit der Umstellung in einem überschaubaren Bereich beginnen
  • klarstellen, dass die IT-Sicherheit im SDN eine gemeinsame Aufgabe und Verantwortung von Netzwerk- und Security-Verantwortlichen ist
  • überprüfen, ob alle für SDN nötigen Investitionen die Unternehmensstrategie unterstützen
  • Anpassen der IT-Sicherheitslösungen an SDN-Anforderungen im Sinne einer Software-Defined Security

Arbeitet die IT-Abteilung bereits nach den PDCA-Prozessen (Plan-Do-Check-Act) gemäß ITIL (IT Infrastructure Library) oder sind regulatorische Anforderungen für SOX, PCI-DSS etc. zu erfüllen, bietet die Orchestrierung eine Integration in bestehende Prozesse.

Die SDN-Integration kann per Standard-API in den Bereichen Changemanagement und CMDB (Configuration Management Database) stattfinden. Zudem bieten die Hersteller von ITIL-konformen Management-Tools bereits die Anbindung per RESTful API und die Integration in Orchestrierungsplattformen wie OpenStack an.

Für die Zukunft bietet SDN zahlreiche neue Designelemente, um die Netzwerk- und vor allem auch Security-Architektur von morgen zu gestalten, zu erweitern und zu verbessern. Unabhängig davon, welcher SDN-Umfang in einer neuen Netzwerkarchitektur zum Einsatz kommt, sollte immer schon im Vorfeld der Investition darauf geachtet werden, dass sich dadurch die Dienstqualität und das Kosten-Nutzen-Verhältnis nachweislich verbessert (Proof of Concept).

Fragen, die ein Unternehmen sowohl aus der Sicht des Geschäftsführers als auch des IT-Entscheiders im Zusammenhang mit SDN intern und gegebenenfalls mit dem externen IT-Partner klären sollte, lauten unter anderem:

  • In welchen Netzwerkbereichen macht es in meinem Unternehmen Sinn, auf SDN zu setzen?
  • Gibt es Netzwerkbereiche, in denen ich auf SDN setzen muss, um den Anforderungen (mobile Endgeräte, Internet der Dinge, Industrie 4.0, Cloud Computing) standhalten zu können?
  • Welche Anforderungen entstehen in diesem Zusammenhang in Sachen Security?

Fazit

Für Unternehmen, die ihr Netzwerk mithilfe von SDN-Technologie und darauf abgestimmten Sicherheitslösungen auf die Verarbeitung großer Datenströme, die automatische Einbindung zahlreicher Endgeräte oder den Zugriff zahlreicher Nutzer in kurzer Zeit ausrichten, geht der erzielbare Nutzen weit über den technischen Aspekt hinaus.

Die Vorteile aus der Sicht des Unternehmens sind unter anderem: Agilität und Flexibilität des Netzwerks schaffen bessere Auslastung der Ressourcen; doe Sichere und schnelle Bereitstellung von Netzwerkdiensten sorgt für höhere Zuverlässigkeit und Business Continuity; die Verfügbarkeit von Netzwerkdiensten steigt, da weniger geplante und ungeplante Hardware-Ausfälle auftreten; durch die Beschleunigung und Automatisierung von Arbeiten im IT-Bereich sinken die Kosten; Reduzierung von Energiekosten durch weniger Netzwerkgeräte.

Und wer im Rahmen seiner Compliance-Anforderungen verstärkt auf den Datenschutz, die Sicherheit des eigenen Know-hows und die Sicherheit der Nutzer schauen muss, der schafft es über die Investition in SDN-Technologie leichter, mit weniger Risiken und geringeren Kosten den Schritt in die digitalisierte Zukunft zu tun.

Über den Autor

Christian Vogt ist Regional Director Germany bei Fortinet.

(ID:43233584)