Die Einfachheit des Anwendungszugriffs und die Benutzerfreundlichkeit verändern den Arbeitsplatz in einem hohen Tempo. Dies ist vor allem darauf zurückzuführen, dass Cloud-basierte, mandantenfähige Anwendungen so einfach zu implementieren sind. Macht die Netzinfrastruktur diese schnellen Änderungen überhaupt mit?
Moderne Anwendungen verfügen über mehrere Kommunikationsmodi und in vielen Fällen stehen IT-Abteilungen vor der Herausforderung, die Infrastrukturen für die Unterstützung dieser Anwendungen bereitzustellen. Neue Anwendungsmodelle stellen neue Herausforderungen an Sicherheit, Kapazität, Quality of Service (QoS), Authentifizierung, Überwachung und Verfügbarkeit. Aus diesem Grund müssen sich die Netzwerkplaner mit Application-First-Strategien auseinandersetzen.
Drastisches Merkmal dieser Veränderung ist der Umstand, dass Funktionen, die früher in der Hardware bereitgestellt wurden, heute aus der Software kommen und auf einem Smartphone, einem Laptop oder einem Internet-of-Things-Gerät ausgeführt werden können. In der Realität kann man auf die Sprache, Video und Daten von überall zugreifen – sowohl innerhalb als auch außerhalb des Arbeitsplatzes.
Anwendungsorientierte Realität
Die neue Realität besteht darin, dass die Netzinfrastruktur sich an den Anwendungen orientiert. Hierzu muss das Gewerk in der Lage sein, die notwendige Sicherheit und QoS für Anwendungen bereitzustellen. Diese Anwendungen können sich auf mehreren Geräten (Laptop, physisches Telefon, Smartphone) gleichzeitig befinden und sich über verschiedene Medien verbinden (kabelgebunden und drahtlos). Darüber hinaus können sich diese Geräte am Arbeitsplatz, in einem Café oder einem Home-Office befinden.
Aus diesem Grund muss das Netzwerk in der Lage sein, Multicast-Verkehr über die gleichen Verbindungen wie Sprache und Daten zu übertragen und genügend Übertragungskapazitäten bereitzustellen (bzw. diese durch QoS-Funktionen zu garantieren), um sicherzustellen, dass die Anwendungsdaten nicht verloren gehen und keine hohen Verzögerungen entstehen. Hierzu müssen die zum Zeitpunkt der Übermittlung am besten geeigneten Pfade auswählt werden. Diese Pfade können über lokale Netzwerke, über das Internet, über MPLS- oder über softwaredefinierte WAN-Verbindungen (SD-WAN) geführt werden. Bei geschäftskritischen Anwendungen, wie beispielsweise die Sprache, muss sichergestellt werden, dass diese gegenüber weniger kritischen Anwendungen bevorzugt wird.
Die Netzwerk- und die Sicherheitsplaner müssen ebenfalls den Puls der Anwendungen im Unternehmen spüren und die notwendigen Tools bereitstellen, um das Netzwerk an die sich ständig ändernden Anforderungen anzupassen. Beispielsweise müssen Security-Appliances in der Lage sein, den Unterschied zwischen Facebook und LinkedIn, Voice (SIP) und WebRTC und der Vielzahl anderer Protokolle zu erkennen. Dieser Anwendungsbezug ist deshalb wichtig, um den Unterschied zwischen bösartigen und vertrauenswürdigen Befehlen und Protokollen zu erkennen, da diese in der Regel ins Netzwerk über HTTP- und SSL-Ports übertragen werden.
Eine Herausforderung bei der Erkennung der Anwendungen besteht darin, dass der größte Teil des übermittelten Datenverkehrs mit SSL verschlüsselt wird. Daher muss eine Vertrauensbeziehung zwischen den Netzsicherheitsgeräten (Firewalls) und den Workstations bestehen, um die SSL-Ent- und -Wiederverschlüsselung des Datenverkehrs für die notwendige Inspektion, Protokollierung und Analyse zu ermöglichen.
Anwendungen, die in hybriden Umgebungen (Arbeitsplatz, Rechenzentrum, Cloud) bereitgestellt werden, stellen zusätzliche Anforderungen an die Netzwerksicherheit. Die Netzwerkplaner müssen neue und sichere Methoden für die Authentifizierung (Single-Sign-On (SSO), Multifaktor-Authentifizierung, Zertifikate, öffentliche und private Schlüssel, Token, etc.) bereitstellen.
In der Vergangenheit lag der Schwerpunkt der Netzwerksicherheit auf dem Schutz des Netzwerks. Obwohl immer noch sehr wichtig, müssen die Netzplaner besonderes Gewicht auf die Erkennung und Behandlung von bösartigen Datenverkehren und Anwendungen legen. Dies muss auch die Sicherung von Nicht-Benutzergeräten (beispielsweise Drucker, Switches, WLAN-Access-Points und IoT-Zugangspunkte) umfassen.
Erweitertes Netzwerkdesign
Der neue anwendungsorientierte Arbeitsplatz erfordert von den Netzwerken mehr Agilität, höhere Übertragungskapazitäten und eine verbesserte Zuverlässigkeit. Aus diesem Grund müssen die Netzplaner ihren Werkzeugkasten um folgende Funktionen und Tools erweitern:
- Umsetzung des Software-Defined-Networking (SDN) bzw. Integration von Network-Fabrics: Die meisten Switch-Hersteller haben in den vergangenen Jahren ihre Network-Fabrics überarbeitet und die SDN-Technologie in deren Netzkomponenten implementiert. Richtig eingesetzt sorgen diese Technologien für die notwendige Agilität, Kapazität, Zuverlässigkeit und das Anwendungsbewusstsein der Netze. In diesem Bereich unterscheidet man zwischen herstellerspezifischen Fabric/SDN-Technologien und Industriestandard (IEEE) Fabric/SDN-Technologien, wie beispielsweise Shortest-Path-Bridging (SPB).
Mathias Hein, Consultant, Buchautor, Redakteur Installation von SD-WAN: Mit der Bereitstellung der Software-Defined-WAN-Technologie lässt sich als eine Software-basierte Lösung für Weitverkehrsnetze definieren. Hierzu werden Netzwerk-Overlays und Virtualisierung (Verfahren zur Ressourcenteilung) dazu genutzt, eine – im Vergleich zu herkömmlichen Lösungen – weitaus bessere und zudem flexiblere Konnektivität bei niedrigeren Kosten sowie geringerer Komplexität zu liefern. SD- WANs ersetzen teure und dabei auch noch betriebskostenintensive Multi-Protocol-Label-Switching- (MPLS-)Leitungen. Daraus ergeben sich eine Reihe von relevanten Positivfaktoren: Durch eine sowohl effiziente als auch effektive Verwaltung von WAN-Ressourcen sowie einer optimierten respektive vereinfachten Handhabung können deutliche Einsparungen generiert werden. Das Netzwerk kann weitaus individueller genutzt werden, da SD-WAN-Lösungen die Flexibilität des jeweiligen Netzwerks enorm erhöht. Da die Internetanbindung durch die neue Technologie widerstandsfähiger wird und zudem hochverfügbar ist, können Produktionsausfälle vermieden werden.
- Integration von Firewalls der nächsten Generation (NGFW): Die wichtigen Anbieter von Firewalls haben im Bereich der anwendungsorientierten Firewalls erhebliche Fortschritte gemacht. Ursprünglich wurde die Next-Generation-Firewall (NGFW) so konzipiert, dass sie bestimmte Security-Services bietet: Firewall, Schutz vor Eindringlingen und Anwendungskontrolle. Seitdem haben sich die Bedrohungen und die verfügbare Technologie zu deren Bekämpfung deutlich weiterentwickelt und erfordern nun zusätzliche Netzsicherheitsservices. Daher müssen in diese Geräte zusätzliche Techniken und Services (SSL-Inspektion, Website-Filterung, QoS, Antivirus-Inspektion, Sandboxing, usw.) integriert werden. Dies ermöglicht eine umfassende und flexible Kontrolle der Datenströme, sodass die Prozesse schneller an neue und weiterentwickelte Bedrohungen angepasst werden können.
