Was braucht ein Unternehmen von einem Netzwerk?
Führungskräfte moderner Unternehmen interessieren sich selten für die Feinheiten der IT und die Nuancen der Netzwerktechnologie. Dies ist nicht überraschend: Das Ergebnis ist wichtig für das Geschäft.
Das gewünschte Geschäftsergebnis wird jedoch dank der koordinierten Arbeit vieler Geschäftsprozesse erzielt. Die meisten davon beziehen sich auf die Weitergabe von Informationen. Die meisten dieser Geschäftsprozesse basieren auf Netzwerkanwendungen, die über dem Netzwerk ausgeführt werden.
In einer modernen Unternehmensumgebung kann ein Unternehmen ohne Netzwerk und Anwendungen nicht mehr arbeiten. Darüber hinaus nimmt im Zeitalter der Digitalisierung und des Internet der Dinge (IoT) die Abhängigkeit der Unternehmen von der IT nur zu, da immer mehr geschäftskritische Anwendungen über dem Netzwerk ausgeführt werden.
Daher ist es für moderne Unternehmen von entscheidender Bedeutung, den ordnungsgemäßen Betrieb von Netzwerkanwendungen und dementsprechend von Netzwerken sicherzustellen.
Wie geht das?
Um dieses Problem zu lösen, müssen viele Empfehlungen erfüllt werden, die in Konstruktionshandbüchern und in der Fachliteratur beschrieben sind. Letztendlich können jedoch auf ihrer Grundlage drei Schlüsselbereiche formuliert werden:
- Zuverlässiger Transport.
- Querschnittspolitik.
- End-to-End-Orchestrierung.
Gleichzeitig ist die Informationssicherheit die wichtigste und notwendigste Komponente jeder Richtung, idealerweise nach dem Modell des Nullvertrauens oder der „weißen Liste“, innerhalb derer der Zugriff auf eine bestimmte Ressource nur den Benutzern gewährt wird, für die ein solcher Geschäftsbedarf besteht.
Betrachten Sie diese Bereiche genauer.
Aufgabe 1: zuverlässiger Transport
Ein grundlegender und offensichtlicher Punkt. Das Netzwerk sollte funktionieren und Informationen von Punkt A nach Punkt B übertragen, wann immer das Unternehmen dies benötigt. Andernfalls können Geschäftsprozesse nicht funktionieren und das Geschäft erleidet direkte oder indirekte Verluste.
Aufgabe 2: Querschnittsrichtlinien
Es ist notwendig, aber nicht ausreichend, Informationen von Punkt A nach Punkt B zu übertragen. Die korrekte Arbeit von Geschäftsprozessen ist nur möglich, wenn verschiedene Richtlinien implementiert werden. Um beispielsweise die Vertraulichkeit, Integrität und Authentizität von Informationen zu gewährleisten, müssen Sicherheitsrichtlinien implementiert werden. Ein weiteres Beispiel: Die ordnungsgemäße Qualität von Geschäftsanwendungen erfordert die Einhaltung der erforderlichen Werte für Verzögerungen, Jitter und Paketverlust. Dies kann wiederum die Implementierung einer QoS-Richtlinie (Quality of Service) erfordern.
Die Besonderheit bei der Umsetzung von Politiken besteht darin, dass ihre Wirkung so stark ist wie das schwächste Glied. Dies bedeutet, dass zur Erzielung des gewünschten Geschäftsergebnisses eine durchgängige Implementierung von Richtlinien erforderlich ist, die das gesamte Unternehmensnetzwerk abdecken.
Darüber hinaus kann das Fehlen von Richtlinien oder deren unsachgemäße Umsetzung zu Problemen bei der Umsetzung des Basispunkts führen - der Bereitstellung von Kommunikation. Beispielsweise kann eine ineffektive Implementierung einer Sicherheitsrichtlinie einen Angriff auf die Netzwerkinfrastruktur oder -dienste verpassen, und die Komplexität der Hardwarekonfigurationen in Kombination mit dem Faktor Mensch kann zu Hardwarekonfigurationsfehlern führen. Jedes dieser Beispiele schafft die Voraussetzungen für Fehler bei der Übertragung von Verkehr und die Unzugänglichkeit von Diensten.
Aufgabe 3: End-to-End-Orchestrierung
Die Implementierung von Richtlinien kann nur dann effektiv sein, wenn die Richtlinien miteinander konsistent sind und schnell in dem vom Unternehmen benötigten Tempo aktualisiert werden können.
Die Realitäten des modernen Geschäfts erfordern die sofortige Aktualisierung dieser End-to-End-Richtlinien. Dies geschieht normalerweise, wenn neue Geschäftsprozesse gestartet werden, Änderungen an vorhandenen Prozessen vorgenommen werden oder wenn Arbeiten ausgeführt werden, um deren Unterstützung aus dem Netzwerk zu optimieren. Verzögerungen bei der Aktualisierung von Richtlinien sind nicht akzeptabel, da sie den Start neuer Geschäftsinitiativen verzögern oder die Geschäftsrisiken erhöhen. Geschwindigkeit ist daher sehr wichtig und wird im Kontext der Digitalisierung noch wichtiger. Die Gewinngeschwindigkeit kann zu erheblichen finanziellen Ergebnissen führen. In einigen Fällen ist die Geschwindigkeit so entscheidend, dass der Erfolg der gesamten Geschäftsinitiative davon abhängt.
Um diese Bedingungen zu erfüllen und die ordnungsgemäße Implementierung von Richtlinien sicherzustellen, sind Orchestrierungs-Tools erforderlich, die entlang der gesamten Informationsübertragungsroute ausgeführt werden, z. B. vom Computer des Remote-Office-Mitarbeiters zum Server im Rechenzentrum des Unternehmens.
Orchestrierungswerkzeuge werden immer wichtiger und notwendiger für die Funktionalität eines modernen Unternehmensnetzwerks. In der Tat ist es ohne sie einfach unmöglich, End-to-End-Richtlinien für eine große Anzahl von Netzwerkinfrastrukturelementen zu implementieren und diese in der Praxis auch schnell zu aktualisieren.
Die Lösung für die ersten beiden Aufgaben - Gewährleistung eines zuverlässigen Transports und von End-to-End-Richtlinien - sind Voraussetzungen für die Orchestrierung. Offensichtlich sind alle Dienstleistungen auf den Transport angewiesen. Es ist auch klar, dass Orchestrierung nur möglich ist, wenn es wirksame und flexible Mechanismen für die Umsetzung von Richtlinien gibt. Somit befindet sich die Orchestrierung "an der Spitze der Pyramide" der drei betrachteten Aufgaben.
Die Herausforderungen heutiger Unternehmensnetzwerke
Wie ist die Situation unter dem Gesichtspunkt der Aufgaben, die in den heutigen typischen Unternehmensnetzwerken beschrieben werden?
Theoretisch kann ein typisches Unternehmensnetzwerk Aufgabe 1 problemlos ausführen und einen zuverlässigen Transport gewährleisten, da hierfür die erforderlichen technischen Mittel vorhanden sind - beispielsweise dynamische Routing-Protokolle, Hochverfügbarkeitstools usw.
In der Praxis ist die Lösung dieses Problems viel komplizierter. Neben der Übertragung von Paketen von Punkt A nach Punkt B müssen auch Richtlinien implementiert werden. Und jede nicht triviale Politik wirkt sich auf den Verkehr aus. Die Interdependenzen werden zwischen der Funktion, die die Richtlinie implementiert, und der Funktion, die die Transportprobleme löst, angezeigt. Netzwerkgerätekonfigurationen sind viel komplizierter. Infolgedessen sind der Netzwerkbetrieb und die Fehlerbehebung kompliziert. Technologische Fenster werden länger, die Fehlerwahrscheinlichkeit ist höher. Letztendlich wird die Netzwerkverfügbarkeit und damit die Geschäftsprozesse reduziert. Und das ist im Geschäftsleben immer weniger angenehm.
Bei Politikern ist die Situation nicht besser. Der TCP / IP-Protokollstapel verfügt nicht über die Mittel, um anzuzeigen, dass Pakete zu einer Gruppe von Benutzern oder Hosts gehören, und Richtlinien auf solche Pakete anzuwenden. In der Praxis müssen Administratoren daher nach einem Ersatz suchen, und die IP-Adresse wird fast überall als solcher Ersatz verwendet, obwohl dies nicht vorgesehen ist. Es ist jedoch die IP-Adresse, die normalerweise als Kriterium für die Zugehörigkeit eines Pakets zu einer bestimmten Benutzergruppe verwendet wird.
Diese Art der Anwendung von IP-Adressen schafft eine gegenseitige Abhängigkeit zwischen zwei verschiedenen Funktionen - Adressierung und Anwendung von Richtlinien. Und die für eine Funktion gewünschten Änderungen wirken sich unweigerlich auf eine andere aus. Dadurch verliert das Netzwerk seine Flexibilität. Beispielsweise werden Adressierungsoptimierungen sowie andere wesentliche Änderungen der IP-Adressen des Unternehmensnetzwerks häufig fast unmöglich, da infolgedessen die Auswirkungen von Richtlinien verletzt werden.
Dies ist jedoch nur ein Teil des Problems. Die Arbeit mit Adressen erfolgt in der Regel manuell, und darauf basierende Richtlinien werden sehr komplex, umständlich und sehr anfällig für den „menschlichen Faktor“. Infolgedessen leiden die Geschwindigkeit und Qualität der Anwendung von Richtlinien, und das Risiko von Geschäftsprozessfehlern aufgrund von Netzwerkproblemen steigt erheblich.
Die End-to-End-Service-Orchestrierung fehlt in einem typischen Unternehmensnetzwerk. Ein echtes Unternehmensnetzwerk ist selten homogen. Vielmehr basiert es auf einer Reihe von Geräten mit heterogener Funktionalität verschiedener Hersteller mit unterschiedlichen Implementierungen nicht nur von Befehlszeilenschnittstellen, sondern auch von Netzwerkprotokollen und -standards. Nicht alle Geräte verfügen über solche Funktionen in der richtigen Form und Lautstärke. Darüber hinaus sind die Netzwerkgerätekonfigurationen eines realen Netzwerks inkonsistent und komplex, und im Laufe der Zeit nehmen Komplexität und Inkonsistenz tendenziell zu. Service Orchestration in einem solchen Netzwerk ist nicht nur schwierig zu implementieren, sondern führt wahrscheinlich auch zu Störungen aufgrund von Konflikten zwischen automatisierten und manuellen Ansätzen für das Netzwerkmanagement. Infolgedessen ist die Implementierung einer End-to-End-Orchestrierung von Diensten in einem solchen Netzwerk nahezu unmöglich.
Ein weiteres Problem ist die Koordination. Bevor eine Geschäftsabsicht in bestimmten Teams von Netzwerkgeräten verankert wird, muss eine Kette von Mitarbeitern aus verschiedenen Abteilungen mit völlig unterschiedlichen Spezialisierungen und Mentalitäten durchlaufen werden - beispielsweise von Geschäftsführern über eine Kette von Managern bis hin zu technischen Spezialisten auf dem Gebiet von Anwendungen und Rechenzentren, Netzwerktechnologien und Sicherheit . Solche Leute "sprechen verschiedene Sprachen". Bei der Übersetzung einer Aufgabe entlang einer Kette bleibt ihre Bedeutung nicht immer in ihrer genauen Form und vollständig erhalten. Darüber hinaus wird die Situation häufig durch die für viele Organisationen charakteristischen Merkmale der abteilungsübergreifenden Interaktion kompliziert.
Die Schwierigkeiten bei der langfristigen Umsetzung führen häufig dazu, dass die für das Unternehmen erforderliche Initiative mit unzureichender Qualität nicht vollständig und nicht rechtzeitig umgesetzt wird. Manchmal ist die Implementierung so langwierig, dass die Initiative veraltet ist, bevor die Implementierung abgeschlossen ist. Oder die Implementierung wird überhaupt nicht beendet.
Was Cisco bietet
Wie wir im vorherigen Abschnitt gesehen haben, werden in einem typischen modernen Unternehmensnetzwerk aus fundamentalen Gründen selbst die Aufgaben der Gewährleistung eines zuverlässigen Transports und der Erstellung von End-to-End-Richtlinien nicht immer zufriedenstellend gelöst, ganz zu schweigen von der End-to-End-Orchestrierung.
Um Geschäftsprozesse effektiv zu unterstützen, müssen jedoch alle drei Probleme gelöst werden - mit hoher Qualität und vollständig.
Vor diesem Hintergrund konzentriert sich Cisco nicht nur auf die Entwicklung neuer Produkte und Technologien, sondern auch auf ganzheitliche Architekturen wie Cisco DNA, um das Geschäft effektiv zu unterstützen.
Das Erstellen solcher Architekturen erfordert die End-to-End-Implementierung von Richtlinien und Orchestrierungswerkzeugen. Dafür muss der Hersteller über ein Produktportfolio und fundiertes Know-how in allen von der Architektur abgedeckten Technologiebereichen verfügen. Für ein modernes Unternehmensnetzwerk sind solche Bereiche lokale drahtgebundene und drahtlose Computernetzwerke (LAN / WLAN) am zentralen Standort und in Zweigstellen, Rechenzentrumsnetzwerke, geografisch verteilte Netzwerke (WAN) sowie End-to-End-Informationssicherheitslösungen. Darüber hinaus erfordert die effektive Implementierung der Lösung zusätzliche Tools im Bereich der Verkehrsüberwachung und deren Analyse auf Anwendungsebene, die durch leistungsstarke Analysen unterstützt werden.
Heute ist Cisco der einzige Hersteller, der alle diese Bereiche abdecken kann. Darüber hinaus hat Cisco bereits Lösungen in jedem Bereich implementiert. Betrachten wir sie genauer.
Netzwerkfabriken: Verkehrsinfrastruktur der nächsten Generation
Moderne Cisco-Lösungen zum Aufbau einer Unternehmensnetzwerk-Transportinfrastruktur basieren auf dem Konzept einer Netzwerkfabrik. Die Netzwerkfactory umfasst zwei Netzwerktopologien: das IP-Backbone-Netzwerk, das das Problem der Übertragung von Informationen von Punkt A nach Punkt B löst, und die Overlay-Netzwerktopologie, die auf diesem IP-Netzwerk ausgeführt wird und auf deren Grundlage Richtlinien implementiert werden. Gemäß der vorherrschenden Terminologie bedeutet "Network Factory" häufig eine Überlagerung, die über dem Backbone-Netzwerk arbeitet.
Traditionell wurden in den Campus-Netzwerken sowohl Transport als auch Richtlinien auf der Grundlage einer einzigen Netzwerktopologie implementiert. Die Praxis hat gezeigt, dass Versuche, sowohl Transport- als auch Richtlinienprobleme in derselben Netzwerktopologie zu lösen, normalerweise dazu führen, dass weder die erste noch die zweite Aufgabe effektiv gelöst werden können. Dies liegt daran, dass diese Aufgaben widersprüchliche Anforderungen an das Netzwerk stellen. Zuverlässiger Transport erfordert eine hohe Netzwerkverfügbarkeit und damit auch Stabilität und minimale Änderungen. Andererseits erfordert das Anwenden und Aktualisieren von Richtlinien Änderungen am Netzwerk und verletzt dessen Stabilität.
Darüber hinaus entstehen in der Praxis beim Kombinieren von Transportfunktionen und -richtlinien in einer einzigen Topologie Interdependenzen. Änderungen in der Funktionalität, die mit der Lösung eines Problems verbunden sind, ändern die Lösung eines anderen. Dies verkompliziert das Netzwerk, behindert die Implementierung von Diensten und Richtlinien und verlangsamt die Implementierung von Geschäftsinitiativen.
Das Network Factory-Konzept überwindet diese Widersprüche. Die einzige komplexe Aufgabe der gleichzeitigen Implementierung von Transport und Richtlinien, die für ein Netzwerk auf der Grundlage einer einzelnen Topologie charakteristisch ist, ist in zwei einfachere Aufgaben unterteilt: die separate Implementierung von Transport und Richtlinien in einem grundlegenden IP-Netzwerk und die Überlagerung einer Netzwerkfabrik.
Diese Trennung der Logik abstrahiert Aufgaben voneinander, minimiert Abhängigkeiten und schafft optimale Bedingungen für die Lösung dieser Probleme. Aus diesem Grund ist es viel einfacher, End-to-End-Richtlinien, Automatisierung und Orchestrierung in einer Netzwerkfabrik zu implementieren und letztendlich eine schnelle Reaktion des Netzwerks auf Geschäftsinitiativen zu ermöglichen.
Dies ist die Hauptidee der Netzwerkfabrik, die in modernen Cisco-Lösungen für das Unternehmensnetzwerk implementiert ist, einschließlich LAN, WAN und Rechenzentrum.
Netzwerkfabriken für LAN und WAN: Cisco SD-Access und SD-WAN
Die Campus Network Factory ist in der SD-Access-Lösung (Cisco Software-Defined Access) implementiert. Mit SD-Access können Sie ein softwaredefiniertes Campus-Netzwerk aufbauen. Dieses Netzwerk wird mit dem Cisco DNA Center-Controller verwaltet. Der Controller bietet außerdem eine grafische Oberfläche, die den Planungs- und Implementierungsprozess des Netzwerks, das Festlegen und automatisierte Ausführen von Richtlinien sowie die Überwachung und Fehlerbehebung erheblich beschleunigen kann.
SD-Access implementiert die oben genannte Idee der Trennung von Logiken, mit der wir das Problem der Transport- und End-to-End-Richtlinien im gesamten Campus-Netzwerk lösen können. Darüber hinaus können Sie durch die Trennung von Logik und die Verwendung des DNA Center-Controllers schnell neue Richtlinien implementieren und vorhandene Richtlinien an neue Geschäftsanforderungen anpassen.
Das DNA Center bietet außerdem eine REST-API für die Integration in übergeordnete Orchestrierungssysteme, Anwendungen von Drittanbietern und interne Spezialisten des Kunden. Die API abstrahiert das Netzwerk und ermöglicht die Implementierung einer skalierbaren Orchestrierung von Diensten in Bezug auf Anwendungen und Unternehmen. Die API bietet auch Zugriff auf Analyse- und Trendanalyseergebnisse aus den Assurance-Tools von DNA Center.
Mit der API können Sie eine Orchestrierung von Diensten nicht nur innerhalb der Netzwerkfactory am zentralen Standort abrufen, sondern diese Factory auch in den Rest des Unternehmensnetzwerks integrieren, einschließlich lokaler WAN- und Zweigstellennetzwerke.
Overlay-Netzwerktopologien als solche sind in Cisco-Lösungen seit langem für WAN verfügbar. Sie wurden bereits in der DMVPN-Technologie angewendet und in der auf DMVPN basierenden Cisco IWAN-Lösung weiterentwickelt. Die WAN-Lösungen von heute und morgen im Portfolio von Cisco sind SD-WANs, die vom DNA Center verwaltet werden und die Viptela-Technologie enthalten.
Cisco bietet das Konzept einer Netzwerkfabrik für Zweigstellen an. Als Teil dieses Konzepts umfasst die Netzwerkfabrik Router, Switches und die WLAN-Infrastruktur der Zweigstellen, die ebenfalls über den DNA Center-Controller verwaltet werden.
Die Anwendung des Network Factory-Konzepts auf das Campus-Netzwerk, das WAN und die Zweigstellen eröffnet den Weg zum Aufbau einer homogenen Transportumgebung mit flexiblen End-to-End-Richtlinien und Orchestrierungsfunktionen.
Daher bieten SD-Access und SD-WAN eine effektive Lösung für alle drei Aufgaben - vom zuverlässigen Transport bis zur durchgängigen Orchestrierung von Richtlinien und Diensten in einer Netzwerkfabrik mit der Möglichkeit, die Orchestrierung im gesamten Unternehmensnetzwerk zu erweitern.
Netzwerkfabrik für Rechenzentrum: Cisco ACI
Die Implementierung einer Netzwerkfabrik in einem Unternehmensnetzwerk wäre unvollständig, ohne die Netzwerkinfrastruktur des Rechenzentrums abzudecken. Cisco hat dieses Ziel bereits 2013 mit der Cisco Application Centric Infrastructure (ACI) erreicht.
Wie SD-Access enthält ACI ein IP-Backbone-Netzwerk, das Transportprobleme löst, und ein Overlay, das Richtlinien implementiert. Die Cisco ACI Network Factory wird von einem APIC-Controller-Cluster verwaltet, mit dem der Administrator Richtlinien festlegt und den Rest der Netzwerkverwaltungs- und Überwachungsaufgaben für Rechenzentren löst.
Letztendlich wird das Rechenzentrum für den Betrieb von Unternehmensanwendungen erstellt, die die für das Unternehmen erforderlichen Dienste implementieren. Die Landschaft solcher Anwendungen ist normalerweise ziemlich kompliziert. Um sicherzustellen, dass auch nur ein Geschäftsdienst ausgeführt wird, ist möglicherweise eine komplexe Interaktion zwischen Servergruppen unterschiedlichen Typs erforderlich. Informationen werden zwischen ihnen übertragen und in einer bestimmten Reihenfolge verarbeitet, wobei die erforderliche Geschäftslogik ausgeführt wird.
Der grundlegende Unterschied zwischen herkömmlichen Rechenzentrumsnetzwerken und ACI besteht im Ansatz zur Implementierung einer solchen Geschäftslogik. In einem herkömmlichen Netzwerk müssen Sie zuerst die Geschäftslogik aus den Begriffen der Anwendungswelt in die Begriffe der Welt der Netzwerktechnologien übersetzen und sie dann aus den Netzwerkstrukturen auf "niedriger Ebene" wie VLAN, VRF usw. zusammensetzen. Dieser Prozess beinhaltet die enge Zusammenarbeit von Personen mit unterschiedlichen Kompetenzbereichen, wie z. B. Spezialisten auf dem Gebiet des Netzwerks, Anwendungen usw., und erfordert viel Zeit und Mühe. Mit Cisco ACI können Sie zunächst die gewünschte Interaktionslogik festlegen und diese mithilfe des APIC-Controllers automatisch im Netzwerk implementieren.
Ein weiterer grundlegender Unterschied ist die Geschwindigkeit der Implementierung dieser Logik. Der traditionelle Ansatz umfasst die Konfiguration von Netzwerkinfrastrukturelementen über die CLI oder bestenfalls mithilfe eines Managementsystems. Dieser Ansatz eignet sich für statische Netzwerkkonfigurationen. Er funktioniert jedoch umso schlechter, je dynamischer die Umgebung ist und desto häufiger müssen Sie Änderungen an den Transporteinstellungen und -richtlinien vornehmen. Dies ist jedoch genau das, was getan werden muss, um neue Dienste und Anwendungen zu implementieren, insbesondere in modernen Rechenzentren mit Virtualisierung.
ACI löst dieses Problem dank der Funktionen des APIC-Controllers im Bereich Automatisierung und Programmierbarkeit. Der Controller bietet ein sehr umfangreiches Objektmodell, auf das über die REST-API zugegriffen werden kann. Die API akzeptiert und gibt Nachrichten zurück, die in JSON- oder XML-Formaten angegeben sind. Neben der API bietet Cisco zusätzliche Tools wie ACI Toolkit, Cobra SDK, Arya usw. sowie die Automatisierung mit Puppet und Ansible.
ACI bietet auch ein hohes Maß an Informationssicherheit. Um Informationen über die ACI-Infrastruktur zu übertragen, müssen die Gruppen interagierender Hosts explizit angegeben werden, wobei optional die Arten des zulässigen Datenverkehrs angegeben werden. Dieser Ansatz eignet sich für die Implementierung von Sicherheitsrichtlinien, die auf dem Zero-Trust-Modell (Whitelist) basieren.
Cisco SD-Access- und ACI-Netzwerkfabriken sind miteinander integriert und ermöglichen die Übersetzung von Richtlinien und den End-to-End-Betrieb im gesamten Unternehmensnetzwerk - vom PC des Benutzers in der Zweigstelle bis zum Server im Rechenzentrum des Unternehmens.
Somit bietet Cisco ACI die Möglichkeit, alle drei Herausforderungen zu bewältigen.
Sicherheitsrichtlinien und softwaredefinierte Segmentierung: Cisco TrustSec und ISE
In den vorherigen Abschnitten haben wir die Bedeutung der Implementierung von Richtlinien und Cisco-Lösungen für die Unternehmensnetzwerkinfrastruktur einschließlich des Rechenzentrums angesprochen.
Ein wichtiger Punkt unter den Richtlinien ist die Sicherheitsrichtlinie. Angesichts des anhaltenden Wachstums der Aktivität von Angreifern und der Fülle von Angriffsmethoden ist das Eindringen von Angreifern in das Unternehmensnetzwerk nur eine Frage der Zeit. Dies erfordert den Einsatz wirksamer Schutzmaßnahmen unter den Bedingungen, unter denen der Angriff bereits stattgefunden hat und die Angreifer in das Netzwerk „eingedrungen“ sind (laut ZK Research erfolgen etwa 80% der Penetration von Angreifern innerhalb des geschützten Bereichs.).
Eine wirksame Sicherheitsmaßnahme unter solchen Bedingungen ist die Segmentierung von Benutzern und Ressourcen in isolierte Gruppen, zwischen denen nur der zur Lösung von Geschäftsproblemen erforderliche Datenverkehr ausgetauscht werden darf. Wenn bei Geschäftsaufgaben kein Datenverkehr zwischen Gruppen ausgetauscht wird, wird dieser vollständig blockiert. ( " ") , . :
- Digital Guardian: “Eataly's network segmentation prevented a POS compromise at one store from compromising systems at the chain's 26 other locations across the globe”.
- US-CERT: “Effective network segmentation… reduces the extent to which an adversary can move across the network”.
- Australian Government, Department of Defense, Intelligence and Security: “Network segmentation… is one of the most effective controls an agency can implement to mitigate the second stage of a network intrusion, propagation or lateral movement”.
, IP- . , , . , , . , .
Cisco TrustSec . TrustSec IP-, SGT (Scalable Group Tag). TrustSec Cisco ISE , . Cisco ISE SGACL. DNA Center, Cisco ISE .
SGT , , Cisco Firepower, - Cisco Web Security Appliance .
Cisco ISE (identity) SD-Access ACI. ISE IP- SGT EPG ACI. IT-.
, Cisco ISE REST API Cisco Platform Exchange Grid (pxGrid), , .
, , . .
IT-, . , , , . Cisco . Betrachten wir einige davon.
: DNA Center Assurance
, , -. , , , .
- — , . . , .
-, .
-, , , . , .
Cisco Assurance DNA Center. - .
Assurance , , , Cisco ISE, ITSM (IT Services Management) IPAM (IP Address Management).
Assurance , . Assurance , , , . , Assurance .
Assurance IT- , -.
: Cisco Tetration Analytics
, . -, . , , , , .
, , . , , , . . . . "" . - .
Cisco Tetration Analytics, . , (ASIC) Cisco Nexus 9000, , ERSPAN NetFlow. , .
100 . , 25,000 ( ). Tetration Analytics .
, Cisco Tetration Analytics , , . IT , , , . , Tetration Analytics . Cisco Stealthwatch, — Cisco Talos ( ).
Tetration Analytics . (IP Tables, IP Set, Windows FW) , . , Cisco ISE Scalable Group Tag (SGT) , ..
" ", .
Tetration Analytics REST API.
, Tetration Analytics .
: Cisco AppDynamics
- IT-, - . , - .
-, , , . - .
Cisco AppDynamics. , backend .
, . , C/C++, Java, .NET, Python, PHP, Node.js .. , , , . .
AppDynamics , "" . , , .
- , backend , IT-, .
, Business iQ , -, -, . AppDynamics -, IT- .
AppDynamics (extensions) REST API. .
: Cisco Stealthwatch
Cisco , .
, , Cisco Stealthwatch Enterprise.
Stealthwatch , . , . , , NetFlow, IPFIX .., Stealthwatch . , , , , , Cisco AnyConnect Network Visibility Module (NVM).
, Stealthwatch , . , .
Stealthwatch Cisco ISE pxGrid. "", Stealthwatch. Cisco Rapid Threat Containment Cisco.
, Stealthwatch ( ) , , , TLS. Encrypted Traffic Analytics (ETA) Enhanced NetFlow Cisco.
, , , : , .
Cisco . , .
, . , .
, Cisco , . , , .
, , , , .
, . , , , - .
IT-, , "" DNA Center APIC.
Cisco Network Services Orchestrator (NSO) , , - API . , NSO SD-Access API DNA Center.
API IT- Cisco Cisco , , .
Cisco , Cisco — , , . , Cisco IT-, - .
Cisco?
.
— "", AS-IS, , , . , .
— Cisco, TO-BE, . , " Cisco".
- :
- ;
- ;
- .
, Cisco .
, , , , -.
- , — -.
Cisco , Cisco , , -.
. Cisco , .
, Cisco . , . , . , . , - , , .
— . IT - . - . . , .
Kostensenkung
Cisco, 2016 . 90% , . IT- .
In jedem Fall benötigen Unternehmen qualifizierte IT-Spezialisten, um das Netzwerk zu betreiben - sowohl Classic als auch SDA. Letzteres ermöglicht es jedoch, den Zeitaufwand für Arbeiten mit geringem Mehrwert, beispielsweise für die Durchführung von Routineoperationen, erheblich zu reduzieren.
Das Unternehmen würde davon profitieren, wenn das Netzwerk es ermöglichen würde, die Zeit und den Aufwand des IT-Personals von der Routine auf die Lösung wichtigerer strategischer Aufgaben umzuleiten, die Unterstützung bestehender Geschäftsprozesse zu optimieren und neue zu starten, um neue Ergebnisse zu erzielen.
Die Mitarbeiter würden davon profitieren, wenn sie die Arbeitszeit nicht für Routineoperationen verwenden würden, die wenig zur Verbesserung der Fähigkeiten und des Werts auf dem Arbeitsmarkt beitragen, sondern zum Erlernen neuer Technologien, zur Einführung neuer Lösungen und letztendlich zur Unterstützung des Arbeitgebers bei der Erzielung spezifischer Geschäftsergebnisse.
Das Cisco-Netzwerk bietet Unternehmen und Mitarbeitern solche Möglichkeiten. Orchestrierung und Automatisierung, Fokus auf die Implementierung von Richtlinien und "Geschäftsabsichten", die Fähigkeit, Elemente der Netzwerkinfrastruktur und Clientgeräte im gesamten Unternehmen schnell zu implementieren, Analysefunktionen sparen Zeit und Mühe und ermöglichen es Ihnen, diese so effizient wie möglich zu nutzen.
Risikominderung
Das Cisco-Netzwerk kann Unternehmensrisiken, die mit der Nichtverfügbarkeit von Geschäftsprozessen und Bedrohungen der Informationssicherheit verbunden sind, erheblich reduzieren.
Laut Gartner können die Kosten für eine Stunde Ausfallzeit für Geschäftsprozesse in einem Unternehmensumfeld Hunderttausende US-Dollar betragen.
Die häufigste Ursache für Störungen im Campus-Netzwerk und damit für die Unzugänglichkeit von Geschäftsprozessen ist der „menschliche Faktor“. Aus dem gleichen Grund treten laut Cisco auch etwa 70% der Verstöße gegen Unternehmensrichtlinien auf.
Dies ist nicht überraschend, da moderne Netzwerke komplex sind. Eine zusätzliche Komplikation ist die Koordination zwischen Geschäfts-, IT- und Informationssicherheitsabteilungen, wenn jede dieser drei Abteilungen "ihre eigene Sprache spricht".
Die Cisco-Lösung nimmt einen wesentlichen Teil der Routine ein, verbirgt die Komplexität des Netzwerks und gibt der Person die Möglichkeit, sich auf das Festlegen von Richtlinien und "Geschäftsabsichten" zu konzentrieren.
Jedes klassische Netzwerk ist einzigartig in Bezug auf eine Kombination aus benutzerdefinierten Funktionen, einer Reihe von Hardware und Software sowie einer Topologie. Obwohl die Hersteller erhebliche Anstrengungen unternehmen, um neue Produkte zu testen und ihre Qualität zu kontrollieren, besteht eine sehr hohe Wahrscheinlichkeit, dass eine solche "einzigartige" Konfiguration nicht in genau der gleichen Form wie die implementierte getestet wird. Dies erhöht das Implementierungsrisiko.
Bei der automatischen Implementierung von Konfigurationen und der Orchestrierung von Diensten sieht das Bild anders aus. Konfigurationen, die als Ergebnis der gemeinsamen Arbeit von Entwicklern von Netzwerkinfrastrukturelementen und einem Controller erstellt wurden, werden Architekten mit den besten Implementierungspraktiken in das Netzwerk eingeführt. Die Anzahl der Funktionskombinationen in solchen Konfigurationen, der Grad ihrer Eindeutigkeit wird deutlich geringer sein als im klassischen Netzwerk. Solche Konfigurationen sind für Entwickler viel einfacher zu testen. Darüber hinaus sind solche "typischen" Konfigurationen nicht eindeutig wie im Fall des klassischen Netzwerks, sondern werden in vielen Netzwerken auf der ganzen Welt implementiert. Dies reduziert Implementierungsrisiken.
Ein weiteres Problem klassischer Netzwerke ist die unvollständige Implementierung der erforderlichen Funktionen, die den Empfehlungen und Best Practices nicht oder nur unvollständig folgen. Das heißt, Vorhandene Hardware und Software verfügen möglicherweise über Sicherheits-, Hochverfügbarkeits- usw. Funktionen, die zur Risikominderung erforderlich sind. Es ist jedoch nicht erforderlich, dass solche Funktionen tatsächlich implementiert werden, da die IT-Mitarbeiter mit Routinevorgängen überlastet sind und Bedenken hinsichtlich der Schwierigkeiten bei der Implementierung bestehen. Infolgedessen profitiert das Unternehmen nicht von bezahlten, aber nicht implementierten Funktionen und verringert nicht die Risiken für das Funktionieren von Geschäftsprozessen.
Angesichts des Zeitmangels für das IT-Personal nimmt außerdem die Konsistenz der Konfigurationen der Geräte des klassischen Netzwerks tendenziell ab, und die Implementierung "vorübergehender" Halbmaßnahmen anstelle von Systemlösungen nimmt tendenziell zu. Dies erhöht die Komplexität des Netzwerks. Die Qualität und das Volumen der geleisteten Arbeit leiden ebenfalls. Infolgedessen steigt das Risiko von Fehlern und Verstößen gegen Sicherheitsrichtlinien.
Das Cisco-Netzwerk bietet eine Lösung für diese Probleme, indem es die Implementierung der erforderlichen Funktionen automatisiert und weitere Änderungen vornimmt.
Darüber hinaus werden die Funktionen des Controllers im Bereich Orchestrierung und Automatisierung durch Analysefunktionen ergänzt. Das Cisco-Netzwerk bietet IT-Mitarbeitern vollständige und detaillierte Informationen zu Vorfällen im Netzwerk sowie Schlussfolgerungen zu deren Auswirkungen auf das Netzwerk und die Benutzer. Mithilfe dieser Ergebnisse können Sie schnell konkrete Maßnahmen zur Behebung des Vorfalls ergreifen.
Das Cisco-Netzwerk verfügt über integrierte Funktionen zur Benutzersegmentierung mithilfe der TrustSec-Technologie sowie über Verhaltensanalysen und automatisierte Tools zur Reaktion auf Bedrohungen.
Infolgedessen bietet das Cisco-Netzwerk Unternehmen die Tools, um das Risiko von Unterbrechungen von Geschäftsprozessen sowohl aufgrund des "menschlichen Faktors" als auch aufgrund von Bedrohungen der Informationssicherheit erheblich zu verringern.
Zusammenfassend
Die Organisation eines Unternehmenssegments besteht nicht darin, Netzwerke aufzubauen, sondern im Kerngeschäft. Ein Netzwerk ist ein Werkzeug, um Geschäftsergebnisse zu erzielen.
Es wird wahrscheinlich produktiv sein, sich nicht auf die Minimierung der Kapitalkosten zu konzentrieren, sondern die Einführung oder Aufrüstung des Netzwerks als Investitionsprojekt in Betracht zu ziehen, um die Rendite des Projekts mit der Schwellenrendite der Organisation, der erforderlichen Amortisationszeit und anderen Finanzindikatoren zu vergleichen.
Bei der Analyse der Risiken eines solchen Projekts ist es sinnvoll, nicht nur die Risiken von Maßnahmen zu bewerten, sondern auch die Risiken von Untätigkeit, die Kosten verpasster Chancen, die für die "klassischen" IT-Infrastrukturen charakteristisch sind.
Es ist zu erwarten, dass Cisco besonders effektiv für Unternehmen ist, in denen:
- Dynamisches Geschäftsumfeld
- Eine große Anzahl von Geschäftsprozessen, die individuelle Richtlinien erfordern;
- Eine große Anzahl von Benutzern und ein großes Netzwerk.
Digitalisierung sowie Netzwerkfabriken, Automatisierung und Programmierbarkeit sind Trends, die in der IT-Branche bereits sichtbar sind. Mit der Entwicklung dieser Trends werden immer mehr Unternehmen davon profitieren. Infolgedessen gewinnen sie Wettbewerbsvorteile, indem sie anderen Unternehmen Marktanteile abnehmen.
Cisco bietet diese Vorteile heute.
Referenzen
Netzwerkarchitektur - Cisco DNA
Software-definierter Zugriff
DevNet: Cisco DNA Center API
SD-WAN-Lösung
Cisco Application Centric Infrastructure
DevNet: Anwendungszentrierte Infrastruktur
DevNet: Hier finden Sie alle Ressourcen, die Sie für ACI benötigen
Cisco Tetration
Cisco AppDynamics
AppDynamics-APIs
Cisco TrustSec
Cisco Identity Services Engine
Cisco Platform Exchange Grid (pxGrid)
Sichtbarkeit und Durchsetzung des Netzwerks
Cisco Stealthwatch Enterprise
Cisco Rapid Threat Containment
Verschlüsselte Verkehrsanalyse (ETA)
NSO-Lösungen (Network Services Orchestrator)
Cisco DevNet: APIs, SDKs, Sandbox und Community für Cisco-Entwickler