von Redaktion IT-A…
Lesezeit
3 Minuten
Sicherheits-Vorteile einer konsolidierten Netzwerkinfrastruktur
Ein eigenes Netzwerk für fast jede IT-Aufgabe – viele Unternehmen sind von diesem Horrorszenario nicht weit entfernt. In einem derart heterogenen Netz muss auch der Kampf gegen Sicherheitsbedrohungen stets an mehreren Fronten ausgetragen werden. Die Konsolidierung der verschiedenen Netze bringt in Sachen Security gleich mehrere Vorteile. Im Beitrag auf unserer Webseite erklären wir, wie neben der reinen Malware-Abwehr gerade Aspekte wie Datenschutzrichtlinien, Archivierung und Datenintegrität von einem konsolidierten Netz profitieren.
Trotz guter Argumente stehen viele IT-Manager dem Umbau zu einem konsolidierten System eher skeptisch gegenüber. Denn Probleme wie das Bandbreitenmanagement, geänderte Einfallstore für Hacker sowie Fragen der Zuverlässigkeit werden keineswegs von allen Lösungen am Markt adressiert. Hinzu kommen die Bedenken von einzelnen Systemverantwortlichen, die sich vor dem Hoheitsverlust über "ihr" Netz fürchten. Noch mehr Verwirrung stiften die zum Teil recht weit ausgelegten Begriffsdefinitionen. So verkauft manch ein Anbieter sein Server-Konsolidierungsprodukt als Universallösung für eine Vielzahl von Netzwerkproblemen.
Tatsächlich aber steckt das wahre Spar- und Effizienzpotenzial eher in einer vollständigen Zusammenfassung sämtlicher Netze. Ein "echtes" Konsolidierungsprojekt fasst die komplette Kommunikationsinfrastruktur zusammen und betrifft lokale wie über VPN eingebundene Standorte gleichermaßen. Damit geht die Konsolidierung weit über die Möglichkeiten der Virtualisierung hinaus. Netzwerkschutzmechanismen, eine robuste Architektur, ein sicheres VLAN-QoS-Management und nicht zuletzt VLAN-Stacking-Fähigkeiten sind deshalb elementare Bestandteile eines guten Konsolidierungssystems.
Netzwerkabsicherung durch Tri-Authentication
Der Schutz im konsolidierten Netzwerk umfasst erheblich mehr als eine strenge und konsequente Zugriffsregelung von außen über eine Firewall. Vielmehr gilt es, das Netz auch nach innen sicher abzuschotten. Die Diskussion um die sogenannten Innentäter zeigt schließlich, dass jeder LAN-Port mindestens genauso kritisch ist wie eine Verbindung nach außen.
State of the Art-Zugangslösungen für Geräte sind bei einer derartigen, nach innen gerichteten Absicherung derzeit Tri-Authentication-Lösungen. Dabei kann der Zugang zum Netzwerk über IEEE-802.1x-Abfragen, Web-basiert oder klassisch via MAC-Adresse erfolgen. Sobald für ein entsprechendes Device der Authentisierungs- und Identifikationsprozess abgewickelt wurde, wird der verwendete LAN-Port automatisch einem festgelegten VLAN zugewiesen. Dadurch lassen sich Gäste, deren Geräte als extern identifiziert werden, einem VLAN zuweisen, das den Zugriff ins Internet, nicht aber auf firmeninterne Daten freigibt.
In einer konsolidierten Umgebung bietet eine solche Tri-Authentisierung weit mehr als nur einen Schutzmechanismus gegen unberechtigte Zugriffe. Durch die automatisierte Zuordnung von Geräten zum einmal definierten und zuständigen VLAN ist die Verkabelung ein problemloser Vorgang. Eine Überwachungskamera beispielsweise landet stets automatisch im Sicherheits-VLAN, egal welcher Port benutzt wird. Als positiver Nebeneffekt entstehen weniger Verkabelungsfehler.
Ebenso wichtig ist der Schutz vor sogenannten Loops. Ein einziges, versehentlich oder absichtlich in zwei Ports gestecktes Kabel kann einen "Packet Accelerator" in Gang setzen, der Pakete unendlich oft durch das Netz kreisen lässt und es dadurch überlastet. Nur ein geeigneter Access Switch identifiziert Loops innerhalb von Millisekunden und kann solche Kurzschlüsse verhindern.
Auch DHCP-Router, wie sie in Heimgeräten stecken, können in konsolidierten Umgebungen leicht zu großen Problemen führen. Einmal ins Unternehmensnetz gebracht, weisen sie jedem Gerät, das einen DHCP-Request aussendet, eine IP-Adresse zu. Schnell gerät auf diese Weise der IP-Adressplan durcheinander. Gute Switches lassen sich von solchen Störungen nicht aus dem Takt bringen.
Daten, Sprache, Video, Sicherheit: Ein hochverfügbares Netzwerk für alle Dienste
Robuste Active-Active-Architektur
Dass ein konsolidiertes Netzwerk auch auf dem Gebiet der Robustheit höchsten Ansprüchen genügen muss, versteht sich von selbst. In der Praxis führen jedoch gerade Hardwarefehler oft zu den aufwändigsten Fehlersuchen. Während viele Anbieter versuchen, entsprechende Mechanismen auf Basis von Interaktionen zwischen Layer 2 und 3 umzusetzen, gehen intelligente Lösungen wesentlich geschickter vor: Moderne Geräte nutzen allein Layer 2 in Verbindung mit der Link-Aggregation-Technologie und dem Virtual Chassis Stacking (VCStack). Die Link-Aggregation-Technik aggregiert zwei physische zu einer einzigen virtuellen Verbindung. Die resultierende Bandbreite wiederum ist so hoch wie die Summe der beiden einzelnen Verbindungen.
Viele Hersteller werben für ihre auf Redundanz basierenden Lösungen mit vermeintlich verlockenden Argumenten. Tatsächlich aber hat dieser Ansatz eine Reihe von Nachteilen. So werden die Ersatzkomponenten kontinuierlich im Hot-Standby-Modus betrieben und verbrauchen dabei wertvolle Energie, ohne zusätzliche Netzwerkressourcen bereit zu stellen. Außerdem fallen Fehlfunktionen oder fehlerhafte Konfigurationen im Ersatzsystem leider oft erst dann auf, wenn es zu einem Ausfall des Primärsystems kommt.
Der Vorteil einer modernen Active-Active-Architektur dagegen liegt gerade darin, dass alle physischen Verbindungen und Netzwerkkomponenten stets aktiv sind und damit die Gesamtperformance steigern. Da kein Teil des Systems im Standby-Modus operiert, treten Fehler jeder Art sofort zu Tage und lassen sich ohne Downtime-Risiko beheben.
Kostenersparnis durch Konsolidierung
Grundsätzlich arbeiten die meisten Netzwerke lediglich bei rund fünf Prozent der insgesamt möglichen Last und verursachen dadurch unnötige laufende Kosten für Strom, Kühlung, die eigentliche Infrastruktur, die Verkabelung und das Administrationspersonal. Gerade deshalb ist eine Konsolidierung mit intelligenter, aktueller Technologie ein sinnvoller Schritt. Ein Active-Active-Netzwerk verbraucht nur etwas mehr als die Hälfte des Stroms, der bei einer klassischen Architektur mit redundanten Komponenten anfällt. Hinzu kommen wesentlich geringere Kosten für die Kühlung der unterschiedlichen Elemente.
Wesentliche Einsparungen sind auch durch erheblich gesenkte Provisionierungskosten möglich. Nach Expertenmeinung lassen sich alle Arten von Services in einem konsolidierten Netz mit rund 70 Prozent weniger Aufwand bereitstellen. Ähnlich unkompliziert gestaltet sich die Zusammenführung von bislang getrennten Netzen, etwa bei Restrukturierungen oder Firmenübernahmen. Besonders im Zusammenhang mit solchen Projekten sind allerdings Anbieter, die sowohl Microsofts Network Access Protection als auch Symantecs Network Access Control unterstützen, deutlich im Vorteil.
Gute Argumente für die Konsolidierung
Eine wesentlich vereinfachte und trotzdem performantere Infrastruktur bringt zahlreiche Vorteile: Niedrigere Kosten für Switches, Router, Adapter und Verkabelung und ein somit niedrigerer Energieverbrauch durch zahlreiche eingesparte Komponenten sind gewichtige Pluspunkte. Ebenso deutlich zeigen sich Vorteile in Sachen vereinfachte Wartung, zentrale Absicherung des Systems, Verfügbarkeit und Performance.
Christian Schwaiger, Geschäftsführer von Allied Telesis für Deutschland und die Schweiz/ln
Tatsächlich aber steckt das wahre Spar- und Effizienzpotenzial eher in einer vollständigen Zusammenfassung sämtlicher Netze. Ein "echtes" Konsolidierungsprojekt fasst die komplette Kommunikationsinfrastruktur zusammen und betrifft lokale wie über VPN eingebundene Standorte gleichermaßen. Damit geht die Konsolidierung weit über die Möglichkeiten der Virtualisierung hinaus. Netzwerkschutzmechanismen, eine robuste Architektur, ein sicheres VLAN-QoS-Management und nicht zuletzt VLAN-Stacking-Fähigkeiten sind deshalb elementare Bestandteile eines guten Konsolidierungssystems.
Netzwerkabsicherung durch Tri-Authentication
Der Schutz im konsolidierten Netzwerk umfasst erheblich mehr als eine strenge und konsequente Zugriffsregelung von außen über eine Firewall. Vielmehr gilt es, das Netz auch nach innen sicher abzuschotten. Die Diskussion um die sogenannten Innentäter zeigt schließlich, dass jeder LAN-Port mindestens genauso kritisch ist wie eine Verbindung nach außen.
State of the Art-Zugangslösungen für Geräte sind bei einer derartigen, nach innen gerichteten Absicherung derzeit Tri-Authentication-Lösungen. Dabei kann der Zugang zum Netzwerk über IEEE-802.1x-Abfragen, Web-basiert oder klassisch via MAC-Adresse erfolgen. Sobald für ein entsprechendes Device der Authentisierungs- und Identifikationsprozess abgewickelt wurde, wird der verwendete LAN-Port automatisch einem festgelegten VLAN zugewiesen. Dadurch lassen sich Gäste, deren Geräte als extern identifiziert werden, einem VLAN zuweisen, das den Zugriff ins Internet, nicht aber auf firmeninterne Daten freigibt.
In einer konsolidierten Umgebung bietet eine solche Tri-Authentisierung weit mehr als nur einen Schutzmechanismus gegen unberechtigte Zugriffe. Durch die automatisierte Zuordnung von Geräten zum einmal definierten und zuständigen VLAN ist die Verkabelung ein problemloser Vorgang. Eine Überwachungskamera beispielsweise landet stets automatisch im Sicherheits-VLAN, egal welcher Port benutzt wird. Als positiver Nebeneffekt entstehen weniger Verkabelungsfehler.
Ebenso wichtig ist der Schutz vor sogenannten Loops. Ein einziges, versehentlich oder absichtlich in zwei Ports gestecktes Kabel kann einen "Packet Accelerator" in Gang setzen, der Pakete unendlich oft durch das Netz kreisen lässt und es dadurch überlastet. Nur ein geeigneter Access Switch identifiziert Loops innerhalb von Millisekunden und kann solche Kurzschlüsse verhindern.
Auch DHCP-Router, wie sie in Heimgeräten stecken, können in konsolidierten Umgebungen leicht zu großen Problemen führen. Einmal ins Unternehmensnetz gebracht, weisen sie jedem Gerät, das einen DHCP-Request aussendet, eine IP-Adresse zu. Schnell gerät auf diese Weise der IP-Adressplan durcheinander. Gute Switches lassen sich von solchen Störungen nicht aus dem Takt bringen.
Daten, Sprache, Video, Sicherheit: Ein hochverfügbares Netzwerk für alle Dienste
Robuste Active-Active-Architektur
Dass ein konsolidiertes Netzwerk auch auf dem Gebiet der Robustheit höchsten Ansprüchen genügen muss, versteht sich von selbst. In der Praxis führen jedoch gerade Hardwarefehler oft zu den aufwändigsten Fehlersuchen. Während viele Anbieter versuchen, entsprechende Mechanismen auf Basis von Interaktionen zwischen Layer 2 und 3 umzusetzen, gehen intelligente Lösungen wesentlich geschickter vor: Moderne Geräte nutzen allein Layer 2 in Verbindung mit der Link-Aggregation-Technologie und dem Virtual Chassis Stacking (VCStack). Die Link-Aggregation-Technik aggregiert zwei physische zu einer einzigen virtuellen Verbindung. Die resultierende Bandbreite wiederum ist so hoch wie die Summe der beiden einzelnen Verbindungen.
Viele Hersteller werben für ihre auf Redundanz basierenden Lösungen mit vermeintlich verlockenden Argumenten. Tatsächlich aber hat dieser Ansatz eine Reihe von Nachteilen. So werden die Ersatzkomponenten kontinuierlich im Hot-Standby-Modus betrieben und verbrauchen dabei wertvolle Energie, ohne zusätzliche Netzwerkressourcen bereit zu stellen. Außerdem fallen Fehlfunktionen oder fehlerhafte Konfigurationen im Ersatzsystem leider oft erst dann auf, wenn es zu einem Ausfall des Primärsystems kommt.
Der Vorteil einer modernen Active-Active-Architektur dagegen liegt gerade darin, dass alle physischen Verbindungen und Netzwerkkomponenten stets aktiv sind und damit die Gesamtperformance steigern. Da kein Teil des Systems im Standby-Modus operiert, treten Fehler jeder Art sofort zu Tage und lassen sich ohne Downtime-Risiko beheben.
Kostenersparnis durch Konsolidierung
Grundsätzlich arbeiten die meisten Netzwerke lediglich bei rund fünf Prozent der insgesamt möglichen Last und verursachen dadurch unnötige laufende Kosten für Strom, Kühlung, die eigentliche Infrastruktur, die Verkabelung und das Administrationspersonal. Gerade deshalb ist eine Konsolidierung mit intelligenter, aktueller Technologie ein sinnvoller Schritt. Ein Active-Active-Netzwerk verbraucht nur etwas mehr als die Hälfte des Stroms, der bei einer klassischen Architektur mit redundanten Komponenten anfällt. Hinzu kommen wesentlich geringere Kosten für die Kühlung der unterschiedlichen Elemente.
Wesentliche Einsparungen sind auch durch erheblich gesenkte Provisionierungskosten möglich. Nach Expertenmeinung lassen sich alle Arten von Services in einem konsolidierten Netz mit rund 70 Prozent weniger Aufwand bereitstellen. Ähnlich unkompliziert gestaltet sich die Zusammenführung von bislang getrennten Netzen, etwa bei Restrukturierungen oder Firmenübernahmen. Besonders im Zusammenhang mit solchen Projekten sind allerdings Anbieter, die sowohl Microsofts Network Access Protection als auch Symantecs Network Access Control unterstützen, deutlich im Vorteil.
Gute Argumente für die Konsolidierung
Eine wesentlich vereinfachte und trotzdem performantere Infrastruktur bringt zahlreiche Vorteile: Niedrigere Kosten für Switches, Router, Adapter und Verkabelung und ein somit niedrigerer Energieverbrauch durch zahlreiche eingesparte Komponenten sind gewichtige Pluspunkte. Ebenso deutlich zeigen sich Vorteile in Sachen vereinfachte Wartung, zentrale Absicherung des Systems, Verfügbarkeit und Performance.
Christian Schwaiger, Geschäftsführer von Allied Telesis für Deutschland und die Schweiz/ln
