Strategische IT-Planung – Heute schon tun, woran andere erst morgen denken
von Tanja Ulmen
Viel zu oft ist IT-Planung ein eher reaktiver Prozess. Vielleicht sind die Ambitionen zur strategischen IT-Planung am Anfang noch groß, doch diese vergehen oftmals schnell. Welche Gedanken sollte man sich daher machen, um IT nachhaltig und strategisch zu planen? Wie kann man Ziele schon im Voraus so formulieren, sodass sie einhaltbar werden? Welche Schritte sollten berücksichtigt werden, und aus welchen Maßnahmen bestehen die einzelnen Schritte?
MultiCloud-Anbindung – Herausforderungen und Lösungsansätze
von Martin Egerter
Nachdem die ersten Cloud-Angebote etwa Mitte der 2000er Jahre am Markt erschienen sind, waren viele Unternehmen gegenüber diesen Angeboten trotz der gepriesenen Vorteile, die zwischenzeitlich in einer Vielzahl von Fachartikeln, Blog-Beiträgen, etc. dokumentiert sind, zunächst skeptisch eingestellt.
Wird RZ-Mikrosegmentierung Best Practice?
von Dr. Behrooz Moayeri
Bereits vor fast drei Jahren hat mein Kollege Dr. Hoff im Netzwerk Insider die Notwendigkeit der Mikrosegmentierung in modernen Zonenkonzepten festgestellt. Im selben Jahr, 2019, ist unser Kollege Dr. Ermes auf Mikrosegmentierung mit VMware NSX eingegangen. Vor zwei Jahren habe ich selbst auf die Möglichkeit der Mikrosegmentierung als Erfolgsfaktor von großen Clouds hingewiesen. Im Vergleich zu diesen großen Clouds haben OnPrem-Rechenzentren immer noch einen großen Nachholbedarf, was Mikrosegmentierung betrifft. Nun mehren sich Anzeichen, dass eine zunehmende Anzahl von Herstellern hierzu Lösungen anbietet.
Der Umgang mit Sicherheitsforschern – ein Thema für sich
von Dr. Markus Ermes
Immer wieder liest man auf News-Seiten, wie Entwickler und Unternehmen reagieren, wenn ihnen Sicherheitslücken in ihrer Software mitgeteilt werden. Die Reaktionen reichen von kooperativ bis zur Anzeige. Doch woran liegt das?
Geflutete IT-Technik – Schadensaufnahme und Handlungsempfehlungen
mit Thomas Lothar sprach Christiane Zweipfennig
Der Sommer 2021 war geprägt von starken Regenfällen. Mitte Juli wurden unter anderem in Nordrhein-Westfalen aus kleinen Flüssen und Bächen reißende Ströme, die ganze Ortschaften und die Existenz von vielen Menschen zerstörten.
Vielerorts waren auch öffentliche Einrichtungen betroffen. Thomas Lothar, Senior-Berater mit langjähriger Erfahrung in der Installation von lokalen Netzen bei ComConsult, war nach der Flutkatastrophe vor Ort.
Wird RZ-Mikrosegmentierung Best Practice?
Fortsetzung
Warum Mikrosegmentierung?
Angriffe auf IT-Infrastrukturen nehmen zu. Wir haben längst hingenommen, dass in IT-Infrastrukturen eingesetzte Software Angriffsflächen bietet. Wir werden kaum mehr überrascht, wenn eine neue Sicherheitslücke oder gar ein gravierender Angriff unter Nutzung einer neuen, bisher unbekannten Sicherheitslücke bekannt wird.
Wenn Software per se angreifbar ist, muss es umso mehr darauf ankommen, erstens die Exponiertheit von Systemen auf das erforderliche Minimum zu reduzieren und zweitens das Ausmaß der durch kompromittierte Software und Hosts entstehenden Schäden zu minimieren.
Beiden Zielen dient die Mikrosegmentierung. Mit ihr wird die Kommunikation eines Hosts auf das notwendige Minimum herabgesetzt. Das System ist dann weniger exponiert. Außerdem sorgt Mikrosegmentierung dafür, dass der Angreifer, der einen Host kompromittiert hat, weniger Möglichkeiten lateraler Fortbewegung vorfindet. Der kompromittierte Host kann bei Anwendung von Mikrosegmentierung nicht in dem Maße als Sprungbrett für weitere Angriffe missbraucht werden wie es in einem flachen Netz möglich ist.
Probleme bei der Mikrosegmentierung
Die Virtualisierung erschwert die Mikrosegmentierung. Zwei virtuelle Maschinen auf demselben Host können über den virtuellen Switch im Hypervisor miteinander kommunizieren, ohne das physische Netz außerhalb des Hosts nutzen zu müssen.
Deshalb muss die Mikrosegmentierung auch die Einschränkung der Kommunikation über den virtuellen Hypervisor-Switch umfassen. Der Lösungsanbieter für die Virtualisierung ist in der Lage, dafür zu sorgen. Mit VMware NSX wird genau das erreicht. NSX beinhaltet eine verteilte Firewall-Funktion, die trotzdem zentral verwaltet wird. Firewall-Regeln werden zentral definiert und lokal auf allen Hosts durchgesetzt. Das ist in einer Umgebung, in der sowohl die zentrale Verwaltung der Hosts und der VMs als auch der virtuelle Hypervisor-Switch vom selben Hersteller stammen, nicht sehr schwer.
Schwieriger wird es, wenn die Mikrosegmentierung nicht nur in der VMware-vSphere-Umgebung, sondern auch für andere Systeme, sei es für physische Server oder für andere Hypervisor, zentral gesteuert werden muss.
Cisco ACI
Hier hatte Cisco mit Application Centric Infrastructure (ACI) jahrelang einen Vorsprung vor anderen Herstellern. Mit ACI können End Point Groups (EPGs) definiert werden, deren Kommunikation zentral reglementiert werden kann. EPGs können sowohl physische als auch virtuelle Server umfassen.
Um die Kommunikation über Hypervisor-Switches einzuschränken, bedient sich Cisco ACI eines einfachen Mittels: Auf den virtuellen Hypervisor-Switches wird die längst als Standardfunktion genutzte Methode Private Virtual Local Area Network (PVLAN) genutzt. Die gesamte Kommunikation der VMs wird dabei über den physischen Switch außerhalb des Hosts geführt. Dieser kann die Kommunikation einschränken. Dafür muss es eine Schnittstelle zwischen den Management-Werkzeugen von VMware vSphere und Cisco ACI geben. Cisco nutzt dazu offengelegte Application Programming Interfaces (APIs) auf VMware-Seite.
HPE Aruba zieht nach
Der PVLAN-Trick wird nun auch von HPE Aruba angewandt. Der Hersteller bietet mit dem Produkt CX 10000 einen Switch an, der auf der Zusammenarbeit mit Pensando basiert. Pensando hat sich auf die Fahne geschrieben, „die Cloud bis zum Edge zu erweitern“. Das ist so zu verstehen, dass Komponenten am Rande des Netzes, d.h. möglichst nah an den Endsystemen, die Intelligenz bieten, die wir von Clouds kennen. Das wird mit einem programmierbaren Prozessor erreicht, der in Server und Switches eingebaut wird und Funktionen wie Stateful Inspection übernehmen kann.
Die Pensando Distributed Services Card (DSC) ist mit einem solchen Prozessor ausgestattet. Die DSC kann als Network Interface Card (NIC) in HPE-Servern zum Einsatz kommen.
Analog zur DSC gibt es nun den Distributed Services Switch (DSS), konkret in Gestalt des Switches Aruba CX 1000. Das Management der intelligenten Funktionen kann mit dem Pensando Policy and Services Manager (PSM) durchgeführt werden.
HPE Aruba nutzt die Pensando-Technologie und baut sie in eigene Switches ein. In den Aruba Fabric Composer (AFC) als Management-Werkzeug für die Auba-Switches wird das Management der Regeln für den Pensando-Prozessor integriert.
Wie erwähnt erfordert auch die Mikrosegmentierung mit Aruba CX 10000 die Nutzung der PVLAN-Funktion auf den Hypervisor-Switches.
Spannend wird es sein, wie invasiv Mikrosegmentierungsansätze der Switch-Hersteller in die Hypervisor-Welt eingreifen. Gegen die Art und Weise der Hypervisor-Nutzung durch Cisco wehrt sich VMware bisher mit der Einschränkung des Supports. Pensando gibt auf der eigenen Webseite VMware als einen der Technologiepartner an. Es bleibt abzuwarten, ob VMware die Pensando/Aruba-Lösung unterstützen wird.
Fazit
Der Bedarf an Mikrosegmentierung in Rechenzentren ist nicht neu, doch im Vergleich zu großen Clouds haben OnPrem-RZs bislang hier Nachholbedarf. Mit Cisco ACI gibt es seit Jahren eine Lösung für Mikrosegmentierung in Rechenzentren. Nun zieht HPE Aruba nach. Der Aruba-Switch CX 10000 nutzt dazu einen Prozessor des Herstellers Pensando.
Mikrosegmentierung in Rechenzentren ist eines der Themen unserer Sonderveranstaltung Netze im April 2022. Wir freuen uns auf Ihren Besuch!
Kontakt
ComConsult GmbH
Pascalstraße 27
DE-52076 Aachen
Telefon: 02408/951-0
Fax: 02408/951-200
E-Mail: info@comconsult.com
Dein Kommentar
An Diskussion beteiligen?Hinterlassen Sie uns Ihren Kommentar!