Wie Zero Trust die Netzwerkvirtualisierung vereinheitlicht
Die Kombination von Zero Trust und Netzwerkvirtualisierung kann Sicherheitsrichtlinien stärken, die domänenübergreifende Zusammenarbeit verbessern und die Transparenz erhöhen.
Die meisten Unternehmen betreiben ihr Unternehmensdatennetz so, als bestünde es aus drei separaten und weitgehend unabhängigen Netzwerken.
Das Campus-Netzwerk umfasst die LANs, an die die meisten Endbenutzer- und IoT-Geräte angeschlossen sind. Das WAN verbindet die Campusnetzwerke untereinander, mit den Rechenzentren und mit den Clouds. Und das Netzwerk des Rechenzentrums verbindet Serveranwendungen mit Daten auf Netzwerkspeichern, mit Benutzern und mit anderen Anwendungen sowie Diensten an anderen Orten.
Jedes dieser Netzwerksegmente nutzt Netzwerkvirtualisierung, um die Verwaltung des Datenverkehrs und die Sicherheit zu vereinfachen. Auch diese Virtualisierungsmaßnahmen werden separat konzipiert und verwaltet.
Da die Anforderungen an eine nahtlose Automatisierung, flinke Netzwerkdienste und eine höhere Sicherheit steigen, ist es für die Netzwerkteams an der Zeit, diese veraltete Denkweise der isolierten Netzwerke zu überwinden. Zero Trust vereinheitlicht die gesamte Cybersicherheit im Unternehmen und kann auch virtuelle Netzwerke vereinheitlichen.
Virtuelle Netzwerke sind der Schlüssel zu Zero Trust
In einer idealen Welt ist jedes Netzwerk in einer Zero-Trust-Umgebung nur den Endpunkten gewidmet, die kommunizieren müssen, sowie den Ports und Protokollen, die sie dafür benötigen. Es ist kryptografisch gesichert und verwendet eine identitätsbasierte Sitzungskontrolle. Und es existiert nur so lange wie die aktuelle Konversation.
Zero Trust, das die gesamte Cybersicherheit in Unternehmen aufrüttelt und vereinheitlicht, kann auch den Anstoß für die Vereinheitlichung virtueller Netzwerke geben.
Dieses Modell ist mit herkömmlichen physischen Netzwerken nicht praktikabel oder gar möglich. Virtuelle Netzwerke sind die einzige Möglichkeit, diese Art von sicherer Konnektivität zu erreichen, da sie sich bei Bedarf einrichten und wieder abbauen lassen, wenn sie nicht mehr benötigt werden. Sie können außerdem die gemeinsam genutzte Infrastruktur überlagern, ohne die Segmentierung des Datenverkehrs zu beeinträchtigen.
Virtuelle Netzwerke lassen sich auch Ende-zu-Ende verschlüsseln und fungieren als dedizierte Punkt-zu-Punkt-VPNs für eine bestimmte Kommunikation. Endpunkte können gleichzeitige Kommunikation in separaten, kurzlebigen VPNs führen, wobei die Konversationen für alle anderen Beteiligten unsichtbar sind.
Ein ganzes Netz – nicht ein Netz voller Löcher
In einer Zero-Trust-Umgebung konzentrieren sich die Zugriffsrichtlinien darauf, welche Einheiten mit welchen anderen Einheiten kommunizieren müssen. Diese einfache Tatsache spricht für die Vereinheitlichung aller Virtualisierungsumgebungen auf der Richtlinienebene. Denn wenn Benutzer A auf Rechner M einen Dienst in den Rechenzentren des Unternehmens erreichen darf, dann muss die Richtlinie dies auf dem Campus, über das WAN und im Rechenzentrum zulassen. Die Sicherheitsumgebung erfordert, dass dieselbe Richtlinie in allen Segmenten bekannt ist und dass alle Segmente die Richtlinie durchsetzen.
Diese ganzheitliche Sicht auf die Sicherheit erfordert ein bereichsübergreifendes Denken. Sie schafft auch domänenübergreifende Möglichkeiten über die Sicherheit hinaus. In einer einheitlichen Virtualisierungsumgebung könnten IT-Teams eine Ende-zu-Ende-Sichtbarkeit der Netzwerkkommunikation im Allgemeinen implementieren und auch durchgängige Optimierungen vornehmen.
So könnten IT-Teams beispielsweise den Datenverkehr priorisieren, während er im Rechenzentrum umherwandert, ein WAN durchquert und durch das LAN navigiert, in dem ein Endbenutzer arbeitet. Diese Priorisierung könnte auf jedem Aspekt der Sitzung basieren: Wer der Benutzer ist, was das Programm ist, welche Protokolle es verlangt, wo der Endpunkt ist und wie spät es ist.
Die IT-Abteilung könnte auch über einen Netzwerk-Controller programmatischen Zugriff auf das Netzwerk von Ende zu Ende gewähren. Dieser Zugang würde es den Entwicklungsteams ermöglichen, die Einstellungen der Kanäle zu optimieren, über die der Datenverkehr ihrer Anwendungen läuft, natürlich im Rahmen der geltenden Sicherheitsregeln.
Abbildung 1: Unternehmen können durch Automatisierung, Segmentierung und Virtualisierung Zero-Trust-Strategien innerhalb des Netzwerks verfolgen.
Herausforderungen der einheitlichen Netzwerkvirtualisierung
Was muss mit wem kommunizieren?
Wie bei jeder Initiative für Zero Trust und Mikrosegmentierung besteht eine der größten Herausforderungen bei der Implementierung einer umfassenden Netzwerkvirtualisierung darin, herauszufinden, welche Einheiten mit welchen anderen Einheiten kommunizieren müssen.
Die meisten Unternehmen kennen nur einen Teil des Bildes und sind darauf angewiesen, die laufende Kommunikation im Laufe der Zeit zu überwachen, um ihre Wissenslücken zu schließen. Einige Konzepte ermöglichen es der IT-Abteilung, Richtlinien einzurichten, mit dem Ziel, unerwarteten Datenverkehr zu überwachen und zu melden, bevor er beispielsweise blockiert wird. Außerdem kann die IT-Abteilung spezielle Tools für die Anwendungszuordnung einsetzen.
Überalterte Infrastruktur
Eine weitere große Herausforderung ist der Umgang mit veralteter Infrastruktur. Es ist nicht ungewöhnlich, dass eine Organisation sieben bis zehn Jahre alte Geräte am Netzwerk hat, die möglicherweise nicht alle an der gewählten Zero-Trust-Architektur teilnehmen können. Ein zwischengeschalteter Dienst kann solche Systeme manchmal ergänzen, aber die Zeit und der Aufwand für die Implementierung eines solchen Dienstes sind wahrscheinlich größer als die Kosten für die Aktualisierung der Hardware.
Die IT-Abteilung wird interne Prozesse überarbeiten müssen, die alles von der Netzwerkbereitstellung bis hin zur Überprüfung des Änderungsmanagements betreffen. Die Änderungen sollten nicht gravierend sein, aber es ist wichtig, dass die IT-Teams sicherstellen, dass keiner der Prozesse davon ausgeht, dass die drei Netzwerkdomänen voneinander abgeschottet sind.
Zusammenarbeit der IT-Teams
Eine weitere Herausforderung besteht darin, die verschiedenen Netzwerkteams dazu zu bringen, bei Architektur, Produktauswahl, Technik und Implementierung zusammenzuarbeiten. Eine solch radikale, umwälzende Veränderung des Status quo ist schwierig, da sie alles betrifft, von Stellenbeschreibungen und Jahreszielen bis hin zu Arbeitsbelastung und Qualifikationsprofilen.
Der Erfolg erfordert Überzeugungsarbeit, Aufklärung, eine klare Vision, Anreize, Konsequenz und Zielstrebigkeit auf der Führungsebene. Die Mitarbeiter brauchen Zeit, um zu lernen, über ihre Arbeit anders zu denken, neue Fähigkeiten zu erlernen und die neue Welt umzusetzen, während die alten Systeme wie gewohnt weiterlaufen.
All diese Herausforderungen lassen sich bewältigen, insbesondere im Zusammenhang mit transformativen Veränderungen. Zero Trust, das die gesamte Cybersicherheit in Unternehmen aufrüttelt und auf einen einheitlichen Sicherheitsansatz ausrichtet, kann auch den Anstoß für die Vereinheitlichung virtueller Netzwerke geben.
Erfahren Sie mehr über Software-defined Networking
