vege - Fotolia

Die Kombination aus NFV und SDN ermöglicht Netzwerk-Mikrosegmentierung

Mit NFV und SDN stehen Netzwerk-Service-Providern noch nie dagewesene Möglichkeiten bei der Mikrosegmentierung des Netzwerks zur Verfügung.

Telekommunikationsunternehmen und Netzwerk-Service-Provider haben noch nie dagewesene Möglichkeiten, um ihren Kunden flexiblere und effizientere Security-Services anbieten zu können. Das Aufkommen von NFV und SDN ist der Grund dafür.

Mit Software-defined Networking (SDN) können Netzwerk-Service-Provider viel einfacher Zero-Trust-Modelle im Netzwerk einer gemeinsam genutzten Infrastruktur einsetzen. Einer der Hauptgründe für den Einsatz von SDN-Technologie ist, eine Mikrosegmentierung im Netzwerk der Infrastruktur zu etablieren. Damit lassen sich Netzwerkobjekte sehr detailliert einschränken und Sie konfigurieren, wer mit wem kommunizieren darf. Dabei spielt es keine Rolle, ob es physische oder virtuelle Komponenten, Container oder Netzwerksegmente sind.

Mikrosegmentierung eines Netzwerks ist in einer Zero-Trust-Architektur zwingend erforderlich. In einem Modell mit Mikrosegmentierung weiß das Netzwerk, welche Systeme auf welche Art und Weise und unter welchen Umständen mit anderen kommunizieren dürfen. Bei Mikrosegmentierung des Netzwerks darf erlaubter Traffic passieren und jeder Netzwerkknoten sieht nur die Komponenten, mit denen er kommunizieren muss. Der Rest ist verborgen.

Zu echter Zero-Trust-Security gehören noch weitere Schutzschichten. Das sind mitunter Inspektion des Traffics und gegenseitige Authentifizierung der Systeme, die miteinander kommunizieren. Die Geschichte läuft nach dem Ansatz: Vertrauen ist gut, Kontrolle ist besser. Dem Netzwerk wird vertraut, aber die Kommunikation und die entsprechenden Partner werden überprüft.

In einer SDN-Umgebung können Geräte der Datenschicht einige dieser Aufgaben als verteilte Knoten übernehmen und die Durchsetzung der Richtlinien umsetzen. Network Functions Virtualiization (NFV) bietet den Service-Providern bei der Implementierung von Zero-Trust-Modellen zusätzliche Unterstützung an, indem sich die Abwicklung der Sicherheit in VNF-Pakete (Virtual Network Function) stecken lässt. Sie werden dann bei Bedarf auf die Computing Nodes heruntergeladen, um auf den vorangegangenen, folgenden oder unmittelbaren Traffic reagieren zu können.

Durch Netzwerk-Mikrosegmentierung sind neue Security-Services möglich

SDN erleichtert es auch, dynamische Sicherheitsservices mit verbesserter Kontrolle des Clients zu implementieren. Das liegt an der inhärenten Programmierbarkeit von SDN-Produkten. Zum Beispiel kann SDN die Implementierung von portalbasierter Kontrolle der Segmentierung in einer Zero-Trust-Umgebung vereinfachen. Dadurch wird der Service sowohl flexibler als auch reaktionsfreudiger.

SDN kann Profiling und Monitoring von Traffic vereinfachen, weil es möglich ist, die Arbeit auf die Geräte der Datenschicht zu verteilen. NFV bietet sogar noch mehr Möglichkeiten. Breiteres und tieferes Monitoring ist notwendig, um sich ein genaues Bild von normalem Traffic machen zu können. Das ist die Basis in Sachen Verhalten. Darauf bauen Sie auf, wenn Sie Bedrohungsanalyse aufgrund des Verhaltens in einem Netzwerk durchführen wollen. Das ist ein wichtiges Argument, das neue Security-Service-Provider anbieten könnten und sogar sollten.

NFV ermöglicht eine Konsolidierung der Funktionen vieler spezieller Appliances, die in der Regel auf der Netzwerkseite des Kunden aufgestellt wurden. Nun lässt sich alles in einer sogenannten uCPE-Box (universal Customer Premises Equipment) unterbringen. Es handelt sich dabei um mehr als ein herkömmliches Multifunktionsgerät wie einem Router oder einer UTM-Appliance (Unified Threat Management). NFV bietet neue Funktionalitäten, die sich bei Bedarf herunterladen lassen. Sie ergänzen oder ersetzen ältere Funktionen, ohne dabei die Hardware anfassen zu müssen.

NFV bietet also einen Ansatz, Security-Funktionalität auf Anfrage zur Verfügung zu stellen. Das geschieht mit Downloads einer VNF auf einer uCPE-Box und Ihnen entstehen dabei keine weiteren Capex.

Dass Sie die Arbeit an die Grenzen des Netzwerks auslagern können, kann ebenfalls hilfreich sein. Zum Beispiel ist das bei Security-Analysen oder rechenintensiven Aufgaben der Fall. NFV-basierte Analytik kann die vorläufigen Analysen der Netzwerknutzung an die CPE-Geräte leiten und der Service-Provider kümmert sich um die Aggregation der vorverarbeiteten Nutzungsdaten, die von allen WAN-Standorten eintreffen. Der Kern führt dann tiefere Analysen der aggregierten Daten durch und hält nach Anomalien im WAN-Verhalten Ausschau.

NFV und SDN bieten Netzwerk-Service-Providern bisher noch nie dagewesene Möglichkeiten, detaillierte Netzwerk-Mikrosegmentierung durchzuführen. Damit lassen sich flexiblere und effizientere Security-Services entwickeln, ausrollen und einsetzen, wovon die Kunden profitieren.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Was Sie vor der Einführung von Mikrosegmentierung beachten sollten

Mikrosegmentierungs-Strategien für intelligentere Sicherheitskonzepte

Essential Guide: Einführung in Software-defined Networking

Kostenloses E-Handbook: Grundlagen der Netzwerk-Virtualisierung

Artikel wurde zuletzt im Juni 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Netzwerk-Sicherheitsanalyse

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close