:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/50/3f50e3875b5463348d790f00ca3ad82d/0114222695.jpeg ""Warum Security Awareness die Basis der NIS2 Umsetzung ist", ein Interview von Oliver Schonschek, Insider Research, mit Christian Laber von G DATA. (Bild: Vogel IT-Medien / G DATA / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
SolarWinds Head Geek Patrick Hubbard kommentiert Cisco Application Centric Infrastructure – die offenere SDN-Alternative?
Das Internet der Dinge führt zu immer komplexeren Anforderungen an die Netzwerkverwaltung. Lange Zeit waren wirklich offene Software-definierte Netzwerke (SDN) als Betriebsoption für das Internet der Dinge jedoch praktisch gestorben, da die Platzhirsche Cisco und von VMware diese Bedrohung zu eliminieren wussten. Doch ACI bringt Bewegung in das Thema.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/62/55/62559fd04668d/delltech-logo-prm-blue-rgb.png "delltech-logo-prm-blue-rgb (Dell Technologies)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
Nach intensiver Beobachtung des Marktes, der technischen Entwicklungen und deren Akzeptanz gelangte ich widerstrebend zu dem Schluss, dass VMware über kurz oder lang wohl die Vorherrschaft in Rechenzentren übernehmen würde. Damit bliebe außerhalb der VMware-Präsenz nur mehr Platz für ein gewisses Sammelsurium an Cisco-Technologien, „echtes“ SDN würde aus dem Rechenzentrum damit aber verbannt sein. Jüngste Entwicklungen deuten allerdings darauf hin, dass doch noch Hoffnung für kohärente, hinreichend offene, softwareverwaltete und programmierbare Netzwerke besteht.
Die frühen Botschaften von Cisco schienen dagegen schlicht in die entgegengesetzte Richtung zu weisen: ASIC abschotten, „Hardware“ durch „Software“ ersetzen und fertig ist das Hardware-definierte Netzwerk (HDN)! Doch mit der weiteren Entwicklung dieser Strategie von Cisco in der zweiten Hälfte des Jahres 2013 und dem Beginn der Implementierung sah es auf ein mal so aus, als ob sich Cisco im Vergleich zu VMware NSX sogar offener und flexibler erweisen und dabei dennoch die Vertrauenswürdigkeit im Rechenzentrum wahren könnte. Cisco erreichte dies – kurz gefasst – durch die Weiterentwicklung des HDN zur Application Centric Infrastructure (ACI = Anwendungszentrierte Infrastruktur).
Doch damit ist für Cisco noch längst nicht alles in trockenen Tüchern. Das Unternehmen muss zwei schwierige Herausforderungen meistern. Einerseits muss es mit der Bedrohung durch offene SDN-Lösungen auf Basis von Standardkomponenten fertigwerden. Andererseits muss Cisco zugleich seinen „Freundfeind“ VMware daran hindern, von der Festung des Server-Virtualisierungs-Managements aus die Rechenzentren zu erobern. Gleichwohl sieht die Zukunft heute vielversprechender aus als noch vor einem Jahr um diese Zeit.
Neue Hoffnung für alte Tagträume
Vor sehr langer Zeit (in der Ära von VMware ESX4) beschrieb ich meinen Traum vom deklarativen Anwendungs-Netzwerkdienst. Dessen Konfiguration enthält bereits die Netzwerkanforderungen, die er vermutet zu brauchen. Das Netzwerk könnte sich dann mittels einer Kombination aus Tiefentopologie und Selbst-Rückkopplung von Ressourcen entsprechend anpassen, um optimale Dienstbedingungen für die Anwendung bereitzustellen.
So würde die Anwendung den gewünschten Zugang erhalten, aber das Netzwerk würde die Autorität behalten, den von der Anwendung übermittelten Wunsch intelligent zu überschreiben. Schließlich ist das Netzwerk in fast allen Fällen der einzige Punkt, an dem eine optimale, sichere und richtlinienkonforme Konfiguration bereitgestellt werden kann.
ACI scheint diese Definition perfekt zu erfüllen. Zugleich scheint jedoch der Begriff „centric“ (zentriert) ein wenig irreführend zu sein. Der passendere Begriff wäre eigentlich „Application Aware Infrastructure“ (Infrastruktur mit Anwendungs-„Bewusstsein“). „Centric“ wurde dennoch, wie so viele andere Begriffe in der Wirtschaft, schlicht und einfach aus Marketinggründen gewählt. Denn wenn die Anwendung wirklich im Zentrum stünde, würde sie dem Netzwerk ihre Anforderungen einfach diktieren. Als Netzwerkingenieure wissen wir allerdings, dass das unweigerlich Probleme mit sich brächte. Was wir stattdessen benötigen, ist eine neue Automatisierung, die den gleichen Regeln folgt wie wir. Wir setzen nicht jede Änderungsanforderung der Systemadministratoren blindlings um, sondern bringen unsere Fachkenntnis ein, um bessere Lösungen zu finden. Das ist ganz natürlich – und entsprechend funktioniert auch ACI.
Auch hinsichtlich der Lizenzierung hat ACI gute Chancen, beim Netzwerkteam zu punkten. Jede „Defined Network“-Technologie benötigt einen Controller an irgendeiner Stelle. Genau diese Funktion möchte VMware wahrnehmen. Dies ermöglicht es dem Unternehmen, sein auf die Anzahl von VMs bezogenes Lizenzierungsmodell mittels VM-Erkennung auf das Netzwerk auszuweiten. Netzwerkingenieure haben jedoch seit jeher für Hardware, Ports und Bandbreite bezahlt. Eine Lizenzierung nach VMs lehnen wir daher ab.
Denn bei der Servicebereitstellung geht es letztlich um Leitungen, nicht um einen sich ständig wandelnden Bestand an virtuellen Maschinen, die wir vom Systemadministratoren-Team beziehen müssen. Bei ACI orientiert sich die Lizenzierung an Infrastrukturmerkmalen und Kapazitäten statt an der Anzahl der virtuellen Maschinen.
Ein weiterer Pluspunkt des ACI-Ansatzes ist, dass er deutlich leichter verständlich ist als das SDN-Konzept, das stellenweise sogar Admins und Einkaufs-Verantwortliche vor Herausforderungen stellt. Denn jede weiß, was eine Anwendung ist, und es ist immer einfacher, eine Rechnung für etwas auszustellen, worunter Manager sich etwas vorstellen können als für abstrakte Szenarios. Oder wie viele vertretbare Nutzungsszenarien für SDN fallen Ihnen unter Rentabilitätsgesichtspunkten spontan ein? Vermutlich nicht so viele…
Weniger Hype, mehr APIs
Das vielleicht Überraschendste an der Entwicklung des ACI-Konzepts von Cisco ist jedoch die relative Offenheit. NSX mag vielleicht eines Tages die raffiniertesten APIs der Welt haben – aber hierfür benötigt man nach wie vor NSX – und das ist nicht kostenlos erhältlich. Durch die Bereitstellung kohärenter APIs auf der Hardware verlagert Cisco die Zuständigkeit für die SDN-Controller an Dritte – darunter Open-Source- und Best-of Breed-Anbieter. Und das ist auch gut so, denn es ist enorm wichtig, dass diese Aufgabe sehr gut erfüllt wird, wenn aus dem Konzept etwas werden soll.
Es verdient Erwähnung, dass Cisco North- und Southbound-XML/JSON- REST-APIs bereitstellt, die verglichen mit der noch allgegenwärtigen, aber angegrauten SNMP-Technologie, klar in einer anderen Liga spielen. Cisco setzt zudem kein SDK voraus und ist damit externen Entwicklern gegenüber offener als Lösungen von Anbietern wie HP. Alle diese Faktoren verschaffen Cisco einen Vorsprung und sollten Netzwerk-Geeks, die sich seit langem für den Traum vom programmierbaren Netzwerk einsetzen, zum Experimentieren und Erkunden ermutigen.
Einzelne Anzeichen bestärken die Zuversicht, dass es Cisco mit der neuen Offenheit tatsächlich ernst meint. So setzt Cisco beim Insieme Nexus 9000 v1 beispielsweise Broadcom-ASICs statt proprietärer Hardwarekomponenten ein und geht damit den gleichen Weg wie Juniper und andere Anbieter. Dies deutet darauf hin, dass Cisco das Rechenzentrum nicht kampflos aufgeben will und bereit ist, auch offene Lösungen ins Spiel zu bringen, falls dies notwendig ist.
Es scheint fast so, dass Cisco immer erst dann sein Bestes gibt, wenn die Konkurrenz direkt vor der Tür steht.
Über den Autor
Patrick Hubbard gehört zu den Head Geeks von SolarWinds und gilt im Unternehmen als Netzwerk-Evangelist.
(ID:42613749)
:quality(80)/p7i.vogel.de/wcms/2d/aa/2daa66a6752f16f5aeec0d56dd726939/0106733656.jpeg "Der Aufwand, den Unternehmen in puncto Security betreiben müssen, wird immer größer. VMware hat zur Hausmesse „VMware Explore 2022“ einiges, das Hilfe verspricht, im Köcher. (Bild: gemeinfrei: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/e5/7b/e57bcb22b6275534bc459ae243871099/0106378538.jpeg "In Open Source Software mag zwar das ursprüngliche Problem der Lieferkette begründet liegen. Inzwischen hat sich aber die Entwicklung hin zu Cloud-nativen Anwendungen verlagert. Das hat Unternehmen veranlasst, sich über die Risiken Gedanken zu machen, die für weitere Knotenpunkte in ihrer Lieferkette bestehen. (Bild: kras99 - stock.adobe.com)")