In diesem Artikel geht es um Netzwerksicherheit, höhere Widerstandsfähigkeit (Resilience) und moderne Telekommunikationsinfrastruktur. Die Unternehmensgröße ist dabei völlig egal.
Schutz passiert nicht länger am Perimeter. Netzwerke müssen von innen geschützt werden – und das am besten so transparent für den Anwender und so automatisiert wie nur irgend möglich. Chefredakteur Kerstin war als Delegate beim 25. Network Field Day dabei. Einer der präsentierenden Partner, Aruba Networks, hat Netzwerkmanagement mit IT-Sicherheit kombiniert.
Jede Branche steht vor ihren eigenen Herausforderungen, wenn es um IT-Sicherheit geht. Ein paar Maßnahmen allerdings gelten global für alle:
- Analyse und Absicherung von Diensten, Anwendungen als auch Anwendern sowie Geräten und Protokollen
- Komplexe Netzwerk- und IT-Infrastrukturen transparenter machen
- Digitalisierung von Unternehmensrichtlinien sowie gesetzlichen Anforderungen
- Automatisierung administrativer Aufgaben wie die Segmentierung von Netzwerken
Aruba kann all das mit der Aruba Edge Services Platform (ESP). Außerdem setzt das Unternehmen bei seinen Accesspoints auf den erweiterten Wi-Fi-Standard 6E.
What the E?!
Wi-Fi 6 (IEEE 802.11ax-Standard) ist per Gesetz auf ein Funkspektrum im Bereich von 2,4-GHz- und 5-GHz-Bändern beschränkt. Sich überschneidende Kanäle, die von Dir, Deinen Nachbarn und anderen Aliens gemeinsam genutzt werden, müssen sich die theoretisch mögliche Bandbreite von 4,8 Gbit/s pro Client teilen.
Der Frequenzbereich zwischen 5,925 und 6,425 MHz (in den USA sogar bis 7,125 GHz) steht exklusiv für WiFi 6E zur Verfügung, was bis zu sechs zusätzliche 80-MHz- und bis zu drei weitere 160-MHz-Kanäle (in den USA jeweils 14 bzw. 7 weitere Kanäle) fürs WLAN ermöglichen soll. Was bedeutet das?
Selbst wenn viele Geräte verbunden sind, ermöglicht das 6-GHz-Band von Wi-Fi 6E:
- höhere Datenraten
- eine größere Bandbreite
- eine geringere Latenz (weniger als eine Millisekunde).
You’re poison, but I need to break these chains
Wie für alle Sprinter gilt auch für die im 6-GHz-Spektrum verwendeten Wellenlängen: Schnell, aber nur kurz. Und bitte keine Hürden! Große Entfernungen mag es nicht; Wände und Böden – in den meisten Gebäuden unvermeidbar – machen ihm das Leben zusätzlich schwer.
Neben Wi-Fi 6E-kompatiblen Geräten benötigst Du also nicht nur neue Accesspoints. Du benötigst auch mehr davon. Die neuen Geräte sind auch etwas hungriger. Power over Ethernet (PoE) sollte mehr als 30W liefern. Auch sind 1 Gbps Ethernet-Geschwindigkeit nicht mehr ausreichend, um die volle Bandbreite genießen zu können.
Tut das wirklich not? Ja! Bei der Gelegenheit kannst Du nämlich gleich Dein antiquiertes Sicherheitskonzept mitverschrotten. Ernsthaft.
Aruba Networks selbst bringt bereits ein Sicherheitslevel mit ins Netz, was einiges an herkömmlichen Sicherheitsprodukten überflüssig macht. Mit der Akquisition von Silver Peak hat man sich außerdem einen der drei Marktführer für WAN, SD-WAN und hybride Netze ins Haus geholt. Aruba EdgeConnect ersetzt nicht nur herkömmliche Filialrouter. Sie vereinen SD-WAN, Firewall, Segmentierung, Routing, WAN-Optimierung, Anwendungstransparenz und -kontrolle in einer einzigen Appliance.
Die einheitliche Edge Services Platform (ESP) orchestriert, provisioniert, analysiert und verwaltet automatisiert und KI-gestützt Netzwerke und Geräte standortübergreifend in Rechenzentren, an Produktionsstandorten (IoT, iIoT), auf dem Campus, in der Cloud, an Niederlassungen bis hin zu Work-from-Anywhere-Places. Zero-Trust, UTM-Funktionen, kontinuierliches Monitoring und das Durchsetzen von Richtlinien schützen Benutzer, Daten und Infrastruktur.
Den letzten Schritt zur Single-Pass-Engine und echter NG-Technik ist man zwar noch nicht gegangen – aber wir sind überzeugt, das ist nur eine Frage der Zeit.
Aruba Networks ist nicht das einzige Unternehmen, das diesen Weg geht. In immer mehr Netzwerklösungen sehen wir integrierte IT-Sicherheit. Interessant bei Aruba ist die Vereinheitlichung der Infrastruktur von Wireless über kabelgebundene Netze, Software-Defined Weitverkehrsnetze (SD-WAN), 5G bis hin zu IoT. Das können noch nicht alle in dieser Bandbreite. Entweder können sie kein WLAN, und wenn dann noch nicht 6E, oder sie unterstützen 5G noch nicht. Warum das alles so wichtig ist?
Livin‘ on the edge!
Immer mehr Geräte, die immer schneller miteinander kommunizieren wollen, stellen nicht nur ein erhöhtes Sicherheitsrisiko dar. In einer immer mehr vernetzten Welt mit immer komplexeren Kommunikationsstrukturen müssen sich aministrativen Aufgaben selbst erledigen – vollständig automatisiert und autonom. Alles andere ist ein Sicherheitsrisiko und sowie von keinem Menschen mehr fehlerfrei lösbar.
Dazu kommen bröckelnde Silos und immer nebulösere Netzwerkgrenzen. Daten werden immer öfter in Echtzeit bereits in der Netzwerkperipherie bearbeitet. Work from Anywhere (fka Work from Home fka Consumerization fka BYOD) verteilt Arbeitsplätze quer über Hotels und Campingplätze auf der ganzen Welt. Dazu kommen immer mehr Geräte, die miteinander kommunizieren: Kühlschränke, Autos, Industrieanlagen, Ampeln, Menschen (respektive ihre Kommunikationsgeräte) und ganze Unternehmen (aka Lieferketten).
Niemand kann mehr alles und Ende-zu-Ende kontrollieren. Dafür braucht es Dinge wie Automation, künstliche Intelligenz (KI bzw. Artificial Intelligence, AI) und Machine Learning (ML).
Ready or not, here I come, you can’t hide.
Transparenz ist eines der Dinge, die für eine umfassende Sicherheit Deiner Infrastruktur unumgänglich sind. Die Firewall der Zukunft und andere Sicherheitsmechanismen werden zu einem Teil der Struktur des Netzwerks selbst und für das Netzwerk unsichtbar – ohne wahrnehmbare Auswirkungen auf Durchsatz oder Latenzzeit.
Mit der Edge Services Plattform (ESP) bietet Aruba Networks, die seit 2015 Hewlett Packard Enterprise (HPE) gehören, eine KI-gestützte Lösung für automatisiert gesteuerte Netzwerke an. ESP ist Cloud-native und eignet sich damit auch für kleinere und mittelständische Unternehmen. Die Plattform basiert auf drei Ansätzen:
- Unified Infrastructure
- Zero Trust Security
- AIOps (Artificial Intelligence for IT Operations)
Künstliche Intelligenz (KI), Maschinelles Lernen (ML) und Big Data automatisieren, überwachen und optimieren IT-Services und -Operations. Dazu hält ESP die Netzwerktopologie so flach wie möglich, ohne dem Kommunikationssystem eine zusätzliche Komplexitätsschicht hinzuzufügen. Betrachtet wird das gesamte Netzwerk und nicht nur die Schnittstellen einzelner Netzwerksegmente. Die Sicherheit wird als Overlay-Netzwerk hinzugefügt.
Alle Netzwerkobjekte werden dynamisch erkannt und behandelt. Clearpass Device Insight ist eine Funktion der Plattform, die jedes Gerät im Netzwerk klassifiziert und dynamisch einbindet. Mit Machine Learning (ML) werden Verhalten und Attribute von Geräten analysiert. Damit lassen sich Netzwerkobjekte automatisiert zuordnen und einfacher gruppieren. Unterstützt wird das Ganze durch eine Reihe aktiver (NMAP, WMI, SNMP, SSH) und passiver Erkennungsmethoden (SPAN, DHCP, NetFlow/SFlow/IPFIX).
Zusammen mit dem Aruba ClearPass Policy Manager ermöglicht ClearPass Device Insight einen geschlossenen Regelkreis mit Ende-zu-Ende-Zugriffskontrolle. Ein Regelwerk setzt automatisch Richtlinien durch und passt Regeln dynamisch an, etwa wenn sich das Verhalten eines Nutzers oder Gerätes ändert. Das entspricht einer Sicherheitsstufe eines für jedes einzelne Gerät segmentierten Netzwerkes. Auf diese Weise wird die Granularität der Sicherheitsanweisungen erhöht.
Kontinuierliches Monitoring verfolgt Kommunikationsaktivitäten zwischen den Geräten im Netzwerk, unabhängig vom Standort oder des Segments. Unangemessenes Verhalten kann schnell lokalisiert und eingegrenzt werden, etwa, wenn ein Gerät durch Malware kompromittiert wurde oder sich ein Benutzer plötzlich komisch verhält. Hier hilft die Vereinheitlichung der Netzwerkinfrastruktur: nur wer auf alle Geräte in einem Netzwerk Zugriff hat, kann die Verbindung zwischen den einzelnen Geräten erfassen und analysieren.
Für Aruba ESP werden Ereignisse in Echtzeit über Netzwerkflüsse hinweg analysiert. Bei der Korrelation werden auch historische Ereignisse berücksichtigt. So können auch Muster und Verbindungen zwischen scheinbar nicht zusammenhängenden Ereignissen erkannt werden. Das ist ein großer Vorteil gegenüber traditionellen SIEM-Ansätzen. SIEM-Systeme (Security Incident & Event Management) korreliert auf Basis von Protokollen, welche von potenziell bereits infizierten Geräten bereitgestellt werden. Sie sind nicht vertrauenswürdig. Besser ist ein SOAR-Ansatz (Security Orchestration, Automation & Response), den Lösungen wie Aruba verfolgen.
I, I can be your painkiller?
Viele Unternehmen implementieren zusätzliche Sicherheit, indem sie ihre Netzwerke in kleinere Teile segmentieren, typischerweise basierend auf der Klassifizierung von Informationen (Need-to-know-Prinzip). Klassischerweise wird das Netzwerk dann in VLANs (virtuelle Schichten im LAN, dem Local Area Network) aufgeteilt. VLANs sind alles andere als flexibel. In der Zeit von Agilität, Dev(Sec)Ops und Work-from-Anywhere-Modellen sind sie nicht mehr State of the Art.
Segmentierung wird auch sehr selten als strategische Verteidigung eingesetzt. In den meisten Fällen wird eine Segmentierung einmal festgelegt und dann vergessen. Die steigende Zahl von Sicherheitsverletzungen macht es wichtiger denn je, eine Netzwerksegmentierung nicht nur zu implementieren, sondern sie auch sorgfältig zu pflegen. Segmentierungsintelligenz und Automatisierung helfen, die Segmentierung auf der Grundlage agiler Prozesse dynamisch anzupassen.
Die zusätzliche Anwendung von Firewall-Regeln auf den Verkehr erhöht die Sicherheit. Statt nur einmal an einem zentralen Punkt wird der gesamte Traffic permanent auf Schwachstellen oder Regelverletzungen geprüft.
Die Korrelation von Ereignissen ermöglicht es, schnell auf verändertes oder unerwünschtes Verhalten für einzelne Geräte oder einen bestimmten Datenfluss zu reagieren. Die Vertrauensstufe eines Gerätes, Nutzers oder einer Kommunikationsbeziehung ändert sich automatisch. Das Gerät, der Nutzer, eine Anwendung oder Verbindung können isoliert bzw. dynamisch angepasst werden. Die Netzwerksegmentierung bleibt erhalten.
Let me entertain you!
Aruba ESP ist als cloud-native Service konzipiert. Die zentrale Verwaltungsplattform Aruba Central wird als Software as a Service (SaaS) von Aruba bereitgestellt. Aruba Central ist mandantenfähig und als Cloudservice oder On-Premises-Version erhältlich. Als Clouddienst läuft Aruba Central in AWS-Rechenzentren. Für die EU und Deutschland betreibt Aruba den Dienst am Standort Frankfurt/M.
Managed Service Provider können den Dienst für ihre Klienten betreiben. Davon profitieren vor allem kleine und mittelständische Unternehmen, die keine eigene IT-Abteilung haben. Mit Network as a Service (NaaS) erhalten KMU eine moderne und sichere Infrastruktur, ohne selbst Wissen oder Ressourcen vorhalten zu müssen. OPEX-Modelle sind auch finanziell ein Vorteil für die Unternehmen und verleihen Planungssicherheit.
Was ist also die schlechte Nachricht? Bei aller Automatisierung und KI-Unterstützung musst Du trotzdem Dein Geschäft verstehen und einen Plan haben.
Aufzeichnung des Vortrages von Aruba Networks am #NFD25:
Unser Chefredakteur bedankt sich bei den Fugees, Judas Priest, Alice Cooper, Robbie Williams und Aerosmith für die Überschriften.