Die Zahl der Personen, Orte und Dinge, die über das „Internet of Things“ miteinander agieren, wächst. Das Netzwerk mit seinem „Elastic Edge“ macht es wesentlich komplexer, Benutzern und Geräten einen kontrollierten, aber effizienten Zugriff auf Unternehmensdateien, -daten und -anwendungen in der Cloud und im Rechenzentrum zu ermöglichen. [...]
Benutzer, Gruppen, Anwendungen und Ressourcen feingranular segmentieren
Einfache Richtlinien auf Basis von Active Directory ermöglichen eine Mikrosegmentierung, um sicherzustellen, dass Geräte und Personen nur mit den Benutzern, Anwendungen und Ressourcen verbunden sind, auf die sie Zugriff benötigen – nicht mehr und nicht weniger. So vermeiden Administratoren den üblichen Umweg über „Super User“, die dazu führen können, dass, etwa durch den nachsichtigen Umgang mit Passwörtern, sprichwörtlich „Löcher“ zwischen den Netzwerksegmenten entstehen, die Hacker ausnutzen können.
Wenn ein Unternehmen beispielsweise 500 Sicherheitskameras in seinem Netzwerk hat, kann jede dieser Kameras direkten Zugriff auf die Verwaltungsschnittstelle haben, aber jede Kamera ist separiert von den anderen, wodurch die Angriffsfläche begrenzt und die mit einem DDoS-Angriff verbundenen Risiken gemildert werden. Wenn ein Hacker zufällig die Kontrolle über eine IP-Kamera übernimmt, kann er nicht die anderen Kameras, geschweige denn andere Teile des Netzwerks hacken.
Dieser Sicherheitsvorteil tangiert auch den Punkt „Schatten-IT“: Nicht authentifizierte Geräte haben von vornherein keinen Zutritt zum Netzwerk. Und im LAN befindliche Geräte sind voneinander separiert. Ein gehacktes Gerät kann keine anderen Geräte oder Netzwerke infizieren, weil die Komponenten sich untereinander nicht „sehen“ können.
Orchestrierung und Administration in der Cloud
SD-P ermöglicht die Verwaltung und Steuerung von IoT-Geräten selbst von einem entfernten Standort aus. Dank der direkten, LAN-ähnlichen Verbindung erhalten Netzwerkadministratoren Kontrolle über LAN-Geräte, die sich außerhalb des SD-P-Gateways befinden. Die Datenverarbeitung zur Steuerung und Verwaltung der IoT-Geräte muss somit nicht vor Ort erfolgen.
Zusammenfassend lässt sich über die Software-defined-Perimeter-Technologie festhalten: SD-P macht IoT-Netzwerke einfacher und schlanker bei gleichzeitigen Zugewinnen an Sicherheit. Wenn sich Administratoren mit modernen Netzwerktechnologien wie SD-WAN beschäftigen, kommen sie an SD-Perimeter nicht vorbei.
SD-P am Beispiel Cradlepoint
Es gibt zwei Möglichkeiten, Geräte über die Management-Software NetCloud zu einem virtuellen Overlay-Netzwerk hinzuzufügen. Erstens kann auf jedem Gerät, das Software ausführen kann, der NetCloud-Client direkt auf dem Gerät installiert werden. Sobald der NetCloud-Client installiert ist und der Netzwerkadministrator das Gerät dem Netzwerk hinzugefügt hat, muss der Benutzer nie wieder den Authentifizierungsprozess für dieses Gerät durchlaufen.
Bei IoT-Geräten, die typischerweise keinen Client ausführen können sowie Drittgeräten oder -anwendungen können Netzwerkadministratoren den NetCloud-Client auf einem Cradlepoint-Router installieren, der dann als SD-P-Gateway-Gerät fungiert; anschließend kann der Administrator Benutzern und Geräten, die mit dem Gateway verbunden sind, Overlay-Netzwerkzugriff gewähren.
*) Sascha Kremer ist Director Carrier Development bei Cradlepoint
Be the first to comment