Strategiewechsel bei Cisco: Netze nach Blaupausen bauen
Strategiewechsel bei Cisco: Netze nach Blaupausen bauen. Cisco wechselt die Perspektive: Weg von einzelnen Komponenten oder dem Netzwerk, hin zu den Geschäftsprozessen. Mit dem Framework »Service-Oriented Network Architecture« (SONA) kreierte der Router-Riese mehrere Blaupausen, die Produkte und Dienste funktional zusammenfassen. Zudem erweitert der Hersteller sein Konzept des »Self-Defending-Networks«.
Strategiewechsel bei Cisco: Netze nach Blaupausen bauen
Autor: Michael Piontek
Künftig werden nur noch die Applikationen und ihre wichtigen Prozesse bestimmen, wie das darunter liegende Netz strukturiert zu sein hat. Davon ist Cisco überzeugt und hat zu dem Zweck Produkte in dem »Service-oriented Network Architecture«-Framework (SONA) gruppiert. Dahinter verbergen sich im Prinzip architektonische Blaupausen für typische Geschäftsdienste wie Security- oder Storage-Services.
Alle diese wichtigen Prozesse stellen an das Netz gemeinsame Bedingungen, sei es ein entsprechendes Sicherheitsniveau, geringe Verzögerungsfristen oder Bandbreitenmanagement. Diese einzelnen Funktionsblöcke müssen beim Design des Netzes von vornherein berücksichtigt sein, »damit kritische Prozesse auf einem stabilen Fundament aufsetzen«, wie es Cisco formuliert. Es stehen somit nicht mehr einzelne Module, Router, Switches oder Firewalls im Vordergrund, sondern die Netzstrategie. Sie wiederum wird durch aktuelle und künftige Applikationen im Unternehmen geleitet.
Insgesamt hat Cisco sechs Infrastruktur-Dienste definiert: Security, Mobility, Storage, Voice- und Collaboration, Compute sowie Identity. Jeder diese Service-Blöcke besitzt dank gemeinsamer funktionaler Anforderungen Schnittmengen mit seinen Pendants, ist also nicht monolithisch definiert. Gemein ist den sechs Blaupausen, dass sie die Netzinfrastruktur virtualisieren. Das Netz wird konzeptionell zur Middleware, die zwischen den feinstufigen Anforderungen der kritischen Anwendung und den einzelnen Netzkomponenten vermittelt. Diese Vermittlungstätigkeit wird durch Management-Tools und -Dienste, einheitliche Funktionen und übereinstimmende Architekturbausteine gestützt. Das Konzept gilt natürlich zuerst rein für Cisco-Komponenten. Und auch noch nicht für alle, wobei Cisco versprochen hat, alle Produkte und vor allem auch deren Roadmap nach und nach an die Blaupausen anzupassen. Wer diesem Weg folgt, erfährt vom Hersteller, welche Funktionen in seinem gewünschten Service-Block künftig eingebaut werden.
Die Leerstellen der Blaupausen-Schablonen müssen also nur mit den entsprechenden Cisco-Produkten aufgefüllt werden. Wenig überraschend richtet sich Cisco mit diesen Plankonzepten gleich an den Chief-Information-Officer (CIO) oder vergleichbare Führungspositionen im Unternehmen, dorthin, wo die strategische Entscheidung gefällt wird.
Ob dieses Konzept der großen Wörter und Pläne auch hierzulande greift, bei dem dominanten Mittelstand? Cisco räumt ein, dass diese Konzepte in erster Linie Großkunden ansprechen. Dort sei der strategische Entscheidungsprozess inzwischen alltäglich, CIOs und ähnliche Positionen auch besetzt. Eine zumindest fragliche Position, da vor allem große Unternehmen die Verantwortung für die IT in unterschiedliche organisatorische Einheiten gliedern, beispielsweise in die Applikations- und die Security-Abteilung.
Die Blaupausen von Cisco schlagen Produkte und Designs in jedem funktionalen Bereich vor und greifen so in den Verantwortungsbereich jeder einzelnen Abteilung ein. Ob diese sich aus der Produktentscheidung ausklammern lassen, weil der CIO strategisch zu entscheiden hat? Eine typische Machtfrage.
Self Defending-Network verbessert
Neben dem SONA-Konzept hat der Router-Riese Erweiterungen seiner Strategie des Self Defending-Networks vorgestellt. Ihr Ziel ist, Angriffe im Netz aktiv zu bekämpfen. Dazu hat Cisco den »Security Manager« (CSM) in Version 3.0 und das Event-Management-System »Security MARS« in Version 4.2 verbessert. Das CSM-Tool definiert Policies und Access-Control-Lists für alle Cisco-Produkte, die diese auch setzen können. Darunter fallen Router und Switches, Firewalls, VPN-Gateways sowie IPS des Herstellers. Der CSM setzt für alle diese Systeme die Policies, wobei das Tool das Regelwerk aus Sicht der Verkehrsflüsse definiert, losgelöst von einzelnen Devices. Wird die Policy für eine Applikation verschärft, so ändert der CSM die Parameter in allen angebundenen Sicherheitskomponenten. Zudem ist der CSM in der Version 3.0 mandantenfähig und unterstützt Workflows, unter anderem auch das Vier-Augen-Prinzip.
Die Event-Korrelations-Appliance »MARS« sammelt Events aus mehreren Quellen, beispielsweise IPS, Firewalls, Serverlogs, Vulnerability-Management-Scanner oder Desktop-Tools. Die Box spricht dazu mit Cisco-Produkten und einer ganzen Reihe von Dritthersteller-Lösungen, darunter IPS von Mc-Afee, ISS oder Symantec, Firewalls von Check Point oder Juniper. Bei der Erstinstallation baut sie eine logische Netzwerk-Karte auf. Auf Basis dieses Topologie-Wissens versucht MARS, den Datenfluss eines Angriffs bis zu seiner Quelle zu verfolgen, verknüpft einkommende Events auch auf Grundlage der Netzstruktur und schlägt entsprechende Gegenmaßnahmen vor. Dank des Updates gibt die »MARS«-Appliance ihr Wissen an den CSM weiter. Über die Workflow-Integration und mit Hilfe der Mandanten-Administration kann der CSM-Administrator die Informationen dazu aufgreifen, tiefer in die Logs der Appliance einzugreifen und gleich eine passende Policy aktivieren, um den Angriff zu blocken. »MARS« in Version 4.2 und der CSM in Version 3.0 sind sofort verfügbar.
______________________________________________
INFO
Cisco Systems GmbH,
Am Söldnermoos 17, D?85399 Hallbergmoos,
Tel. 00 800 99 99 05 22, Fax 08 11 559 54 53,
www.cisco.de
