Cisco Intelligente, sichere Geschäftsplattform im digitalen Zeitalter

    Was braucht ein Unternehmen vom Netzwerk?


    Unternehmer in modernen Unternehmen sind selten an den Feinheiten der IT und den Nuancen der Netzwerktechnologien interessiert. Das überrascht nicht: Das Ergebnis ist wichtig für die Wirtschaft.


    Das gewünschte Geschäftsergebnis wird jedoch durch die koordinierte Arbeit vieler Geschäftsprozesse erzielt. Die meisten von ihnen beziehen sich auf die Weitergabe von Informationen. Die meisten dieser Geschäftsprozesse basieren auf Netzwerkanwendungen, die auf dem Netzwerk ausgeführt werden.


    In einer modernen Unternehmensumgebung können Unternehmen nicht ohne ein Netzwerk und Anwendungen arbeiten. In Zeiten der Digitalisierung und des Internets der Dinge (IoT) nimmt die Abhängigkeit der Unternehmen von der IT nur zu, da immer mehr geschäftskritische Anwendungen auf dem Netzwerk laufen.


    Um einen ordnungsgemäßen Betrieb der Netzwerkanwendungen und damit des Netzwerks sicherzustellen, ist dies für moderne Unternehmen von entscheidender Bedeutung.


    Wie mache ich das?


    Um dieses Problem zu lösen, müssen die zahlreichen Empfehlungen in den Design-Handbüchern und in der Fachliteratur befolgt werden. Auf dieser Grundlage können wir jedoch drei Schlüsselbereiche formulieren:


    1. Zuverlässiger Transport
    2. Querschnittspolitik.
    3. Pass-Through-Orchestrierung.

    Gleichzeitig ist die wichtigste und notwendigste Komponente jeder Richtung die Informationssicherheit, idealerweise nach dem Modell des Zero-Trusts oder der "weißen Liste", innerhalb derer der Zugriff auf eine bestimmte Ressource nur den Benutzern gewährt wird, für die ein solches Geschäftsbedürfnis besteht.


    Betrachten Sie diese Bereiche genauer.


    Schritt 1: zuverlässiger Transport


    Ein grundlegender und offensichtlicher Punkt. Das Netzwerk sollte funktionieren und Informationen von Punkt A nach Punkt B übertragen, wenn das Unternehmen dies benötigt. Andernfalls können Geschäftsprozesse nicht funktionieren und das Unternehmen wird direkte oder indirekte Verluste erleiden.


    Schritt 2: Querschnittspolitik


    Die Übertragung von Informationen von Punkt A nach Punkt B ist notwendig, reicht aber nicht aus. Die korrekte Arbeitsweise von Geschäftsprozessen ist nur mit der Implementierung verschiedener Richtlinien möglich. Um beispielsweise Vertraulichkeit, Integrität und Authentizität von Informationen zu gewährleisten, müssen Sicherheitsrichtlinien implementiert werden. Ein anderes Beispiel - die richtige Qualität von Geschäftsanwendungen erfordert die Einhaltung der erforderlichen Werte für Verzögerungen, Jitter und Paketverlust. Dies kann wiederum die Implementierung einer Quality of Service (QoS) -Richtlinie erforderlich machen.


    Die Besonderheit der Umsetzung von Politiken besteht darin, dass ihre Wirkung genauso stark ist wie das schwächste Glied. Dies bedeutet, dass eine durchgängige Richtlinienimplementierung, die das gesamte Unternehmensnetzwerk abdeckt, erforderlich ist, um das gewünschte Geschäftsergebnis zu erzielen.


    Darüber hinaus kann das Fehlen von Richtlinien oder deren unzureichende Umsetzung zu Problemen bei der Umsetzung des grundlegenden Kommunikationspunktes führen. Beispielsweise kann eine ineffiziente Implementierung einer Sicherheitsrichtlinie einen Angriff auf eine Netzwerkinfrastruktur oder -dienste überspringen, und die Komplexität von Hardwarekonfigurationen in Kombination mit dem Faktor Mensch kann zu Fehlern in der Hardwarekonfiguration führen. Jedes dieser Beispiele schafft die Voraussetzungen für Fehler bei der Datenübertragung und die Nichtverfügbarkeit von Diensten.


    Schritt 3: Pass-Through-Orchestrierung


    Die Implementierung von Richtlinien kann nur dann effektiv sein, wenn die Richtlinien miteinander konsistent sind und umgehend mit dem für das Unternehmen erforderlichen Tempo aktualisiert werden können.


    Die Realität des modernen Geschäfts erfordert die sofortige Aktualisierung dieser End-to-End-Richtlinien. Dies ist in der Regel der Fall, wenn neue Geschäftsprozesse gestartet werden, Änderungen in vorhandenen Prozessen vorgenommen werden oder wenn daran gearbeitet wird, die Unterstützung durch das Netzwerk zu optimieren. Verzögerungen bei der Aktualisierung der Richtlinien sind nicht akzeptabel, da sie die Einführung neuer Geschäftsinitiativen verzögern oder die Geschäftsrisiken erhöhen. Daher ist Geschwindigkeit sehr wichtig und wird im Hinblick auf die Digitalisierung noch wichtiger. Ein Geschwindigkeitsgewinn kann zu erheblichen finanziellen Ergebnissen führen. In einigen Fällen ist Geschwindigkeit so wichtig, dass der Erfolg der gesamten Unternehmensinitiative davon abhängt.


    Um diese Bedingungen zu erfüllen und die Richtlinien ordnungsgemäß zu implementieren, werden Orchestrierungswerkzeuge benötigt, die entlang der gesamten Informationsübertragungsroute arbeiten, beispielsweise vom Computer eines Angestellten in einem externen Büro zu einem Server in einem Unternehmensrechenzentrum.


    Orchestrierungswerkzeuge werden immer wichtiger und notwendige Funktionen eines modernen Unternehmensnetzwerks. Ohne sie ist es in der Tat einfach unmöglich, End-to-End-Richtlinien für eine große Anzahl von Netzwerkinfrastrukturelementen zu implementieren und diese dann in der Praxis schnell zu aktualisieren.


    Die ersten beiden Aufgaben zu lösen - zuverlässige Transport- und Querschnittsrichtlinien sicherzustellen - sind Voraussetzungen für die Orchestrierung. Natürlich sind alle Dienste auf den Transport angewiesen. Es ist auch klar, dass Orchestrierung nur möglich ist, wenn es wirksame, flexible Mechanismen zur Umsetzung von Richtlinien gibt. Die Orchestrierung befindet sich also "an der Spitze der Pyramide" der drei betrachteten Probleme.


    Schwierigkeiten der heutigen Unternehmensnetzwerke


    Wie läuft es mit den vorgesehenen Aufgaben in den typischen Unternehmensnetzwerken von heute?


    Theoretisch kann ein typisches Unternehmensnetzwerk Aufgabe 1 problemlos ausführen und einen zuverlässigen Transport gewährleisten, da hierfür die erforderlichen technischen Mittel zur Verfügung stehen - beispielsweise dynamische Routing-Protokolle, Hochverfügbarkeitstools usw.


    In der Praxis ist die Lösung dieses Problems viel schwieriger. Neben dem Übertragen von Paketen von Punkt A nach Punkt B müssen Sie auch Richtlinien implementieren. Jede nicht triviale Politik wirkt sich auf den Verkehr aus. Es gibt Abhängigkeiten zwischen der Funktionalität, die Richtlinien implementiert, und den Funktionen, die Transportprobleme lösen. Die Konfiguration von Netzwerkgeräten ist viel komplizierter. Der Netzwerkbetrieb und die Fehlerbehebung sind daher ebenfalls kompliziert. Technologische Fenster werden länger, die Fehlerwahrscheinlichkeit ist höher. Letztendlich wird die Verfügbarkeit des Netzwerks und damit die Geschäftsprozesse reduziert. Und das ist für das Geschäft immer weniger günstig.


    Nicht bessere Dinge mit Politikern. Der TCP / IP-Protokollstapel verfügt nicht über die Möglichkeit, die Zugehörigkeit von Paketen zu einer Gruppe von Benutzern oder Hosts zu bezeichnen und Richtlinien auf solche Pakete anzuwenden. In der Praxis müssen Administratoren daher nach einem Ersatz suchen, und die IP-Adresse wird fast überall als Ersatz verwendet, obwohl dies nicht beabsichtigt ist. Es ist jedoch die IP-Adresse, die normalerweise als Kriterium dafür verwendet wird, dass ein Paket zu einer bestimmten Benutzergruppe gehört.


    Diese Methode zum Anwenden von IP-Adressen schafft eine Wechselbeziehung zwischen zwei verschiedenen Funktionen - Adressierung und Überwachung. Und die für eine Funktion gewünschten Änderungen wirken sich unweigerlich auf die andere aus. Dadurch verliert das Netzwerk seine Flexibilität. Die Optimierung der Adressierung sowie andere wesentliche Änderungen an den IP-Adressen eines Unternehmensnetzwerks werden zum Beispiel oftmals fast unmöglich, da die Richtlinien verletzt werden.


    Dies ist jedoch nur ein Teil des Problems. Die Arbeit mit Adressen erfolgt in der Regel manuell, und die darauf basierenden Richtlinien werden sehr komplex, umständlich und sehr anfällig für den "menschlichen Faktor". Infolgedessen leidet die Geschwindigkeit und Qualität der Anwendung von Richtlinien, und die Risiken von Geschäftsprozessstörungen aufgrund von Netzwerkproblemen nehmen erheblich zu.


    Die End-to-End-Orchestrierung von Diensten gehört nicht zum typischen Unternehmensnetzwerk. Ein echtes Unternehmensnetzwerk ist selten homogen. Sie basiert vielmehr auf einem Satz von Geräten mit heterogener Funktionalität, von verschiedenen Herstellern, mit unterschiedlichen Implementierungen, nicht nur für die Befehlszeilenschnittstellen, sondern auch für Netzwerkprotokolle und -standards. Nicht auf allen Geräten ist eine solche Funktionalität in der richtigen Form und in der richtigen Menge vorhanden. Darüber hinaus sind die Netzwerkausrüstungskonfigurationen des realen Netzwerks inkonsistent und komplex und mit der Zeit nehmen Komplexität und Inkonsistenz zu. Die Orchestrierung von Diensten in einem solchen Netzwerk ist nicht nur schwierig zu implementieren, sondern führt wahrscheinlich auch zu Ausfällen aufgrund von Konflikten zwischen automatisierten und manuellen Ansätzen des Netzwerkmanagements.


    Ein weiteres Problem ist die Koordination. Bevor Geschäftsabsichten in bestimmten Netzwerkausrüstungs-Teams verwirklicht werden, müssen Sie eine Kette von Mitarbeitern aus verschiedenen Abteilungen mit völlig unterschiedlichen Spezialisierungen und Mentalitäten durchlaufen - zum Beispiel von Führungskräften über eine Führungskette bis hin zu Anwendungstechnikern und Rechenzentren, Netzwerktechnologien und Sicherheit . Solche Leute "sprechen verschiedene Sprachen." Wenn eine Aufgabe in einer Kette übersetzt wird, bleibt ihre Bedeutung nicht immer in ihrer genauen Form und in vollem Umfang erhalten. Darüber hinaus wird die Situation häufig durch die für viele Organisationen charakteristischen Besonderheiten der abteilungsübergreifenden Zusammenarbeit erschwert.


    Letztendlich führt die Komplexität der Implementierung oft dazu, dass die Initiative, die ein Unternehmen braucht, nicht ausreichend, nicht rechtzeitig und nicht in ausreichender Qualität umgesetzt wird. Manchmal ist die Implementierung so ausgedehnt, dass die Initiative veraltet ist, bevor die Implementierung abgeschlossen ist. Oder die Implementierung wird überhaupt nicht durchgeführt.


    Was bietet Cisco an?


    Wie wir im vorigen Abschnitt bereits gesehen haben, werden selbst die Aufgaben der Bereitstellung zuverlässiger Transport- und End-to-End-Richtlinien sowie der End-to-End-Orchestrierung in einem typischen modernen Unternehmensnetzwerk nicht immer zufriedenstellend gelöst.


    Für eine effektive Unterstützung der Geschäftsprozesse ist jedoch die Lösung aller drei Aufgaben erforderlich - qualitativ und vollständig.


    Um dies zu verstehen, entwickelt Cisco gezielt nicht nur neue Produkte und Technologien, sondern auch ganzheitliche Architekturen wie Cisco DNA, die auf eine effektive Unternehmensunterstützung abzielen.


    Das Erstellen solcher Architekturen erfordert die durchgängige Implementierung von Richtlinien und Orchestrierungswerkzeugen. Dafür muss der Hersteller ein Produktportfolio und fundiertes Know-how in allen von der Architektur abgedeckten technologischen Bereichen besitzen. Für ein modernes Unternehmensnetzwerk sind dies lokale verdrahtete und drahtlose LAN-Netzwerke (LAN / WLAN) am zentralen Standort und in Zweigstellen, Rechenzentrumsnetzwerke, WAN (Wide Area Networks) und durchgängige Informationssicherheitslösungen. Darüber hinaus erfordert die effektive Implementierung der Lösung zusätzliche Mittel für die Verkehrsüberwachung und deren Analyse auf Anwendungsebene, die durch leistungsstarke Analysen unterstützt werden.


    Heute ist Cisco der einzige Hersteller, der alle diese Bereiche abdecken kann. Darüber hinaus hat Cisco bereits Lösungen in allen Bereichen implementiert. Betrachten Sie sie genauer.


    Netzwerkfabriken: Verkehrsinfrastruktur der neuen Generation


    Moderne Cisco-Lösungen für den Aufbau einer Unternehmensnetzwerk-Transportinfrastruktur basieren auf dem Konzept einer Netzwerkstruktur. Die Netzwerkfabrik umfasst zwei Netzwerktopologien: das grundlegende IP-Netzwerk, das das Problem der Übertragung von Informationen von Punkt A nach Punkt B löst, und die Overlay-Netzwerktopologie, die auf diesem IP-Netzwerk ausgeführt wird und auf deren Grundlage Richtlinien implementiert werden. Gemäß der etablierten Terminologie impliziert der Begriff „Netzwerkfabrik“ häufig eine Überlagerung, die über dem Kernnetzwerk ausgeführt wird.


    In Campus-Netzwerken wurden Transport und Richtlinien traditionell auf der Grundlage einer einzigen Netzwerktopologie implementiert. Die Praxis hat gezeigt, dass Versuche, Probleme und Transport zu lösen, und Richtlinien in derselben Netzwerktopologie normalerweise dazu führen, dass es unmöglich ist, die erste oder zweite Aufgabe effektiv zu lösen. Dies geschieht, weil diese Aufgaben zu widersprüchlichen Anforderungen an das Netzwerk führen. Ein zuverlässiger Transport erfordert eine hohe Verfügbarkeit des Netzwerks und damit auch Stabilität, minimale Änderungen. Um Richtlinien anzuwenden und auf dem neuesten Stand zu halten, müssen Sie Änderungen am Netzwerk vornehmen und dessen Stabilität beeinträchtigen.


    Darüber hinaus entstehen in der Praxis bei der Kombination von Transportfunktionen und -richtlinien in einer einzigen Topologie Interdependenzen. Änderungen in der Funktionalität, die sich auf die Lösung einer Aufgabe beziehen, ändern die Lösung in eine andere. Dies macht das Netzwerk komplizierter, kompliziert die Implementierung von Diensten und Richtlinien und verlangsamt die Implementierung von Geschäftsinitiativen.


    Das Konzept einer Netzwerkfabrik erlaubt es, diese Widersprüche zu überwinden. Die einzige komplexe Aufgabe der gleichzeitigen Implementierung von Transport und Richtlinien, die für ein Netzwerk auf Basis einer einzelnen Topologie charakteristisch sind, ist in zwei einfachere Aufgaben unterteilt - eine separate Implementierung von Transport und Richtlinien im IP-Backbone-Netzwerk und die Überlagerung der Netzwerkfabrik.


    Eine solche Aufteilung der Logik abstrahiert Aufgaben voneinander, reduziert die Abhängigkeiten auf ein Minimum und schafft optimale Bedingungen für die Lösung dieser Probleme. Daher ist es viel einfacher, Querschnittsrichtlinien, Automatisierung und Orchestrierung in einer Netzwerkfabrik zu implementieren und letztendlich eine schnelle Reaktion des Netzwerks auf Geschäftsinitiativen sicherzustellen.


    Dies ist die Hauptidee der Netzwerkfabrik, die in moderne Cisco-Lösungen für das Unternehmensnetzwerk implementiert wird, einschließlich LAN, WAN und Rechenzentrum.


    Netzwerkstrukturen für LAN und WAN: Cisco SD-Access und SD-WAN


    Die Netzwerkfabrik des Campus-Netzwerks ist in der Cisco Software-Defined Access-Lösung (SD-Access) implementiert. Mit SD-Access können Sie ein Software-definiertes Campus-Netzwerk aufbauen. Dieses Netzwerk wird vom Cisco DNA Center Controller gesteuert. Der Controller bietet auch eine grafische Benutzeroberfläche, mit der Sie die Planung und Implementierung eines Netzwerks, das Festlegen und Automatisieren der Richtlinienausführung sowie die Überwachung, Fehlerbehebung und Fehlerbehebung erheblich beschleunigen können.


    SD-Access implementiert die obige Logiktrennungsidee, die es ermöglicht, das Problem der Transport- und Querschnittsrichtlinien im gesamten Campusnetz zu lösen. Durch die Trennung der Logik und die Verwendung eines DNA Center-Controllers können Sie außerdem schnell neue Richtlinien implementieren und vorhandene Richtlinien an neue Geschäftsanforderungen anpassen.


    DNA Center bietet auch eine REST-API für die Integration mit Orchestrierungssystemen höherer Ebene, Anwendungen von Drittanbietern und Vollzeit-Kundenspezialisten. Die API abstrahiert das Netzwerk und ermöglicht die Implementierung einer skalierbaren Orchestrierung von Diensten in anwendungs- und geschäftsrelevanten Begriffen. Die API bietet auch Zugriff auf Analyse- und Trendanalyseergebnisse der Assurance-Tools des DNA Center-Controllers.


    Mit der API können Sie die Orchestrierung von Diensten nicht nur innerhalb der Netzwerkfabrik am zentralen Standort abrufen, sondern auch diese Fabrik mit dem restlichen Unternehmensnetzwerk integrieren, einschließlich des WAN und der lokalen Netzwerke der Filialen.


    Overlay-Netzwerktopologien als solche sind bei Cisco-Lösungen schon lange im WAN angekommen. Sie wurden bereits in der DMVPN-Technologie eingesetzt und anschließend in der Cisco IWAN-Lösung auf Basis von DMVPN weiterentwickelt. Die heutigen und zukünftigen WAN-Lösungen im Cisco-Portfolio sind SD-WANs, die von einem DNA Center-Controller verwaltet werden und die Viptela-Technologien verwenden.


    Cisco bietet ein Netzwerk-Fabrikkonzept für Zweigstellen. Im Rahmen dieses Konzepts umfasst die Netzwerkstruktur Router, Switches und WLAN-Infrastruktur von Zweigstellen, die ebenfalls mit einem DNA Center-Controller verwaltet wird.


    Die Anwendung des Konzepts einer Netzwerkfabrik im Campusnetzwerk, im WAN und in den Filialen eröffnet den Weg zum Aufbau einer homogenen Verkehrsumgebung mit flexiblen End-to-End-Richtlinien und Orchestrierungsmöglichkeiten.


    SD-Access und SD-WAN bieten somit eine effektive Lösung für alle drei Aufgaben - vom zuverlässigen Transport bis zur durchgängigen Orchestrierung von Richtlinien und Diensten in einer Netzwerkfabrik mit der Möglichkeit, Orchestrierung auf das gesamte Unternehmensnetzwerk auszudehnen.


    Netzwerkfabrik für Rechenzentrum: Cisco ACI


    Die Implementierung einer Netzwerkfabrik in einem Unternehmensnetzwerk wäre ohne die Abdeckung der Netzwerkinfrastruktur des Rechenzentrums unvollständig. Cisco löste dieses Problem im Jahr 2013 mit der Veröffentlichung der Cisco Application Centric Infrastructure (ACI) -Lösung.


    Wie SD-Access umfasst ACI ein Backbone-IP-Netzwerk, das Transportprobleme löst, und eine Überlagerung, die Richtlinien implementiert. Die Cisco ACI-Netzwerkstruktur wird von einem Cluster von APIC-Controllern verwaltet, mit denen der Administrator Richtlinien festlegt und die verbleibenden Aufgaben der Verwaltung und Überwachung des Rechenzentrumsnetzwerks übernimmt.


    Letztendlich wird das Rechenzentrum geschaffen, um Unternehmensanwendungen auszuführen, die die erforderlichen Geschäftsdienste implementieren. Die Landschaft solcher Anwendungen ist normalerweise recht komplex. Um sicherzustellen, dass auch nur ein Business-Service ausgeführt wird, sind möglicherweise komplexe Interaktionen von Gruppen verschiedener Servertypen erforderlich. Informationen werden zwischen ihnen übertragen und in einer bestimmten Reihenfolge verarbeitet, wobei die erforderliche Geschäftslogik ausgeführt wird.


    Der grundlegende Unterschied zwischen herkömmlichen Rechenzentrumsnetzwerken und ACI liegt in der Vorgehensweise bei der Implementierung einer solchen Geschäftslogik. In einem herkömmlichen Netzwerk müssen Sie die Geschäftslogik zuerst von den Begriffen der Anwendungswelt in die Begriffe der Welt der Netzwerktechnologien übersetzen und dann aus "Low-Level" -Netzwerkstrukturen wie VLAN, VRF usw. zusammensetzen. Dieser Prozess erfordert die enge Zusammenarbeit von Personen mit unterschiedlichen Kompetenzbereichen, z. B. Experten im Bereich Netzwerk, Anwendungen usw., die einen erheblichen Zeit- und Arbeitsaufwand erfordern. Mit Cisco ACI können Sie zunächst die gewünschte Interaktionslogik einstellen und diese mithilfe eines APIC-Controllers automatisch im Netzwerk implementieren.


    Ein weiterer grundlegender Unterschied liegt in der Geschwindigkeit der Implementierung dieser Logik. Der traditionelle Ansatz umfasst die Konfiguration von Netzwerkinfrastrukturelementen über die CLI oder bestenfalls über das Verwaltungssystem. Dieser Ansatz ist für statische Netzwerkkonfigurationen ausreichend, er funktioniert jedoch umso schlechter, je dynamischer die Umgebung ist und je öfter Sie Änderungen an den Transporteinstellungen und -richtlinien vornehmen müssen. Dies ist jedoch genau das, was getan werden muss, um neue Dienste und Anwendungen zu implementieren, insbesondere in modernen Rechenzentren mit Virtualisierung.


    ACI löst dieses Problem dank der Fähigkeiten des APIC-Controllers im Bereich Automatisierung und Programmierbarkeit. Der Controller bietet ein sehr umfangreiches Objektmodell, auf das über die REST-API zugegriffen werden kann. Die API akzeptiert Nachrichten, die im JSON- oder XML-Format angegeben sind, und gibt sie zurück. Neben der API bietet Cisco zusätzliche Tools wie ACI Toolkit, Cobra SDK, Arya usw. sowie die Automatisierung mit Puppet und Ansible.


    ACI bietet auch ein hohes Maß an Informationssicherheit. Um Informationen über die ACI-Infrastruktur zu übertragen, müssen explizit Gruppen interagierender Hosts definiert werden, die optional die zulässigen Datenverkehrstypen angeben. Dieser Ansatz eignet sich für die Implementierung von Sicherheitsrichtlinien nach dem Modell der Nullvertrauensstellung ("weiße Liste").


    Cisco SD-Access- und ACI-Netzwerkfabriken integrieren sich miteinander und bieten Richtlinienübersetzung und End-to-End-Betrieb im gesamten Unternehmensnetzwerk - vom Personalcomputer in einer Zweigstelle bis zu einem Server in einem Unternehmensdatencenter.


    Cisco ACI bietet somit die Möglichkeit, alle drei Aufgaben zu lösen.


    Sicherheitsrichtlinien und durch Software definierte Segmentierung: Cisco Preisec und ISE


    In den vorherigen Abschnitten haben wir die Bedeutung der Implementierung von Cisco-Richtlinien und -Lösungen für die Unternehmensnetzwerkinfrastruktur einschließlich des Rechenzentrums angesprochen.


    Ein Schlüsselplatz unter den Politikern ist die Sicherheitspolitik. Angesichts der anhaltenden Zunahme der Aktivität von Eindringlingen und der Fülle von Angriffsvektoren dringen Eindringlinge in das Unternehmensnetzwerk nur eine Frage der Zeit ein. Dies erfordert den Einsatz wirksamer Schutzmaßnahmen unter Bedingungen, bei denen der Angriff bereits stattgefunden hat und die Angreifer in das Netzwerk "eingedrungen" sind (laut ZK Research dringen etwa 80% der Eindringlinge aus dem Inneren des geschützten Bereichs ein.).


    Eine wirksame Sicherheitsmaßnahme in solchen Situationen ist die Unterteilung von Benutzern und Ressourcen in voneinander isolierte Gruppen, zwischen denen nur der zur Lösung von Geschäftsproblemen notwendige Verkehr ausgetauscht werden darf. Wenn die Geschäftsaufgaben nicht den Austausch von Datenverkehr zwischen Gruppen beinhalten, wird dies vollständig blockiert. Ein solcher Ansatz (nach dem Modell des Zero-Trusts oder der "weißen Liste") ermöglicht es, den Schaden durch die erfolgten Angriffe erheblich zu begrenzen und deren weitere Entwicklung durch das Unternehmensnetzwerk zu behindern oder zu verhindern. Zitate:


    • Digital Guardian: "Die Netzwerksegmentierung von Eataly verhinderte, dass ein System an anderen Standorten auf der Welt eingesetzt wurde."
    • US-CERT: "Effektive Netzwerksegmentierung ... reduzieren den Umfang des Netzwerks".
    • Wenn Sie versuchen, das Beste aus Ihrer Gesundheit herauszuholen, können Sie dies tun.

    Traditionell wurde das Segmentierungsproblem gelöst, indem statische virtuelle Topologien und Zugriffssteuerungslisten im Netzwerk erstellt wurden, wobei die IP-Adresse als Entscheidungskriterium verwendet wurde. Wie die Praxis zeigt, erfordert eine solche Vorgehensweise jedoch einen hohen Aufwand, beraubt das Netzwerk der Flexibilität und ist mit erheblichen Implementierungsrisiken verbunden. Im Allgemeinen funktioniert der traditionelle Ansatz umso schlechter, je dynamischer die Segmentierungsumgebung ist und je vielfältiger die Gruppen segmentierter Benutzer und Ressourcen sind. Um das Segmentierungsproblem effektiv lösen zu können, müssen die Zugriffssteuerungsrichtlinien im Netzwerk zentral festgelegt und automatisch angewendet werden.


    Cisco hat eine Technologie entwickelt, die zur Lösung dieses Problems geeignet ist. Bei der Verwendung von Zugriffskontrollrichtlinien werden keine IP-Adressen verwendet, sondern SGT-Tags (Scalable Group Tag) als Kriterium für die Anwendung von Zugriffssteuerungsrichtlinien. Tags werden vom Cisco ISE-Server basierend auf den Ergebnissen der Authentifizierung und Autorisierung des Benutzers oder Geräts automatisch an Benutzergruppen an der Domäne-Grenze von Credec zugeteilt. Anschließend wendet die Netzwerkinfrastruktur Zugriffssteuerungsrichtlinien basierend auf dem Wert von Tags und auf Regeln basierenden Tags an. Diese Regeln werden vom Administrator zentral auf dem Cisco ISE-Server festgelegt und automatisch als SGACL-Zugriffssteuerungslisten auf die Elemente der Netzwerkinfrastruktur geladen. Die Regeln können auch in der Schnittstelle des DNA Center-Controllers festgelegt werden. In diesem Fall werden sie mit Cisco ISE synchronisiert und dann über die Netzwerkinfrastruktur verteilt.


    SGT-Tags werden als Kriterium für die Implementierung von Zugriffssteuerungsrichtlinien für Netzwerkinfrastrukturelemente wie Switches und Router sowie für Cisco Firepower-Firewalls, Cisco Web Security Appliance-Server für den Webverkehr und andere Geräte verwendet.


    Cisco ISE kann im SD-Access-Campus-Netzwerk und im ACI-basierten Rechenzentrum als einzige Quelle für Identifizierungsinformationen (Identitätsinformationen) verwendet werden. In diesem Fall enthält die ISE die Gruppen-IP-Adresszuordnungen für die SGT-Labels im Campusnetz und die EPG-Hostgruppen in der ACI-Umgebung. Auf diese Weise können Sie End-to-End-Richtlinien in der IT-Infrastruktur des Unternehmens erstellen.


    Darüber hinaus implementierte Cisco die Schnittstellen REST API und Cisco Platform Exchange Grid (pxGrid) von ISE, die die Automatisierung und Integration von Informationssicherheitslösungen in einem einzigen kontextsensitiven System ermöglichen, das die Funktionen der Systemkomponenten ausnutzt.


    Als Ergebnis erhalten Unternehmen flexible, skalierbare und leistungsstarke Segmentierungs-Tools, die zur Automatisierung von Zugriffssteuerungsrichtlinien geeignet sind. Solche Mittel sind notwendig, um die Aufgaben der Umsetzung von Richtlinien und der Orchestrierung zu lösen.


    Analytik und Telemetrie


    Die Anforderungen des modernen Geschäfts an die Verfügbarkeit von IT-Infrastrukturen sowie die effiziente und effektive Umsetzung von Richtlinien führen dazu, dass neue Werkzeuge benötigt werden. Es ist wichtig, dass Administratoren sicherstellen, dass die Infrastruktur wie vorgesehen funktioniert, und erforderlichenfalls Maßnahmen ergreifen, um die Infrastruktur so schnell wie möglich in den Zielstaat zu bringen. Aus diesem Grund achtet Cisco auf Analyse und Telemetrie. Betrachten Sie einige von ihnen.


    Campus Network Analytics und Telemetrie: DNA Center Assurance


    Im Verlauf des Netzwerkbetriebs und der Fehlerbehebung verwenden Administratoren traditionell eine Vielzahl unterschiedlicher Tools und Informationsquellen, um die Geschäftskontinuität zu gewährleisten. Wie die Praxis zeigt, hat dies jedoch mindestens drei gravierende Nachteile.


    Erstens, ein eher reaktiver als proaktiver Ansatz zur Verwertung. Die verfügbaren Tools helfen wenig bei der Prävention. In den meisten Fällen lösen Administratoren Probleme, verhindern sie jedoch nicht.


    Zweitens erschweren zahlreiche unterschiedliche Tools die Bedienung und Fehlerbehebung und vermitteln kein ganzheitliches Bild von dem, was passiert.


    Drittens führt die Fülle von Daten, die verarbeitet und verstanden werden müssen, zu Überlastung und beschleunigt die Lösung von Problemen nicht. Administratoren benötigen keine Daten als solche, sie benötigen Schlussfolgerungen.


    Um diese Probleme zu lösen, implementierte Cisco die auf einem DNA Center-Controller basierenden Assurance-Analysefunktionen. Sie bietet die Möglichkeit, die Verfügbarkeit von Geschäftsprozessen zu erhöhen, indem Probleme in der Netzwerkinfrastruktur proaktiv identifiziert und gelöst werden.


    Das Prinzip von Assurance basiert auf der Erfassung von Servicedaten, Streaming-Telemetrie und Kontextinformationen aus der Netzwerkinfrastruktur, Clientgeräten und Service-Servern wie Cisco ISE sowie ITSM- (IT Services Management) und IPAM-Systemen (IP Address Management).


    Assurance analysiert und korreliert die gesammelten Informationen in Echtzeit mithilfe von Analyse- und Machine Learning-Tools. Basierend auf den Ergebnissen bietet Assurance dem Administrator ein umfassendes Bild der Vorgänge, einschließlich Schlussfolgerungen zum Zustand der Netzwerkinfrastrukturelemente und Clientgeräte, Probleme und Trends sowie spezifische Empfehlungen und Schritte zur Fehlerbehebung. Darüber hinaus bietet Assurance Unterstützung bei der Lösung von Vorfällen durch die automatisierte Umsetzung der ausgegebenen Empfehlungen.


    Infolgedessen können Sie mit Assurance den ordnungsgemäßen Betrieb Ihrer IT-Infrastruktur sicherstellen und erforderlichenfalls sofort konkrete Maßnahmen zur Behebung von Vorfällen ergreifen, um Administratoren dabei zu helfen, die Geschäftskontinuität zu gewährleisten.


    Analytics und Data Center Telemetry: Cisco Tetration Analytics


    Eine wirksame Politikentwicklung erfordert ein verbindliches Verständnis der Informationsflüsse, für die diese Richtlinien entwickelt werden. Ein solches Verständnis des Unternehmensnetzwerks kann durch Analyse der Geschäftsprozesse erhalten werden, die auf dem Netzwerk ausgeführt werden. Diese Analyse zeigt die wichtigsten Anwendungen, die für Unternehmen benötigt werden, die Protokolle, auf denen diese Anwendungen basieren, den Ort der Quellen und der Verbraucher von Informationsflüssen.


    Diese im Unternehmensnetzwerk bereits schwierige Aufgabe wird unter den Bedingungen eines modernen Rechenzentrums besonders schwierig. Dies geschieht, weil die Landschaft moderner Anwendungen, die die erforderlichen Geschäftsdienste implementieren, sehr kompliziert ist. Anwendungen können eine verteilte Architektur mit mehreren Abhängigkeiten aufweisen. Mit der Verbreitung von Mikrodienstleistungen wird das Bild noch komplizierter. Angesichts der Dynamik der Anwendungsumgebung im Rechenzentrum und der Mobilität moderner, virtualisierter Lasten wird die Aufgabe, Informationsflüsse in einem modernen Rechenzentrum zu erkennen und zu analysieren, zu einem sich schnell bewegenden Ziel. In der Praxis ist ein solches Ziel für "manuelle" Analysemethoden aufgrund des enormen Informationsflusses und seiner Dynamik nicht erreichbar.


    Um dieses Problem zu lösen, bietet Cisco eine Plattform Tetration Analytics an, die Datenerfassungs- und Analyseverfahren umfasst. Die Datenerfassung wird durch kompakte Softwaresensoren auf der Ebene von Serverbetriebssystemen, Hardwaresensoren auf Basis integrierter Schaltkreise (ASIC) der entsprechenden Switches der Cisco Nexus 9000-Serie sowie Sensoren zur Verarbeitung von ERSPAN- und NetFlow-Datenverkehr implementiert. Analytics wird durch Software implementiert, die auf einem Hochleistungs-Server-Cluster ausgeführt wird.


    Der Server-Cluster empfängt alle 100 ms hochgenaue Informationen von den Sensoren im Rechenzentrum. Das System analysiert den Informationsfluss in Echtzeit paketgenau mit der Geschwindigkeit des Kommunikationskanals, während die Lösung derzeit auf 25.000 Server (virtualisiert und physisch) skaliert wird. Aufgrund dieser Datenquellen ist Tetration Analytics eine einzigartige Lösung auf dem Markt.


    Cisco Tetration Analytics verwendet Tools für die Verhaltensanalyse und maschinelles Lernen und liefert genaue und relevante Einblicke in den Informationsfluss im Rechenzentrum, die Abhängigkeiten von Anwendungen, die Möglichkeit einer nachträglichen Analyse und Echtzeitanalyse. Dadurch erhält der IT-Service ein tiefes Verständnis der Informationsflüsse und kann so konkrete Maßnahmen ergreifen, um insbesondere wirksame Richtlinien zu formulieren. Darüber hinaus bietet Tetration Analytics auf Basis der erhaltenen Daten- und Machine-Learning-Tools Verhaltensanalysefunktionen. Die Erweiterung der Fähigkeiten zur Erkennung und Abwehr von Bedrohungen ist auch durch die Integration mit dem speziellen Verhaltensanalysesystem Cisco Stealthwatch sowie zukünftig durch die Interaktion mit dem Cloud-Sicherheitsdienst Cisco Talos (in den Plänen) möglich.


    Tetration Analytics bietet die Möglichkeit, Sicherheitsrichtlinien automatisch an Hosts im Rechenzentrum zu verteilen und diese mithilfe vorinstallierter Softwareagenten auf dem neuesten Stand zu halten. Agenten übersetzen Richtlinien in Systemfirewallregeln (IP-Tabellen, IP-Set, Windows-FW) und ermöglichen die Implementierung der Nano-Segmentierung von Diensten, indem Dienste und Anwendungen direkt auf Host- und Betriebssystemebene isoliert werden, bevor sie in das Netzwerk gelangen. Durch die Integration mit dem Cisco ISE-Zugriffskontrollserver werden außerdem die SGT-Tags (Scalable Group Tag) zur Definition von Richtlinien, Anmerkungen usw. bereitgestellt.


    Dadurch wird die Implementierung eines White-List-Modells im Rechenzentrum erheblich erleichtert, wofür ein vollständiges Verständnis des Informationsflusses und die Integration mit spezialisierten Informationssicherheitslösungen sehr wichtig ist.


    Mit Tetration Analytics können Sie mithilfe der offenen REST-API eine Richtlinien-Orchestrierung im Datencenter implementieren.


    Tetration Analytics ist daher ein Schlüsselwerkzeug für die Lösung der Aufgaben zur Implementierung von Richtlinien und Orchestrierung im Rechenzentrum.


    Überwachung und Verwaltung der Softwareleistung: Cisco AppDynamics


    Da moderne Geschäftsprozesse bei ihrer Arbeit zunehmend auf Netzwerkanwendungen und IT-Infrastruktur angewiesen sind, ist es für die ordnungsgemäße Leistung von Geschäftsanwendungen von entscheidender Bedeutung. Dies gilt insbesondere für große Unternehmen, in denen Ausfälle oder auch nur ein nicht optimaler Workflow von Geschäftsprozessen zu Millionenbeträgen führen können.


    Die Ausführung selbst einer einzelnen Geschäftstransaktion umfasst normalerweise mehrere Server und Softwareprozesse, die verteilt und miteinander verbunden sind. Daher ist das Überwachen und Verwalten der Leistung von Geschäftsanwendungen eine sehr schwierige Aufgabe und erfordert spezielle Werkzeuge.


    Zur Lösung dieses Problems ermöglicht die Plattform Cisco AppDynamics. Sie bietet End-to-End-Überwachung und Leistungsverwaltung der gesamten Anwendungslandschaft, von einem Browser auf dem Computer eines Benutzers oder einer Anwendung auf einem mobilen Gerät bis zu Back-End-Anwendungsservern oder -Datenbanken.


    Die Schlüsselkomponenten der Lösung sind die Controller und Software-Agenten, die auf den Hosts installiert sind. Agenten können in eine Vielzahl von Softwareumgebungen integriert werden, einschließlich C / C ++, Java, .NET, Python, PHP, Node.js usw. Darüber hinaus sammeln sie relevante Informationen, darunter Leistungskennzahlen, Bedingungen und Fehler bei der Ausführung von Programmcode und vieles mehr. Agenten senden diese Informationen zur weiteren Analyse und Entscheidungsfindung an den Controller.


    AppDynamics berechnet automatisch die Basiswerte von Leistungskennzahlen, die für eine bestimmte Umgebung „normal“ sind. Mithilfe dieser Metriken, die vom Administrator der Richtlinie festgelegt und von Agenten erhalten wurden, erkennt das System Leistungsanomalien und hilft, die Ursache des Problems zu lokalisieren.


    Infolgedessen bietet das System eine durchgehende Überwachung und Leistungsverwaltung von Geschäftstransaktionen und -anwendungen, von einem Browser auf dem Computer eines Benutzers oder einer Anwendung auf einem mobilen Gerät bis hin zu Back-End-Anwendungsservern oder -Datenbanken sowie zur Überwachung der Leistung von IT-Infrastrukturhardware, einschließlich Servern und Netzwerkgeräten.


    Darüber hinaus bietet das System als Teil des Funktionsumfangs von Business iQ dynamische, umfangreiche Daten zu jedem Geschäftsvorfall und bietet eine Analyse von Geschäftskennzahlen, die mit Anwendungsleistungskennzahlen korreliert sind. AppDynamics kann so Antworten auf geschäftliche Fragen geben, beispielsweise die Auswirkungen von Vorfällen oder Änderungen in der IT-Infrastruktur auf den Umsatz eines Unternehmens.


    AppDynamics bietet auch eine umfassende Integration mit anderen Systemen über Erweiterungen und die REST-API. Dies macht das Produkt zu einem geeigneten Werkzeug, um das Problem der End-to-End-Orchestrierung zu lösen.


    Verhaltensanalyse des Netzwerkverkehrs: Cisco Stealthwatch


    Die Sicherheitsfunktionen in der Cisco-Architektur sind nicht auf die Zugriffskontrolle beschränkt, sondern umfassen eine Reihe von Sicherheitsfunktionen, die miteinander integriert sind.


    Das wichtigste Sicherheitstool, das im Umkreis des Unternehmensnetzwerks ausgeführt wird, ist Cisco Stealthwatch Enterprise.


    Mit Stealthwatch können Sie Verhaltensrichtlinien festlegen, die dem normalen Netzwerkverkehrsprofil entsprechen. Politiker können sowohl hochrangig als auch sehr detailliert sein. Als Nächstes analysiert Stealthwatch mithilfe von Netzwerktelemetriewerkzeugen wie NetFlow, IPFIX usw. den Datenverkehr, der durch das Netzwerk geleitet wird, auf Einhaltung der angegebenen Richtlinien und identifiziert Anomalien. Informationsquellen können sowohl Elemente der Netzwerkinfrastruktur sein, als auch Router, Switches, Firewalls und Personal Computer des Benutzers mit dem NVM-Softwareclient (AnyMail Network Visibility Module) von Cisco.


    Die Analyse deckt alle Bereiche des Netzwerks ab, aus denen Stealthwatch Telemetrie empfängt, und alle Verkehrsrichtungen. Administratoren erhalten so ein detailliertes Verständnis des Sicherheitsbildes im Netzwerk, anhand dessen konkrete Maßnahmen ergriffen werden können.


    Stealthwatch kann auch mit pxGrid in den Cisco ISE-Zugriffskontrollserver integriert werden. Auf diese Weise können Sie dynamische Zugriffssteuerungsrichtlinien für Geräte basierend auf ihrem "Verhalten" implementieren, z. B. den Zugriff auf einen Angreifer sperren oder ihn auf der Grundlage von Verhaltensanalysedaten von Stealthwatch in ein Quarantänennetzwerk übertragen. Diese Lösung wird als Cisco Rapid Threat Containment bezeichnet und umfasst eine Reihe von Cisco-Sicherheitsprodukten.


    Darüber hinaus kann Stealthwatch Bedrohungen auch bei verschlüsseltem Verkehr erkennen (ohne ihn zu entschlüsseln), indem eine Reihe von Metadaten analysiert werden, z. B. Reihenfolge und Zeitpunkt von Paketen, Verteilung von Bytes sowie Analyse des Vorgangs zum Aufbau einer verschlüsselten TLS-Verbindung. Diese Funktion wird als Encrypted Traffic Analytics (ETA) bezeichnet und ist verfügbar, wenn Enhanced NetFlow-Telemetrie von modernen Cisco-Netzwerkinfrastrukturelementen empfangen wird.


    Alles zusammen setzen


    Zusammen bilden die betrachteten Komponenten ein vollständiges, integriertes System, mit dem Sie alle drei Aufgaben lösen können: zuverlässigen Transport, Implementierung von Querschnittsrichtlinien und deren Orchestrierung.


    Separate Technologien und Komponenten wurden von Cisco seit langem entwickelt und sind erst seit einem Jahr auf dem Markt Es wird Zeit, sie zu kombinieren und eine ganzheitliche Lösung zu entwickeln.


    Basis dieser Lösung ist das Konzept einer Netzwerkfabrik, die das gesamte Netzwerk abdeckt. Es ist die Netzwerkfabrik, die Möglichkeiten für die effiziente Lösung der Aufgaben der Implementierung von End-to-End-Richtlinien und Orchestrierung bietet, die in klassischen Netzwerken nicht verfügbar sind und auf derselben Netzwerktopologie basieren.


    Durch die Steuerung der Netzwerkstrukturüberlagerung legen Cisco-Controller automatisch Richtlinien fest, die für das Kernnetzwerk transparent sind. Diese Transparenz bietet Flexibilität bei der Umsetzung von Richtlinien und unterscheidet die Architektur von Netzwerken der neuen Generation von klassischen Netzwerken, in denen es äußerst schwierig ist, Richtlinien ohne Auswirkungen auf den Transport zu implementieren.


    Die End-to-End-Netzwerkfabrik im gesamten Unternehmen sowie die von einem einzigen Hersteller entwickelten und integrierten Komponenten setzen neue Maßstäbe und Orchestrierungsmöglichkeiten, die in Unternehmensnetzwerken praktisch nicht vorhanden sind.


    Die Lösung wird durch die Überwachungs- und Analysedienste ergänzt, die in den vorherigen Abschnitten in die Netzwerkfabrik integriert wurden. Sie automatisieren die Lösung vieler betrieblicher Aufgaben und tragen dazu bei, das Sicherheitsniveau, die Produktivität und letztendlich die Verfügbarkeit der Geschäftsprozesse des Unternehmens erheblich zu verbessern.


    Für einzelne Komponenten der Unternehmens-IT-Infrastruktur, wie Campus-Netzwerke und Rechenzentrumsnetzwerke, stehen bereits heute "Boxed" Orchestrierungslösungen auf Basis der DNA Center- und APIC-Controller zur Verfügung.


    Einige große Unternehmen implementieren die Cisco Network Services Orchestrator-Lösung (NSO) als Orchestrierungs-Tool, das das Campus-Netzwerk, das Wide Area Network und das Rechenzentrum-Netzwerk über die Netzwerkinfrastruktur-APIs abdeckt. Zum Beispiel bietet NSO die Orchestrierung der SD-Access-Lösung über die DNA Center-Controller-API.


    Mit den IT-Infrastruktur-APIs von Cisco können Kunden nicht nur schlüsselfertige Produkte von Cisco und anderen Herstellern integrieren, sondern auch eigene Designs implementieren, die die Besonderheiten und individuellen Bedürfnisse des Unternehmens berücksichtigen.


    Die Cisco-Lösung ist heute einzigartig, da Cisco nicht nur der einzige Hersteller ist, der alle betrachteten Bereiche abdeckt, sondern auch in diesen Bereichen führend ist. Darüber hinaus ist Cisco bestrebt, nicht nur ein führender Hersteller von IT-Geräten zu sein, sondern auch ein Geschäftspartner seiner Kunden.


    Geschäftswert


    Welche Vorteile bietet ein Unternehmen durch die Implementierung einer Cisco-Lösung?


    Betrachten Sie diese Vorteile am Beispiel zweier herkömmlicher Netzwerke.


    Das erste Netzwerk ist ein "klassisches" oder AS-IS-Netzwerk, ein Unternehmensnetzwerk ohne auf einer Netzwerkfabrik basierende Lösungen mit einer einzigen Netzwerktopologie, in der die Aufgaben des Transports und die Anwendung von Richtlinien gelöst werden. Das Netzwerk verfügt über zentralisierte Management-Tools, jedoch keine Controller und Orchestrierungs-Tools.


    Das zweite Netzwerk ist das Cisco-Netzwerk oder das TO-BE-Netzwerk, das auf der Basis der End-to-End-Netzwerkfabrik mit Controllern und Orchestrierungswerkzeugen aufgebaut ist. Diese Lösung wird im Abschnitt "Welche Angebote von Cisco" beschrieben.


    Geschäftsvorteile lassen sich in drei Hauptbereiche einteilen:


    1. Umsatzsteigerung;
    2. Kostensenkung;
    3. Risikominderung

    Schauen wir uns genauer an, wie eine Cisco-Lösung einem Unternehmen in jedem dieser Bereiche helfen kann.


    Umsatzsteigerung


    Unternehmensnetzwerke sind im Gegensatz zu Netzwerken von Telekommunikationsbetreibern naturgemäß nicht direkt, sondern indirekt durch die Aufrechterhaltung von Geschäftsprozessen mit den Umsatzerlösen des Unternehmens verbunden.


    Neue Geschäftsprozesse erfordern häufig neue individuelle Richtlinien aus dem Netzwerk, und bestehende Richtlinien erfordern Änderungen und Richtlinienaktualisierungen aufgrund von Änderungen in der Geschäftsumgebung.


    Der Unterschied zwischen dem klassischen Unternehmensnetzwerk und dem Cisco-Netzwerk besteht darin, dass Sie mit dem Cisco-Netzwerk neue Richtlinien schneller implementieren und vorhandene Richtlinien aktualisieren können, um das gewünschte Geschäftsergebnis schneller zu erzielen.


    Der Unterschied ist sehr signifikant. Mit dem Cisco-Netzwerk können Sie in wenigen Minuten erreichen, was in einem klassischen Netzwerk Tage oder Wochen gedauert hat.


    Dies geschieht, weil in einem Cisco-Netzwerk Richtlinien in der Überlagerung automatisch bereitgestellt und aktualisiert werden. Es ist frei von den Schwierigkeiten, die für ein klassisches Netzwerk typisch sind. Aufgrund der Überlagerung werden zum Beispiel Interdependenzen mit Transportfunktionen minimiert. Dank der Überlagerung wird auch das Problem der Inkonsistenz von Konfigurationen gelöst, das die Automatisierung schwierig macht. Aufgrund der Überlagerung und Orchestrierung wurde außerdem die Umsetzung der Geschäftsabsichten in der Netzwerkkonfiguration erheblich vereinfacht, und der Zeitaufwand für die Koordinierung der Implementierung von Richtlinien zwischen Abteilungen wurde minimiert.


    Zeit ist Geld. Unter den Bedingungen der Digitalisierung wird der Einfluss der IT auf die Geschwindigkeit von Unternehmensinitiativen deutlicher. In der modernen Welt werden neue Geschäftsideen in der Regel durch neue Anwendungen implementiert, und der Beginn des Erlöses aus diesen Ideen hängt direkt von der Geschwindigkeit ihrer Umsetzung ab. Daher kann ein Geschwindigkeitsgewinn zu erheblichen finanziellen Ergebnissen führen. Letztendlich trägt es dazu bei, Wettbewerbsvorteile zu erlangen und Marktanteile auszubauen.


    Kostensenkung


    Laut internen Untersuchungen von Cisco wurden Unternehmensnetzwerke 2016 trotz der großen Auswahl an Managementsystemen bisher mehr als 90% der Änderungen manuell vorgenommen. Ein erheblicher Teil der Zeit der IT-Mitarbeiter entfällt lediglich darauf, das Netzwerk in einem einwandfreien Zustand zu halten.


    Unternehmen benötigen auf jeden Fall qualifizierte IT-Spezialisten, um das Netzwerk zu betreiben - sowohl das klassische als auch das SDA-Netzwerk. Letzteres ermöglicht es jedoch, die Zeit, die für die Arbeit mit geringem Mehrwert aufgewendet wird, beispielsweise für Routineoperationen, erheblich zu reduzieren.


    Das Unternehmen würde davon profitieren, wenn das Netzwerk die Zeit und die Anstrengungen der IT-Mitarbeiter von der Routine auf die Lösung wichtiger strategischer Aufgaben umleiten würde, die Unterstützung bestehender Geschäftsprozesse optimieren und bei der Einführung neuer Prozesse helfen könnte, um neue Ergebnisse zu erzielen.


    Die Mitarbeiter würden davon profitieren, wenn sie die Arbeitszeit nicht für Routinearbeiten nutzen, die zur Verbesserung der Fähigkeiten und des Werts auf dem Arbeitsmarkt wenig beitragen, sondern um neue Technologien zu erlernen, neue Lösungen einzuführen und letztendlich dem Arbeitgeber dabei helfen, bestimmte Geschäftsergebnisse zu erzielen.


    Das Cisco-Netzwerk stellt diese Funktionen sowohl für Unternehmen als auch für Mitarbeiter bereit. Orchestrierung und Automatisierung, Orientierung an der Implementierung von Richtlinien und "Geschäftsabsichten", die Möglichkeit der schnellen Implementierung von Netzwerkinfrastrukturelementen und Clientgeräten im gesamten Unternehmen, Analysefunktionen sparen Zeit und Aufwand und ermöglichen eine möglichst produktive Verwendung.


    Risikominderung


    Das Cisco-Netzwerk kann die Risiken des Unternehmens erheblich verringern, die sich aus der Unzugänglichkeit von Geschäftsprozessen und Bedrohungen der Informationssicherheit ergeben.


    Laut Gartner betragen die Kosten für die Leerlaufzeiten von Geschäftsprozessen in einer Unternehmensumgebung Hunderttausende von US-Dollar.


    Die häufigste Fehlerursache im Campusnetzwerk und infolgedessen die Unzugänglichkeit von Geschäftsprozessen - der "menschliche Faktor". Laut Cisco kommt es aus demselben Grund auch zu rund 70% der Verstöße gegen die Unternehmensrichtlinien.


    Dies ist nicht überraschend, da moderne Netzwerke komplex sind. Eine weitere Komplikation ist die Koordination von Aktionen zwischen Geschäfts- und IT- und IS-Abteilungen, wenn jede dieser drei "ihre eigene Sprache spricht".


    Die Cisco-Lösung übernimmt einen erheblichen Teil der Routine, verbirgt die Komplexität des Netzwerks und gibt der Person die Möglichkeit, sich auf das Festlegen von Richtlinien und "Geschäftsabsichten" zu konzentrieren.


    Jedes klassische Netzwerk ist einzigartig in Bezug auf eine Kombination aus konfigurierten Funktionen, einer Reihe von Geräten und Software sowie einer Topologie. Obwohl die Hersteller erhebliche Anstrengungen unternehmen, um neue Produkte zu testen und ihre Qualität zu kontrollieren, besteht eine sehr hohe Wahrscheinlichkeit, dass eine solche "einzigartige" Konfiguration nicht genauso getestet wird wie in der Implementierung. Dies erhöht das Umsetzungsrisiko.


    Im Falle der automatischen Implementierung von Konfigurationen und der Orchestrierung von Diensten sieht das Bild anders aus. Für das Netzwerk werden Konfigurationen implementiert, die als Ergebnis der gemeinsamen Arbeit der Entwickler von Netzwerkinfrastrukturelementen und des Controllers, den Architekten der besten Implementierungspraktiken, erstellt werden. Die Anzahl der Kombinationen von Funktionen in solchen Konfigurationen und deren Eindeutigkeit werden deutlich geringer sein als im klassischen Netzwerk. Solche Konfigurationen sind für Entwickler viel einfacher zu testen. Darüber hinaus sind solche "typischen" Konfigurationen nicht wie beim klassischen Netzwerk einzigartig, sondern werden in vielen Netzwerken auf der ganzen Welt implementiert. Dies reduziert die Risiken der Implementierung.


    Ein weiteres Problem bei klassischen Netzwerken ist die unvollständige Implementierung der erforderlichen Funktionalität, nicht oder nur unvollständige Empfehlungen und Best Practices. Ie Bestehende Geräte und Software verfügen möglicherweise über Sicherheitsfunktionen, hohe Verfügbarkeit usw., die zur Verringerung der Risiken erforderlich sind. Eine solche Funktionalität wird jedoch nicht notwendigerweise tatsächlich implementiert, da IT-Angestellte mit Routinevorgängen überlastet und mit Implementierungsschwierigkeiten befürchtet werden. Folglich profitiert das Unternehmen nicht von bezahlten, aber nicht implementierten Funktionen, es verringert nicht die Risiken für das Funktionieren von Geschäftsprozessen.


    Unter den Bedingungen eines Zeitmangels der IT-Mitarbeiter neigt die Konsistenz der Konfigurationen der Geräte des klassischen Netzwerks dazu, zu sinken, und die Implementierung von "temporären" halben Maßnahmen anstelle von Systemlösungen nimmt zu. Dies erhöht die Komplexität des Netzwerks. Die Qualität und das Volumen der geleisteten Arbeit leidet ebenfalls. Dadurch steigen die Risiken von Ausfällen und Verstößen gegen die Sicherheitspolitik.


    Das Cisco-Netzwerk bietet eine Lösung für diese Probleme, indem die Implementierung der erforderlichen Funktionen automatisiert und weitere Änderungen vorgenommen werden.


    Darüber hinaus werden die Controller-Funktionen im Bereich Orchestrierung und Automatisierung durch Analysefunktionen ergänzt. Das Cisco-Netzwerk bietet IT-Mitarbeitern umfassende und detaillierte Informationen zu Vorfällen im Netzwerk sowie Schlussfolgerungen zu deren Auswirkungen auf das Netzwerk und die Benutzer. Diese Ergebnisse helfen, schnell konkrete Maßnahmen zur Beseitigung des Vorfalls zu ergreifen.


    Das Cisco-Netzwerk verfügt über eine integrierte Benutzersegmentierungsfunktionalität durch die Technologie von Advantec sowie über Verhaltensanalyse-Tools und automatisierte Reaktion auf Bedrohungen.


    Infolgedessen bietet das Cisco-Netzwerk Business-Tools, um das Risiko von Geschäftsprozessunterbrechungen sowohl aufgrund des „menschlichen Faktors“ als auch aufgrund von Bedrohungen der Informationssicherheit erheblich zu reduzieren.


    Zusammenfassend


    Die Geschäftsorganisation des Unternehmenssegments besteht nicht im Aufbau von Netzwerken, sondern in seinen Kernaktivitäten. Das Netzwerk ist ein Werkzeug, um Geschäftsergebnisse zu erzielen.


    Wahrscheinlich wird es produktiv sein, sich nicht auf die Minimierung der Investitionen zu konzentrieren, sondern die Implementierung oder Modernisierung des Netzwerks als Investitionsprojekt zu betrachten, die Projektrendite mit der Rentabilitätsschwelle der Organisation, der erforderlichen Amortisationszeit und anderen finanziellen Indikatoren zu vergleichen.


    Bei der Analyse der Risiken eines solchen Projekts ist es sinnvoll, nicht nur die Handlungsrisiken zu bewerten, sondern auch die Risiken der Untätigkeit, die Kosten von Chancen, die für "klassische" IT-Infrastrukturen charakteristisch sind.


    Wir können davon ausgehen, dass die Cisco-Lösung besonders für Organisationen geeignet ist, in denen:


    • Dynamisches Geschäftsumfeld;
    • Eine Vielzahl von Geschäftsprozessen, für die individuelle Richtlinien erforderlich sind.
    • Eine große Anzahl von Benutzern und ein großes Netzwerk.

    Digitalisierung sowie Netzwerkfabriken, Automatisierung und Programmierbarkeit sind Trends, die derzeit in der IT-Branche spürbar sind. Da sich diese Trends weiterentwickeln, werden immer mehr Unternehmen von ihnen profitieren. Dadurch erhalten sie auch Wettbewerbsvorteile, indem sie Marktanteile von anderen Unternehmen einnehmen.


    Die Cisco-Lösung bietet diese Vorteile heute.


    Links


    Die Netzwerkarchitektur - die Cisco DNA
    Software-die die Access definiert
    die DevNet: die Cisco DNA - Center die API
    der SD-WAN - Lösung
    der Cisco Application Centric Infrastructure ist
    die DevNet: Application Centric ist Infrastruktur
    der DevNet: die Suche alle Ressourcen , die Sie oben Erforderlichkeit der ACI
    das Cisco tetration
    die Cisco AppDynamics
    AppDynamics von APIs
    der Cisco TrustSec
    die Cisco die Identität Services Engine
    die Cisco Platform Exchange Grid (pxGrid) Cisco Rapid Threat Containment-
    Netzwerk
    Cisco Stealthwatch ETA- Lösungen ( Enterprise Encrypted Traffic Analytics ) für Cisco DevNet: APIs, SDKs, Sandbox und Community für Cisco-Entwickler




    Jetzt auch beliebt: