Ein komplettes Netz auf Basis von Security-Komponenten aufbauen, wie sie Hersteller wie Fortinet und Co liefern? Keinerlei Router oder Switches von klassischen Netzwerkherstellern wie Cisco, Dell, Huawei, HPE, Juniper Networks etc.? John Burke, Autor bei unserer Schwesterpublikation Network World, stieß neulich auf ein Unternehmen, das diesen Ansatz realisiert hat.

Security als Netzwerk

Damit konnte das Unternehmen Security nicht nur zu einem zentralen Bestandteil des Netzes machen, sondern auch von einigen anderen Vorteilen profitieren, nämlich

• Einfache Verwaltung: Es wird nur ein Tool benötigt, um alle Netzkomponenten zu verwalten.

• Einfacher Betrieb: Es gibt nur zwei oder drei Versionen einer Appliance, die sich bis auf Kapazität und Anzahl der Ports alle gleichen.

• Einfache Erweiterung: Die Infrastruktur von Standorten vergleichbarer Größe ist identisch aufgebaut.

Ein weiterer Vorteil dieses Ansatzes ist, dass nur ein kleiner Vorrat an Ersatzgeräten vorgehalten werden muss, um defekte Geräte auszutauschen. Zudem könnte ohne weiteres ein Security-Operations-Center als Service in Anspruch genommen werden, um professionelle Dienste für fast den gesamten übrigen Netzbetrieb zu nutzen.

Die Vorteile

Eignet sich dieser Ansatz für jedes Unternehmen? Jein. Auf der Haben-Seite sind positive Aspekte wie einfacher Betrieb und einfaches Management zu verbuchen, denn es werden nur noch wenige Geräte von einem einzigen Hersteller verwendet. Ferner dürft es unwahrscheinlich sein, dass es zu einer Diskrepanz zwischen Sicherheitsrichtlinien und gelebter Netzwerkpraxis kommt, denn Connectivity und Security sind nicht mehr voneinander getrennt.

Die Nachteile

Dagegen spricht aber, dass auf diese Weise eine IT-Monokultur entsteht, was die Infrastruktur anfälliger für Angriffe macht. Weist etwa das Betriebssystem der Appliances eine Sicherheitslücke auf, dann sind wahrscheinlich das gesamte Netzwerk und alle Standorte zur gleichen Zeit und auf die gleiche Weise gefährdet.

Ist die Security dagegen eine eigene Infrastrukturebene, dann besteht zumindest die Chance, ein Problem Auf der Sicherheitsebene durch geänderte Konfigurationen auf der Netzwerkebene zu entschärfen.

Zudem besteht die Gefahr eines Vendor-Lock-ins. Der Wechsel zu einem anderen Anbieter könnte schwierig sein, da die gesamte Infrastruktur von einem Anbieter abhängt. Was passiert außerdem im Falle einer Übernahme des Anbieters oder wenn dieser ein Unternehmen übernimmt und die Firmen während des Überganges primär mit sich selbst beschäftigt sind? Ist dann der Support für die gesamte Konnektivitätsinfrastruktur in Gefahr, weil Updates etc. ausbleiben?

Fazit

Wägt man die Vor- und Nachteile ab, dann dürfte dieser Ansatz am ehesten für kleinere und mittlere Unternehmen attraktiv sein. Sie haben eher einheitliche und relativ einfache Anforderungen. Zudem verfügen sie in der Regel nur über eine dünne Personaldecke. Und für sie ist es schwieriger, die benötigten Security- und Netzwerkexperten zu finden und zu halten.

Größer Unternehmen dürften dagegen von diesem Ansatz weniger profitieren. Sie haben in der Regel komplexere Umgebungen und Anforderungen, die sich nur schlecht im Rahmen einer Monokultur realisieren lassen. Des Weiteren sind sie eher in der Lage, entsprechendes Fachpersonal für ein gemischtes Ökosystem vorzuhalten. Stattdessen sollten sich größere Unternehmen darauf konzentrieren, ihre Netzwerksysteme zu einem größeren Teil der Sicherheitsinfrastruktur zu machen.