Das Ganze ist mehr als die Summe seiner Teile! Das gilt auch und insbesondere für Netzwerke. Bisher verband man ein Gerät mit seiner IP-Adresse mit einem Netzwerk und musste jede neue Komponente mühsam manuell einbinden. Das erforderte Manpower und Zeit, sehr viel Zeit! Oder das neue Gerät bekam einfach all die Rechte, die da sind – unabhängig davon, ob sie dem Gerät beziehungsweise seinem User überhaupt zustanden. Netzwerke waren bisher wirklich komplex – sowohl im Aufbau, als auch im Management. Dabei sieht die Lösung eigentlich ganz einfach aus: Wir müssen nur weg von der Denkweise eines Netzwerks mit einzelnen Komponenten kommen und hin zum Netzwerk als einheitliches System, das seine Intelligenz aus den Applikationen bekommt. Dann erkennt diese Intelligenz, der Controller, um was für ein Gerät es sich handelt und was es im Netzwerk machen darf. Statt Gerätekonfigurationen einzeln durchzuführen, müssen nur noch in einer zentralen Anwendung Rollen für Gerätetypen vergeben werden – schnell, beinahe selbsterklärend und immer regelkonform. Den Rest macht das Netzwerk dann selbst.
Mit Cisco Software-defined (SD) Access (kurz: SDA) hat die IT-Welt das endlich bekommen. Das Netzwerk erhält damit eine zentrale Intelligenz, die automatisch Geräte, deren User und ihre Zugriffsrechte, also ihre Identität und nicht einfach nur die IP-Adresse erkennt. Früher hat man einfach seinen Laptop an eine ungeschützte Netzwerkdose im Büro des CEO angeschlossen und bekam genauso viele Rechte wie der CEO – das ändert sich mit Cisco SD-Access.
Cisco DNA Center: Automatische Erkennung, Zuweisung und Authentifizierung
Cisco SD-Access wird dazu als einheitliches System gebaut mit einem zentralen Controller, dem Cisco DNA Center (kurz: DNAC) – das Gehirn des Netzwerks. Der Controller kann virtualisiert, über eine Software oder als Hardware eingerichtet werden. Hat vorher jede Komponente im Netzwerk ihre eigene Entscheidung getroffen, erkennt der Cisco-Controller, wer was machen darf. Ganz ehrlich: Hätte eine Firma so viele Chefs wie es Komponenten im Netzwerk gibt – es gäbe ein heilloses Durcheinander. Das Cisco DNA Center hingegen liefert statt einzelner Hinweise eine aussagekräftige Antwort auf die im Netzwerk befindlichen Geräte, segmentiert sie und isoliert die User voneinander. Eine einfach zu erstellende Mikrosegmentierung ist die Folge, durch die Mitarbeitende und Geräte nur noch das machen dürfen, was ihnen erlaubt ist – ganz automatisch.
ISE: Die Intelligenz des Cisco Netzwerks
Wichtigster Bestandteil dabei ist die Cisco Identity Services Engine (ISE), die Rollen abfragt. Schliesse ich ein Gerät an ein derart kontrolliertes Netzwerk an, sendet das Netzwerk eine Anfrage an ISE, um das Gerät zu identifizieren und abzufragen, was das Gerät nach der Authentifizierung machen darf. So weiss der Controller immer, wo welches Gerät im Netzwerk ist und findet den besten Weg durch das Netzwerk. ISE profiliert und authentifiziert die Geräte. Dafür werden unter anderem IP-Adresse, Zeit, Hersteller, Anmeldedaten und einiges mehr berücksichtigt. Entsprechend der Ergebnisse teilt ISE die passenden Zugriffsrechte dann zu.
Eigenschaften zuweisen mit pxGrid: Informationsaustausch unter Herstellern
Doch woher weiss und kennt das Cisco Netzwerk mit Cisco SDA die Schwachstellen der vielen Endgeräte, die es weltweit auf dem Markt gibt? Es kommen täglich neue Endgeräte und ihre neuen Schwachstellen hinzu, neue Sicherheitsgefahren tauchen auf und alles ist im ständigen Wandel. Das ISE hat hierfür eine von einer Plattform gefütterte „Intelligenz“: Es erhält tagesaktuelle Informationen aus dem Cisco Platform Exchange Grid (pxGrid). In dieser Cloud-Plattform stellen viele Hersteller ihre kontextbezogenen Informationen anonym zur Verfügung. Wird beispielsweise das Gerät eines Herstellers durch eine Sicherheitslücke in einem Virenblocker angegriffen, veröffentlicht der Hersteller das auf pxGrid. Cisco SD-Access erhält automatisch die Information – weltweit wird das Problem so innerhalb weniger Minuten entdeckt und man kann entsprechend reagieren.
Alles in einem Dashboard, alles automatisch
Einfacher wird es auch durch das Dashboard von Cisco SDA. Statt der durchschnittlich sieben bis elf eingesetzten Dashboards sieht man im Cisco SDA Dashboard mit ISE-Intelligenz bereits nach ein paar Minuten, wo sich welche Geräte im Netzwerk befinden, welche Zugriffsrechte sie haben und welche Geräte nicht mit den Vorgaben konform sind. Brauchte man früher Stunden, um einen neuen Switch in Betrieb zu nehmen, muss man ihn mit Cisco SDA nur an das Netzwerk anschliessen und er wird automatisch provisioniert. Cisco nennt das Zero Touch Provisioning (kurz ZTP), weil man den Switch nicht mehr anfassen muss. Es braucht nur Strom und zwei bis drei Klicks im DNAC, schon wird er automatisch provisioniert, konfiguriert und ins System eingebunden.
Rollen einfach mit wenigen Klicks verteilen, Probleme erkennen
Das spart enorm viel Geld und Zeit, auch bei grösseren Rollouts! Neue Rollen etwa für iPads in Meetingräumen müssen nämlich nur einmal im DNA Center angelegt werden, dann sind alle iPads automatisch betriebsbereit. Das Netzwerk verliert damit seine Komplexität, denn es wird bezüglich der Rollen getunnelt. Die Rolle muss nur im DNA Center erstellt werden – auch das geschieht mit wenigen Klicks. Im Dashboard sind die Endgeräte mit ihren Anwendungen zu sehen und deren eventuellen Probleme. Sie sehen alle angemeldeten User und ihre Zusammenhänge. Probleme sowie deren Ursprung sind schnell erkannt, lokalisiert und behoben. Die mühsame Suche nach dem Ursprung des Problems über CLI-Zugriff entfällt. Das Dashboard stellt das Problem noch dazu in einer menschlich angenehmen Sprache dar. Es meldet einfach: „User hat das Passwort falsch eingegeben.“ Schneller und unkomplizierter geht es kaum.
Cisco SD-Access für grosse oder kleine Unternehmen?
Oft werde ich gefragt, ob man mit Cisco Meraki nicht zum gleichen Ergebnis kommen könnte. Ich denke, bei kleinen Unternehmen ist das wirklich die passendere Lösung. Aber die entscheidenden Faktoren sind Kosten und das benötigte Know-how. Ist Cisco bereits im Einsatz, lohnt sich der Einsatz von Cisco SD-Access sicher. Dann ist das entsprechende Fachwissen vorhanden.
Wir bei Bechtle finden für alle Kunden immer die passende Lösung. Melden Sie sich noch heute für einen unverbindlichen Austausch mit einem unserer Experten an. Wir freuen uns auf Sie.