Der Sinn von DDI-Lösungen für Ihre Multi-Cloud-Umgebungen

Die Komplexität und Vielfalt von Multi-Cloud-Umgebungen stellt Unternehmen vor immer grössere Herausforderungen und erfordert robuste und flexible Managementlösungen. Um diese Komplexität zu bewältigen, sind hochentwickelte Werkzeuge erforderlich, die verschiedene Cloud-Dienste nahtlos integrieren, sichern und optimieren können. Mit der zunehmenden Grösse und Komplexität von Multi-Cloud-Umgebungen steigen jedoch auch die Schwierigkeiten bei der Verwaltung und die potenzielle Gefährdung durch Cyberrisiken. Multi-Cloud-Umgebungen bieten Angriffsflächen und Sicherheitslücken, die Hacker:innen gerne ausnutzen. Eines der häufigsten Probleme ist der Mangel an Transparenz im gesamten Multi-Cloud-Ökosystem. Je mehr Ressourcen dem Netzwerk hinzugefügt werden, desto schwieriger wird es, den Überblick zu behalten. Mit dem Ergebnis, dass Unternehmen eine breite Palette von Cloud-Diensten, IoT-Geräten und virtualisierten Funktionen in ihre Umgebung integrieren, aber keine klare, konsolidierte Übersicht über das gesamte Netzwerk haben. Häufig entsteht eine Schatten-IT, die das Problem zusätzlich verschärft. Wieso sind DDI-Lösungen für Multi-Cloud-Anwendungen von Nutzen? DDI-Lösungen sind der Dreh- und Angelpunkt für einen nahtlosen Netzwerkbetrieb in Multi-Cloud-Umgebungen. Sie bieten eine einheitliche Plattform für die Verwaltung aller DNS-, DHCP-Dienste und IP-Adressräume in jeder Cloud- und On-Premise-Umgebung, unabhängig von der Komplexität des Netzwerks. Eine DDI-Plattform unterstützt eine Vielzahl von Netzwerkanforderungen einschliesslich Management, Automatisierung und Sicherheit sowie Anwendungsverfügbarkeit und Verwaltung des gesamten IT-Ökosystems. Die daraus resultierende höhere Betriebseffizienz und die vereinfachte Einhaltung von Vorschriften führen zu

Automatisierung und Single Source of Truth als Schlüssel zum IT-Erfolg

Aus Sicht von IT-Spezialist:innen und bestenfalls ebenso aus Sicht des Managements eines Unternehmens ist die IT-Automatisierung eine sinnvolle Lösung für Probleme im Zusammenhang mit Produktivität, Agilität, Skalierbarkeit und Ressourcenmangel. Einfach ist die Umsetzung der Automatisierung jedoch nicht. Sie erfordert eine technische Leitung, die Definition am besten geeigneter Massnahmen, die Verwendung geeigneter Werkzeuge, die Speicherung von Daten und das Schreiben von Automatisierungscodes. Damit verbunden ist die globale Umgestaltung der gesamten Organisation und der bestehenden Prozesse. Viele Unternehmen haben bereits erkannt, dass vertrauenswürdige Daten der Schlüssel zu einer funktionalen Automatisierung sind. Deshalb nutzen viele NetSecOps-Teams IP Address Management (IPAM) als Single Source of Truth (SSoT). Die folgenden drei Fragen stehen am Anfang des Automatisierungsprozesses: Wie genau sind die verfügbaren Daten, die den aktuellen Zustand des Netzes beschreiben? Sind die anwendbaren Prozesse zwischen den Betriebsteams abgestimmt? Welche Netzmanagement-Tools sind vorhanden (zum Beispiel DDI (DNS, DHCP und IPAM))? Ein pragmatischer Ansatz besteht darin, zunächst Informationen und Daten über das Netzwerk und seine Nutzung in einem Repository zu konsolidieren, das somit als Single Source of Truth dienen kann. Zum Beispiel sollte die Verwaltung aller IP-Adressen, aller Netzwerk-Subnetze, aller WLANs, aller Geräte usw. in der gesamten Netzwerkinfrastruktur innerhalb einer gemeinsamen Lösung erfolgen, die den Zugang zu den verlässlichen Informationen gewährt und eine skalierbare Automatisierung von Serviceanfragen und Service-Assurance-Aktivitäten ermöglicht. Eine IPAM-Datenbank erfüllt die Anforderungen einer Network Source of Truth für alle IP-bezogenen Informationen. Diese vertrauenswürdige Quelle kann nun verwendet werden, um manuelle und automatisierte Aufgaben durchzuführen, die sich auf IP-Subnetz- und Adressinformationen stützen, die idealerweise durch Metadaten über ihre Verwendung, ihre Quelle und ihre nichttechnischen Merkmale ergänzt sind. Dies kann beispielsweise zur Überprüfung oder Änderung der Konfiguration von Routern, Switches oder Firewalls herangezogen werden. Es ist sinnvoll, mit der Automatisierung einfacher Aufgaben zu beginnen. Dafür sind nur einige wenige Codezeilen mit einigen API-Aufrufen an die SSoT erforderlich, um die Informationen zu sammeln, was viel Zeit spart, wenn in Zukunft häufig Änderungen erforderlich sind. Im IPAM kann alles gespeichert werden und die Automatisierungsprozesse werden die entsprechenden Änderungen an der Infrastruktur vornehmen. Wichtig ist, dass Änderungen im IPAM an Benutzer:innen delegiert werden können, auch wenn sie keine Expert:innen für die Infrastrukturkomponente sind, die durch die Automatisierung geändert werden soll. Hier wird die SSoT besonders wertvoll: Alle Benutzer:innen, die für ihre eigene Domäne, einen Standort oder einen Teil des Netzwerks verantwortlich sind, können einfache Daten erstellen und aktualisieren. Sie haben die Gewissheit, dass sie für andere Benutzer:innen nützlich sind und von Automatisierungsprozessen zur Durchführung von Änderungen, Prüfungen und Kontrollen der IT genutzt werden. Änderungen werden ausschliesslich im IPAM vorgenommen und Prozesse auf die Nutzung und Aktualisierung dieser Quelle ausgerichtet. Für jede Aktion, die entweder komplex, riskant oder zeitaufwändig für die IT-Teams ist, wird ein Automatisierungsprozess entwickelt, um die Risiken zu begrenzen, Konfigurationsfehler zu vermeiden, die Zuverlässigkeit zu verbessern und die Betriebskosten zu senken. Damit sind die Vorteile einer IPAM-Lösung für Unternehmen bereits weitgehend genannt: Gewährleistung der Netzwerkzuverlässigkeit Vereinfachung des DDI-Managements Sicherung kritischer Dienste Verbesserung der Teamwork-Effizienz Bereitstellung einer plattformübergreifenden Visibilität Arbeitsabläufe werden vereinfacht Verantwortlichkeiten werden klarer Der Betrieb ist flüssiger Die Fehlersuche ist viel einfacher Seit über 26 Jahren beschäftigen wir uns mit innovativen DNS-, DHCP- und IPAM-Lösungen. Wir unterstützen Sie bei ihren DDI-Projekten von Anfang an. Sei es bei der Ausarbeitung von IPv4-, IPv6-Adressierungskonzepten, DNS- und DHCP-Netzwerk-Architekturen oder bei der Evaluation und Einführung einer DDI-Lösung mit umfassenden Support-Dienstleistungen während des Betriebs.

Warum die richtige DDI-Lösung Unternehmen verändern kann

Geschäftsführende, CIOs und Vorstände müssen sicherstellen, dass ihr Geschäftsmodell für den schnellen Wandel gerüstet ist. Vielen ist jedoch nicht klar, dass eine optimale DDI-Lösung die Grundlage dafür ist und machen irgendwann die bittere Erfahrung, dass die IT-Komplexität das Unternehmenswachstum behindert. Denn Do-it-yourself-Ansätze für die Verwaltung von DNS, DHCP und IP-Adressen sind meist nicht mehr zeitgemäss. Wichtige Netzwerkdienste werden noch mit Tabellenkalkulationen und Open-Source-Software verwaltet. Netzwerkprobleme verhindern die Cloud-Migration oder Automatisierungsinitiativen und steigern Sicherheitsrisiken. Stattdessen benötigen erfolgreiche Unternehmen agile, einfache und nachhaltige Lösungen für ihr Netzwerkmanagement. DNS, DHCP und IP-Adressverwaltung (IPAM) sind die zentralen Dienste, die die Netzwerkkommunikation ermöglichen. Die Integration dieser drei Kernkomponenten des Netzwerks in eine einzige Verwaltungslösung wird als DDI bezeichnet. Die Vorteile in Kürze sind: Ein automatisiertes Netzwerkmanagement vermeidet manuelle Fehler, reduziert Risiken, spart Zeit für IT-Teams und Geld für das Unternehmen. In die Plattform eingebettete Sicherheitsfunktionen durch granulare Zugriffskontrollen und Aktivitätsprotokolle schützen das Netzwerk auf intelligente Weise. Die Echtzeit-Überwachung aller Systeme über eine einzige Ansicht ermöglicht eine tiefere Sicherheit und erlaubt es Unternehmen, teure Ausfallzeiten zu vermeiden, da Probleme schnell erkannt und behoben werden können. Die Erkennung von Diensten und die Konnektivität zwischen Cloud-basierten Anwendungen, lokalen Anwendungen und Microservices können die täglichen Arbeitsabläufe vereinfachen und ermöglichen eine höhere Komplexität innerhalb des Netzwerks. Wir raten dringend dazu, sich von Do-it-yourself-Ansätzen, die sich auf Tabellenkalkulationen oder Open-Source-Software für IPAM stützen, zu trennen. Die komplexen Netzwerkumgebungen können heute so nicht mehr kontrolliert werden. Eine DDI-Verwaltungsplattform, die DNS, DHCP und IP-Adressraum in allen Netzwerken kontrolliert, ist der beste Ansatz. Für Unternehmen, die nicht in der Lage sind, unterschiedliche DNS-Dienste zu konsolidieren, kann auch ein IPAM-Overlay die eine mögliche Lösung sein. Die erste Hürde, wenn IT-Expert:innen eine kommerzielle DDI-Lösung vorschlagen, ist häufig das Management. Menschen ausserhalb des Netzwerks verstehen in der Regel nicht die Bedeutung von DDI-Lösungen. Deshalb ist es eine Herausforderung, das Budget dafür zu gewinnen. Netzwerkexpert:innen müssen genau erklären, wie wichtig es ist, DDI sowohl aus betrieblicher als auch aus sicherheitstechnischer Sicht richtig einzusetzen. Innerhalb eines Unternehmens schätzen IT-Führungskräfte und technische Expert:innen den Stand von DDI häufig sehr unterschiedlich ein. Eine EMA-Studie hat herausgefunden, dass die Mitglieder von Netzwerktechnik-Teams eher einen mittleren Reifegrad angeben, IT-Führungskräfte hingegen sprechen eher von voll ausgereiften DDI-Managementlösungen. Wenn man ehrlich ist, sind Netzwerktechniker:innen in der Regel die wahren Expert:innen in Sachen DDI. Wenn CIOs den wahren Stand der DDI-Reife in ihrem Unternehmen nicht kennen, unterstützen sie keine Investitionen. Heutige Netzwerke erstrecken sich über mehrere unterschiedlichen Plattformen, einschliesslich Multi-Cloud, Software-definiertes WAN, Software-definierte Rechenzentren und das Internet der Dinge. Eine API-zentrierte Architektur bietet viele Vorteile: Sie beschleunigt den Entwicklungsprozess und deckt eine Vielzahl von Funktionen ab, von der Erstellung und Verwaltung von Netzwerken, der Verwaltung von IP-Adressen, der Zuweisung neuer IPs an Geräte, der Verwaltung von Scopes, Leases und Reservierungen bis hin zur Erstellung von DNS-Zonen. Mit der richtigen API sollten DevOps- und NetOps-Teams in der Lage sein, DDI-Dienste problemlos in ihre kontinuierliche Integration / kontinuierliche Bereitstellung einzubinden und gleichzeitig Anwendungen schnell zu prototypisieren und bereitzustellen. Netzwerkteams sollten bei der Gestaltung ihrer DDI-Umgebung sowohl die Cloud-Unterstützung als auch die Integration im Auge behalten. Gute DDI-Lösungen bieten eine zentrale Steuerung und Kontrolle für lokale, virtuelle, hybride Cloud-, Multi-Cloud- und private-Cloud-Umgebungen. Sie lassen sich nahtlos in die nativen DNS- und IP-Konfigurationsdienste von Cloud-Anbietern integrieren. Mit Cloud Discovery und Visibility haben Netzwerkteams volle Transparenz und Kontrolle über die Bereitstellung von Cloud-Netzwerkquellen. Darüber hinaus sollten die Sicherheitsüberwachung und die standardmässige Integration mit IT-Service-Management-Tools Priorität haben. All dies führt zu zusätzlicher Komplexität. Hier stellt der Mangel an qualifiziertem Personal vielen Unternehmen vor Probleme. Netzwerkteams haben vor allem Schwierigkeiten, Mitarbeitende zu finden, die sich mit Netzwerksicherheit und Automatisierung auskennen, zwei Schlüsselkomponenten der DDI-Verwaltung. IT-Organisationen umgehen dieses Problem oft, indem sie Mitarbeitende mit einer guten technischen Grundausbildung einstellen und sie anschliessend aufwendig in fortgeschrittenen Netzwerkfähigkeiten schulen. DDI ist ein wichtiger Faktor für die digitale Transformation eines Unternehmens. Die richtige DDI-Lösung ist ein entscheidender Bestandteil dieser Strategie und sollte ganz oben auf der Agenda stehen. Sind Sie bereit, Ihre DDI-Lösung zu implementieren oder optimieren? Wir unterstützen Sie gerne.

Moderne DDI-Lösungen ermöglichen die erfolgreiche Zusammenarbeit von Netzwerk- und IT-Sicherheitsteams

Die digitale Transformation und damit einhergehend die Einführung der öffentlichen Cloud, Work-from-anywhere-Modellen, die Modernisierung von Rechenzentren, das Internet der Dinge und Edge Computing sind gute Gründe dafür, warum Netzwerk- und Sicherheitsteams eng zusammenarbeiten müssen. Ihre Aufgabe ist es, die Lösung von Sicherheitsproblemen zu beschleunigen, das allgemeine Sicherheitsrisiko zu reduzieren, die betriebliche Effizienz zu verbessern und die Lösung von Problemen bei der Benutzererfahrung zu beschleunigen. Dies gelingt vor allem dann, wenn beide Teams eine erfolgreiche Partnerschaft aufbauen. In der Realität sieht dies häufig anders aus. Ihre Aufgaben sind grundsätzlich gegensätzlich, und ihre isolierten Fähigkeiten und Verwaltungstools stehen ihnen oft im Weg. Beide Teams wollen DNS sichern DNS-Datenverkehr ist die Netzwerkaktivität im Zusammenhang mit DNS-Anfragen und -Antworten. Cyberkriminelle nutzen häufig DNS, um DDoS-Angriffe zu starten, DNS-Server zu kompromittieren, um somit Webserver zu attackieren, oder nutzen den DNS-Datenverkehr, um Malware im Unternehmen zu verbreiten. Deshalb ist es keine Überraschung, dass Sicherheitsteams damit begonnen haben, den DNS-Verkehr zu analysieren. Dazu benötigen sie die Hilfe des Netzwerkteams, um auf diesen Datenverkehr zugreifen zu können. Möglicherweise benötigen sie auch Zugriff auf die DDI-Verwaltungslösung, um zu prüfen, wie der Datenverkehr mit den DNS-Protokollen korreliert. Eine moderne Lösung für die Verwaltung von DNS, DHCP und IP-Adressen (DDI) kann als Grundlage für eine bessere Zusammenarbeit zwischen NetSecOps dienen. Eine Studie von Enterprise Management Associates (EMA) ergab, dass Probleme mit der Datenqualität und der Datenautorität die grösste Herausforderung für erfolgreiche NetSecOps darstellen. Ein guter Zugang zu DDI-Daten hilft den Teams dabei, andere Netzwerkdaten, wie z. B. Pakete, in den richtigen Kontext zu setzen. Er hilft ihnen ausserdem, den geschäftlichen Kontext von IP-Adressen, VLANs, Subnetzen und DNS-Einträgen zu verstehen, um Sicherheitsuntersuchungen zu beschleunigen und Sicherheitsrichtlinien zu optimieren. Es liegt also nahe, den Prozess der Weitergabe von DDI-Daten an das Sicherheitsteam zu automatisieren, indem DDI-Lösungen in wichtige Sicherheitsanalysetools und Daten-Repositorien integriert werden. Der Austausch von Daten kann zwar auch manuell stattfinden, ist aber weniger effektiv und fehleranfällig. DDI-Automatisierung hat die Vorteile, dass Netzwerk- und Sicherheitsteams das gemeinsame Eventmanagement verbessern und den Lebenszyklus der Infrastruktur gemeinsam verwalten können. Darüber hinaus wird die Zusammenarbeit bei der Infrastrukturbereitstellung einfacher. So können sie beispielsweise gemeinsam sicherstellen, dass die Betriebssysteme aller Netzwerkgeräte auf dem neuesten Stand und vollständig gepatcht sind. DDI-Automatisierung bringt NetSecOps zusammen Wenn Netzwerkspezialisten Schwierigkeiten haben, mit dem IT-Sicherheitsteam zusammenzuarbeiten, sollten sie auf die Möglichkeiten ihres DDI-Tools zurückgreifen. Es bietet Managementkontrollen und genaue Daten, an denen das Sicherheitsteam interessiert ist. Netzwerkteams müssen ihre Sicherheitskolleg:innen über diese Möglichkeit aufklären – oder umgekehrt. So bieten beispielsweise viele DDI-Anbieter DNS-Sicherheitsprodukte an, die Unternehmen in ihre Zero-Trust-Strategien integrieren können. Die meisten Sicherheitsteams sind sich der Bedrohungen, die im DNS-Datenverkehr lauern, durchaus bewusst. Ein Netzwerkbetriebsteam kann die Lücke in der Zusammenarbeit schliessen, indem es ihnen eine Lösung für diese Bedrohungen bietet.

Hybride Arbeitsformen: Wie managt man am besten das DNS?

Viele Unternehmen haben in der Pandemie erkannt, dass hybride Arbeitsformen zeitgemäss und ebenso produktiv sind, wie die ständige Anwesenheit am Arbeitsplatz. Vorausgesetzt, die IT-Infrastruktur des Arbeitens ausserhalb des Unternehmens funktioniert. Die sichere Anbindung an die Cloud- und On-Premise-Systeme und -Anwendungen des Unternehmens bleiben ein heikles Thema. Solange sich Mitarbeitende auf dem Firmengelände befinden, steht die gesamte Sicherheitsinfrastruktur zur Verfügung, um die Benutzer:innen, die Anwendungen und die Daten des Unternehmens zu schützen. Anders verhält es sich, wenn die Mitarbeitenden nicht vor Ort sind, angefangen beim Domain Name System (DNS). DNS ist einer der geschäftskritischsten Network Services in der IT. Die Vielzahl und Komplexität von DNS-Angriffen entwickeln sich aussergewöhnlich schnell. Wenn die DNS-Server ausfallen oder gehackt werden, sind Applikationen und IT-Netzwerkdienste nicht mehr erreichbar. Entlastung des VPNs durch Private DNS Für Remote-Arbeit bestand die ursprüngliche Lösung darin, VPNs einzurichten, die die Geräte der Mitarbeitenden mit einem VPN-Konzentrator des Unternehmens verbinden. Dieser ist wiederum mit dem Unternehmensnetzwerk verbunden und hat die Funktion eines Gatekeepers, der zusätzlich den Datenverkehr verschlüsselt. Diese Lösung funktioniert zwar gut, kann aber kostspielig und datenintensiv werden. Die Leistung, die der VPN-Konzentrator erbringen muss, ist immens und treibt die Kosten für den Internet-Uplink am Unternehmensstandort als auch für das Modell und die Lizenzen der VPN-Konzentrator-Appliance in die Höhe. Weiterhin besteht das Risiko, dass neue Geräte oder die neueste Version eines Betriebssystems (noch) nicht vom VPN-Client-Agenten unterstützt werden, so dass die IT-Abteilung sicherstellen muss, dass auf allen angeschlossenen Geräten die richtige Version des VPN-Clients verwendet wird. Letztlich ist die alleinige Nutzung eines VPNs auch nicht effizient, da der gesamte Unternehmensdatenverkehr aller Remote-Benutzer:innen zum VPN-Konzentrator zurückgeleitet wird. Stattdessen könnte der Datenverkehr der Cloud- und SaaS-Anwendungen des Unternehmens direkt über den Breitband- oder 5G-Internetzugang des Remote-Standorts gesendet werden. Die Lösung: Kontrollieren und steuern Sie die Anwendungen und Unternehmensressourcen, auf die Remote-Benutzer:innen zugreifen dürfen, und den Datenverkehr, der wirklich an das Unternehmensnetzwerk gehen muss. Alle IP-Verbindungen zu Anwendungen oder Ressourcen beginnen mit einer DNS-Anfrage. Die Kontrolle des DNS-Dienstes, den Remote-Mitarbeitende nutzen, gewährleistet die Sicherheit, die Vertraulichkeit und den Datenschutz Ihrer DNS-Verbindungen und ermöglicht gleichzeitig die Weiterleitung Ihres Datenverkehrs entsprechend der angeforderten Ressource oder Anwendung. Auf diese Weise können Sie die Nutzung des VPNs auf den Datenverkehr beschränken, der an das Unternehmensnetzwerk gesendet werden muss, und gleichzeitig alle Anwendungen kontrollieren, auf die Ihre Mitarbeitenden intern oder in der Cloud zugreifen. Die Möglichkeit, einen allgegenwärtigen DNS-Dienst für hybride Mitarbeitende bereitzustellen, wird als Private DNS bezeichnet. Verwaltete DNS-Dienste oder Private DNS Sie haben zwei Optionen, Ihren Benutzer:innen und deren Geräten einen solchen Dienst zur Verfügung zu stellen. Die erste und einfachste Möglichkeit besteht darin, die Dienste eines Managed DNS Service Providers in Anspruch zu nehmen. Alternativ dazu können Sie einen eigenen privaten DNS-Dienst für Ihr Unternehmen aufbauen, entweder über TLS (DoT) oder über HTTPS (DoH). DoT stellt eine TLS-Verbindung zwischen dem TCP-Stack des Geräts und dem DNS-Server Ihres Unternehmens her. DoH hingegen stellt eine https-Verbindung zwischen einem Webbrowser des Geräts und der DNS-Infrastruktur des Unternehmens her. Beide unterstützen dieselben DNS-Dienste und sind agentenlos, wobei die erste Variante für alle vom Betriebssystem unterstützten Anwendungen auf dem Gerät funktioniert, während die zweite Variante nur für Webanwendungen funktioniert. Wenn Sie für Ihr Unternehmen • garantierte Vertraulichkeit des DNS-Verkehrs und der Daten Ihrer hybriden Mitarbeitenden, • bessere Kontrolle und verstärkte Sicherheit Ihrer DNS-Infrastruktur zum Schutz Ihrer Anwendungen, Benutzer:innen und Daten, • hohe Verfügbarkeit und Ausfallsicherheit möchten, lohnt es sich, über die Sicherung des DNS mittels einer privaten DNS-Infrastruktur nachzudenken. Gerne beraten wir Sie.

Mittels zentralisierter DNS-Verwaltung und grösserer Netzwerksicherheit für Multi-Cloud-Infrastrukturen können Unternehmen agiler und effizienter handeln

Mittels zentralisierter DNS-Verwaltung und grösserer Netzwerksicherheit für Multi-Cloud-Infrastrukturen können Unternehmen agiler und effizienter handeln Virtualisierung und Cloud Computing haben IT-Infrastrukturen ein neues, noch nie dagewesenes Mass an Vorteilen gebracht: Schnelligkeit, bessere Performance, höhere Ausfallsicherheit, mehr Flexibilität und Agilität. Der Trend zur Nutzung unternehmenseigener und öffentlicher Clouds beschleunigt sich, um den ständigen Bedarf an kürzeren Markteinführungszeiten, höherer Produktivität und Kosteneinsparungen zu decken. Vor allem Hybrid- oder Multi-Cloud-Architektur zeichnet sich durch eine hohe Managementkomplexität aus, da jede Plattform über ihre eigenen Tools und Prozesse verfügt. Daher ist die durchgängige Automatisierung des IT-Managements zum Schlüssel für eine erfolgreiche Cloud-Strategie geworden, in der DDI (DNS, DHCP, IP-Address Management) und Netzwerkautomatisierungslösungen eine wichtige Rolle spielen, wenn es darum geht, globale Transparenz, einheitliches Ressourcenmanagement und Prozessautomatisierung zu gewährleisten. Laut den Analyst:innen von Gartner werden bis 2025 mehr als 85 Prozent der Unternehmen Cloud-First-Strategien anwenden. Interessanterweise betrachten allerdings nur knapp 9 Prozent der CIOs in der Schweiz Cloud-Schwachstellen als Bedrohung der Cybersicherheit. Zu diesem Ergebnis kommt die Swiss-IT-Studie der Zeitschrift Computerworld. DDI ist der Grundpfeiler der IT-Modernisierung und spielt eine unternehmenskritische Rolle: DNS-Server sind für das Routing der Zugriffe auf praktisch alle Applikationen und Dienste verantwortlich, DHCP-Server stellen IP-Adressen für die Verbindung mit dem Netzwerk bereit, das IPAM legt die Struktur des IP-Routings fest und verwaltet das zentrale Repository der DDI-Ressourcen, um eine präzise Visibilität, die Konsistenz des gesamten Netzwerks und die Durchsetzung der Richtlinien zu garantieren. In der Praxis bedeutet das: Die Erfahrungen, die Ihre Kund:innen, Geschäftspartner:innen oder Beschäftigten mit Ihrem Unternehmen machen, ist in hohem Mass von der Leistung, der Resilienz und der Verfügbarkeit der öffentlichen DNS-Infrastrukturen abhängig. Funktionsstörungen oder Ausfälle können dazu führen, dass Ihr Unternehmen offline ist oder Ihre E-Commerce-Anwendungen beeinträchtigt werden. Der womöglich häufige Ausfall von wichtigen Anwendungen geht Kund:innen und Mitarbeitenden gewaltig auf die Nerven. All dies hat Gewinneinbussen und Imageschäden zur Folge. Hacker profitieren von Ihren Schwachstellen und suchen sich leichte Opfer aus.

Defense-in-Depth heißt das Gebot der Stunde

Düsseldorf, 16. Februar 2022 – Um sich vor immer raffinierteren Cyberangriffen zu schützen, reichen klassische Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung oder Antivirenprogramme nicht aus. Unternehmen müssen deshalb einen Defense-in-Depth-Ansatz verfolgen und dabei vor allem die Sicherung von Identitäten und von privilegierten Zugriffen in den Mittelpunkt stellen, meint Sicherheitsexperte CyberArk. Bei den meisten Angriffen – unabhängig davon, wer dahintersteckt – ist die Identitätsebene der erste Einstiegspunkt in das Netzwerk eines Unternehmens. Dabei hat sich in vielen Fällen gezeigt, dass Angreifer in der Lage sind, in kompromittierten Umgebungen einen dauerhaften, unentdeckten und langfristigen Zugang aufrechtzuerhalten, indem sie unter anderem legitime Anmeldedaten verwenden. Zur Gefahrenabwehr auf Endgeräten sollte ein Unternehmen zum einen auf bewährte Praktiken zurückgreifen. Es betrifft etwa die Implementierung einer MFA (Multi-Faktor-Authentifizierung), die Einführung von EDR (Endpoint Detection and Response)- und AV (Anti-Virus)-Lösungen, die Nutzung einer Firewall, die regelmäßige Installation von Patches und – soweit erforderlich – die Verwendung von sicheren Passwörtern. Zum anderen sind aber zusätzliche Schritte zur Erhöhung der Cybersicherheit im Rahmen eines Defense-in-Depth-Ansatzes erforderlich. Dazu gehören folgende Maßnahmen: 1. Einsatz von Lösungen für die Applikationskontrolle: Unternehmen müssen die Ausführung unbekannter EXE-Dateien blockieren, da sie potenziell gefährliche Befehle enthalten können. Das Nachladen von Schadcode und dessen Ausführung auf dem kompromittierten Endgerät ist bei nahezu allen Einbrüchen in IT-Systeme Bestandteil einer Attacke. 2. Beschränkung von Zugriffsrechten: Unverzichtbar sind die konsequente Umsetzung eines Least-Privilege-Konzepts und die Deaktivierung nicht benötigter Konten. Die Begrenzung von Privilegien ist von entscheidender Bedeutung, da Angreifer durch den Diebstahl von Anmeldeinformationen auf kritische Informationen zugreifen können. Dabei sollte auch eine Just-in-Time-Ausweitung von Berechtigungen unterstützt werden. Das heißt: Wenn ein Anwender erhöhte oder höchste Rechte für das Arbeiten auf dem System oder die Ausführung bestimmter Arbeitsschritte benötigt, dürfen diese Rechte nur temporär und zweckbezogen – auf das Binary oder die Aktion – vergeben werden. Threat-Detection-Funktionen können dabei die Erkennung und Unterbindung von Angriffsversuchen beschleunigen.

Die Schlüsselrolle von Smart DDI für Ihre Netzwerksicherheit und das Netzwerkmanagement

Netzwerksicherheit und Datenschutz werden in diesem Jahr zweifelsohne in allen Branchen ganz oben auf der Agenda stehen, weil Nutzer:innen auf wichtige Apps, Dienste und Daten zugreifen müssen, egal ob am Arbeitsplatz, im Homeoffice oder von unterwegs. Ebenfalls von entscheidender Bedeutung ist die Risikobegrenzung im Bereich des Internets der Dinge (IoT), da die Anzahl der Geräte durch 5G exponentiell ansteigt. Sichtbarkeit und Kontrolle über Netzwerke sind also von grundlegender Bedeutung für eine effiziente IT-Verwaltung, Automatisierung und Sicherheit. Dabei kommt DDI (DNS-DHCP-IPAM) in allen Bereichen eine Schlüsselrolle zu, basierend auf seiner einzigartigen Fähigkeit, IP-Daten als Source of Truth im Netzwerk und eine frühe Sichtbarkeit des Datenverkehrs zu bieten. Auf den folgenden vier Bereichen der Netzwerksicherheit und des Netzwerkmanagements wird in diesem Jahr voraussichtlich der Fokus liegen. Verstärkte Zugriffskontrolle Effektives Zero Trust erfordert die Kontrolle darüber, welche Geräte auf welche Anwendungen, Domänen und Dienste zugreifen können. Oft wird die Authentifizierung verwendet, die Anmeldung und Kennwort prüft. Dann allerdings sind Benutzer:innen bereits auf dem Portal und die Tür steht offen für Malware. Das von Firewalls angewandte Denylisting erlaubt lediglich, eine Gruppe für alle Clients zu erstellen. Es ist anzunehmen, dass IT-Abteilungen App-Zugangskontrollen erheblich verbessern werden, indem der Zugang für bestimmte Geräte beschränkt wird, während andere Geräte die Kontrolle passieren können. Um die dafür erforderliche Granularität zu erreichen, ist eine Mikrosegmentierung erforderlich, d. h. Unternehmen werden zum Filtern bis auf Client-Ebene gehen. Die Einrichtung und Wartung von Firewalls ist jedoch äusserst komplex und unter Umständen sehr kostspielig.

Netzwerkautomatisierung und Netzwerksicherheit dank intelligenten IPAM-Systemen

In dem Masse, in dem sich unternehmensrelevante Technologie weiterentwickelt, steigt auch der Bedarf an einem komplexeren Netzwerk, das für eine sichere Verbindung aller Beteiligten sorgt. Eine automatisierte IP-Adressverwaltung (IPAM) erleichtert den Aufbau und die Pflege der Netzwerke, Subnetze und IP-Adressen. Sie hilft ausserdem, das Netzwerk insgesamt aufrechtzuerhalten und spart Ressourcen. Tabellenkalkulationen, benutzerdefinierte Skripte und andere Methoden mögen sich in der Vergangenheit bewährt haben. Das war jedoch, bevor der Bedarf an mehreren Geräten pro Benutzer, Cloud Computing, IoT und andere Innovationen für Unternehmen auf der ganzen Welt unverzichtbar wurden. Von verbesserter Zuverlässigkeit bis hin zu allgemeiner Effizienz gibt es gute Gründe für eine Umstellung auf eine intelligente IPAM-Lösung: Menschen machen Fehler Die IP-Adressverwaltung in Excel mag für Netzwerke mit wenigen geografischen Standorten funktionieren, aber IPAM-Tabellen können zu komplex werden, wenn das Netzwerk wächst. Mehrere Benutzer, komplexe Konfigurationen, fehlerhafte Tastenanschläge und fehlende Versionskontrolle können nicht nur dazu führen, dass die Tabelle ungenau wird. Das Netzwerk ist auch gefährdet, wenn versucht wird, Namenskonventionen durchzusetzen und die IP-Planung mit DNS (Domain Name System) und DHCP (Dynamic Host Configuration Protocol) abzustimmen.

Global DNS Threat Report 2021 – Heutzutage werden DNS-Attacken durch Hacker gezielter vorgenommen. Wie sollen die Unternehmungen darauf reagieren?

Im vergangenen Jahr - während der COVID-19-Pandemie - haben Unternehmen ihre digitale Transformation beschleunigt, da die Pandemie weiterhin ein Arbeiten im Home Offices als auch online- oder cloudbasierte Produkte und Dienste erfordert. Aber die digitale Transformation ist nicht der einzige Bereich, der sich während der