AVAYA NETWORKING •Die Megatrends Cloud, Mobilität und IoT wachsen zusammen. •Der Schutz von unternehmenskritischen Systemen und Daten tritt immer stärker in den Vordergrund. •Unternehmen können das Risiko von Cyber-Angriffen eindämmen, indem sie ihr Angriffsprofil reduzieren. •Das Begrenzen von Zugriffspunkten und das Tarnen der noch vorhandenen Punkte verkleinert die potenzielle Angriffsfläche erheblich. •Konventionelle Netzwerke SMARTERE NETZWERKE MIT NATIVE STEALTH. DURCH DEN VERZICHT AUF KONVENTIONELLE ANBINDUNGEN, DIE DIE MEISTEN CYBER-ANGRIFFE ERMÖGLICHEN, BIETEN DIE FÄHIGKEITEN VON NATIVE STEALTH EIN REDUZIERTES ANGRIFFSPROFIL UND KÖNNEN UNTERNEHMEN HELFEN, DIE VON HACKERN VERURSACHTEN RISIKEN BEZIEHUNGSWEISE AUSFÄLLE ZU VERRINGERN. Das Verringern des Angriffsrisikos ist ein fundamentaler Grundsatz für Unternehmen in einer Zeit, in der sie Cyber-Angriffe auf ihre Netzwerke eher als die Regel denn als Ausnahme betrachten müssen. Durch die native Einbettung von Stealth-Funktionalität in die Fabric ihrer Netzwerke können Unternehmen die Angriffspunkte für Cyber-Attacken und ihr Risiko erheblich verringern. Verzichten Unternehmen auf konventionelle Anbindung und die Tools, die Hacker in der Regel als Angriffspunkte verwenden, können sie ihr Angriffsrisiko reduzieren und sich stärker auf die Sicherheit konzentrieren. lassen sich ohne Probleme Geschäftsanforderungen abbilden: Das ist gut für Während die Unternehmen mit der digi- die Konnektivität und das talen Umgestaltung befasst sind, wach- Netzwerkmanagement, birgt aber gleichzeitig die Gefahr des Mißbrauchs durch Hacker, da ihnen sen Cloud, Mobilität und IoT zusammen. Unternehmen benötigen einen ganzheitlichen Ansatz, um kritische Systeme und eine übersichtliche Daten zu schützen. Und hierbei muss Angriffsplattform insbesondere die Fähigkeit beachtet geboten wird. werden, das Angriffsprofil des Netzwerks zu reduzieren. Wenn Unternehmen ihr Angriffsprofil reduzieren, können sie die Möglichkeit eindäm- men, Opfer eines Cyber-Angriffs zu werden. Das Beschränken von Zugriffspunkten und das Tarnen der noch vorhandenen Punkte verkleinert die potenzielle Angriffsfläche erheblich, die von potenziellen Hackern genutzt werden kann. Konventionelle Netzwerke haben sich aufgrund einer Reihe von Faktoren zunehmend weiterentwickelt und bilden mittlerweile im Wesentlichen ein reduavaya.com/de | 1 “ Bereits bei Entwicklung der Systeme sollte davon ausgegangen werden, dass sich der „Feind“ im Nu damit auskennen wird. ziertes, geroutetes Backbone mit einer Vielzahl an virtuellen Schnittstellen, die Konnektivität für unterschiedliche Benutzersegmente ermöglicht. In der Praxis erfolgt die Konfigurierung in Form mehrerer Virtual LANs (VLAN) zur Unterstützung der Benutzergruppen, die jeweils über eine geroutete Schnittstelle verfügen (die zu virtuellen Routern geleitet werden). Die Layer 3 Engines im Netzwerkkern pflegen Tabellen mit allen bekannten Routen, ermöglichen Interkonnektivität und schaffen eine Situation, in der Any-to-AnyKommunikation das vorausgesetzte Standardverhalten darstellt. In größeren Netzwerken basiert die End-to-End -Konnektivität faktisch auf einer Serie von Entscheidungen über die Weiterleitung, die Hop-by-Hop erfolgt. Da sie IP-zentriert ist, lässt sich eine konventionelle Netzwerktopologie relativ problemlos und ohne großen Zeitaufwand abbilden. Dies erleichtert zwar das Netzwerkmanagement, erweist sich aber dennoch als zweischneidiges Schwert, da eine effektive Angriffsplattform für Hacker geboten wird. Weil Angriffe – Maxime von Shannon IP-zentriert erfolgen, können sie von jedem beliebigen Punkt innerhalb oder außerhalb des Netzwerks ausgehen. Um diese tatsächlich globale Any-to-Any-Konnektivität kontrollieren zu können, die sich bereits an sich selten als praktisch erweist , entschieden sich Unternehmen häufig dazu, die Konnektivität auf selektive Pfade zu beschränken, sodass Any-to-Any-Verbindungen nicht einfach zu einem Kanal werden, der problemlos von Angreifern ausgenutzt werden kann. Optional lassen sich Access Control Lists (ACLs) oder verteilte physikalische oder virtuelle zustandsorientierte Firewalls einsetzen, beispielsweise für begrenzte Verbindungen zwischen Benutzern und Anwendungen, nicht jedoch für die Verbindungen zwischen Benutzern. Derartige Maßnahmen können kostspielig sein und sind stets komplex in der Planung, Bereitstellung und Wartung. 2 | avaya.com/de NATIVE STEALTH: Sicherheit durch gezieltes Verschleiern Das Begrenzen der Sichtbarkeit im Netzwerk und eine robuste Sicherung der immer noch wahrnehmbaren Punkte dagegen ist ausgesprochen hilfreich, um Angriffsmöglichkeiten auszuschließen. Das proaktive Verschleiern des Netzwerks an und zwischen den Zugangsknoten minimiert das Angriffsprofil und unterstützt die tiefgehende Verteidigung. mehr als 16 Millionen Entitäten. Sie basiert auf dem IEEE 802.1ah Header, in dem der 802.3 Standard-Header und das Datagramm gekapselt sind. Der Header und die Kennung werden am Rand der Domäne angewendet. Die dazwischen liegenden Knoten basieren ihre Weiterleitungsentscheidungen über •Konnektivität wird in der Regel als eine Serie von Entscheidungen über die ein gemeinsames Verständnis der Weiterleitung definiert, die Netzwerktopologie auf dem/den kür- Hop-by-Hop erfolgt. zesten Pfad(en) zum Zielknoten. Dabei nutzen sie die MAC-Adresse von •Da die Weiterleitung IP-zentriert erfolgt, können Destination Edge Bridge (ebenfalls ein Netzwerkangriffe von beliebi- Diese Eigenschaften in ihrer Teil des 802.1ah Header) zur gen Punkten aus gestartet Kombination bieten potenziellen Bestimmung der Zieladresse. werden.. Hacker nur wenig Eindringmöglichkeiten. Der Großteil des Netzwerks bleibt versteckt und der wahrnehmbare Teil ist frei von Anbindungen, die konventionelle Netzwerke verwundbar machen. Der Datenverkehr für einen bestimmten Dienst bleibt am Rand mit dem entsprechenden Header gekapselt, sich häufig dazu, die Konnektivität auf selektive Pfade zu beschränken, sodass wird von allen anderen Diensten/ Any-to-Any-Verbindungen Datenverkehr isoliert und ist für nicht einfach zu einem Kanal dazwischen liegende Netzwerkknoten Avaya liefert eine gänzlich neuartige verschleiert. Damit wir der Bedarf an administrative und operative Intra-Netzwerk ACLs und Firewalls Erfahrung. Die Ethernet-zentrierte eingedämmt. VSNs sind ebenso wie Fabric Connect-Netzwerktopologie ist Hosts in unterschiedlichen VSNs blind aus IP-Perspektive unsichtbar. Es gibt füreinander und es besteht kein Risiko, keine inhärenten Hop-by-Hop-IP- dass die Trennung des Datenverkehrs Wege zu verfolgen, weshalb die zwischen VLANs verloren geht oder Netzwerktopologie nicht mit durch generische Routing-Tabellen IP-basierten Remote-Hacker-Tools durchsickert. zurückverfolgt werden kann. •Unternehmen entscheiden Statt eines konventionellen Any-to- Fabric Connect nutzt eine MAC-Layer- Any wird die gesamte Konnektivität zu Service-ID, die Virtual Service einer bzw. zu einer ganzen Serie von Netzwerk-ID, die eine IP-freie One-to-One-Verbindungen. In ihrer Methode für die einfachsten Form – d. h. zwei Geräte Entscheidungsfindung bei der kommunizieren miteinander über das Weiterleitung des Datenverkehrs bie- Backbone – wird die Konnektivität tet. Diese 24-Bit-Kennung definiert durch das Konfigurieren beider Geräte eindeutig einen bestimmten Dienst nur am Fabric-Rand hergestellt, wobei und bietet Hyper-Skalierbarkeit mit beide zum gleichen VSN gehören. werden, der problemlos von Angreifern ausgenutzt werden kann. •Derartige Maßnahmen können jedoch teuer werden und sind stets komplex in der Planung, Bereitstellung und Wartung. •Eine begrenzte Sichtbarkeit des Netzwerks und eine robuste Sicherung der immer noch wahrnehmbaren Punkte dagegen ist ausgesprochen hilfreich, um Angriffsmöglichkeiten auszuschließen. •Eine proaktive Netzwerkverschleierung minimiert das Angriffsprofil und unterstützt eine in die Tiefe gehende Verteidigung. avaya.com/de | 3 • Fabric Connect bietet potenziellen Hackern nur wenig Angriffsfläche, da es auf die Services, Layer 2 und Layer 3 VSNs sondern gezielt die sind eine Funktion Netzwerktopologie, Lesbarkeit und der expliziten Bereitstellung und die Dienste „entstellt“. typischen Anbindungen ver- Kommunikation zwischen unter- zichtet, die konventionelle schiedlichen Diensten bleibt bis zu Netzwerke verwundbar ihrer gezielten Aktivierung gesperrt. machen. • Das Ethernet-zentrierte Das Netzwerkmanagement wird umfassend unterstützt – es werden hierfür zusätzliche Layer 2-Tools Aufgrund der Bereitstellung direkt am bereitgestellt –, aber die einzelnen Netzwerkrand erübrigt sich jede Geräte können zumeist nur die ande- Fabric Connect bleibt aus der Dienst-spezifische Konfiguration im ren Hosts in ihrem spezifischen virtu- IP-Perspektive unsichtbar, Kern oder an irgendeinem anderen ellen Segment wahrnehmen. Einzelne Fabric Connect-Zwischenknoten. Ist Fabric Connect-Netzwerknoten blei- ein Dienst nur an zwei Knoten vorhan- ben anderen Hosts oder VSNs stan- den, erfolgt die erforderliche dardmäßig verborgen. Bei Aktivierung Konfiguration auch nur genau an die- gibt das ICMP nur die VSN- sen beiden Knoten und nirgendwo Randknoten an, macht jedoch keiner- sonst, unabhängig von der Topologie lei Angaben über das innere oder dem Umfang des Netzwerks. Netzwerk. sodass die Zurückverfolgbarkeit mithilfe IP-gestützter Remote Tools unterbunden wird. • Fabric Connect nutzt zur Datenweiterleitung ein MACLayer-Verfahren, das IP-frei arbeitet. • Der Datenverkehr für einen Damit wird die Konfiguration vollständig revolutioniert und das Paradigma bestimmten Dienst bleibt von geändert: von Hop-by-Hop zu End-to- allen anderen Diensten/ End. Die Konfiguration wird erheblich Datenverkehr isoliert und für vereinfacht und das Risiko von dazwischen liegende Änderungen beseitigt. Netzwerkknoten unsichtbar. • Durch die Bereitstellung Geringeres Angriffsprofil Es ist unmöglich und auch nicht wünschenswert, sich auf jedes mögliche Anwendungssegment an jedem Knoten des Netzwerkrands im Voraus einzustellen. Da einzelne NetzwerkSitzungen nur wenige Minuten, Stunden oder vielleicht Tage dauern können, sorgt Fabric Attach für direkt am Netzwerkrand Für Cyber-Angriffe kommen eine erübrigen sich die spezielle Konnektivität in Netzwerk – VLAN, Vielzahl von Urhebern in Frage: Das QoS, Richtlinien usw. – und erweitert Spektrum reicht von professionell diese dynamisch bis zum Rand. Wie angelegten staatlichen Angriffen bis lange ein Service auch in Anspruch Angreifer weiter einge- zu privaten Attacken mithilfe der rela- genommen wird, seine Bereitstellung schränkt werden. tiv einfachen Tools, die über das Dark erfolgt automatisch ohne vorheriges Web verbreitet und erworben werden. manuelles Konfigurieren oder Ein Ethernet-zentriertes Avaya Fabric menschliche Eingriffe – er wird sozu- Connect-Netzwerk schafft jedoch eine sagen „abgespult“. Analog hierzu wird Topologie, die aus Internet-/ beim Beenden einer Session die nun- IP-Perspektive unsichtbar ist. Es gibt mehr redundante Risiken einzudämmen und die keine inhärenten Hop-by-Hop-IP- Netzwerkkonfiguration automatisch Anstrengungen ihrer Pfade zu verfolgen, weshalb die deaktiviert, vom Zugangsknoten ent- Sicherheitsexperten auf leich- Netzwerktopologie nicht mit ter zugängliche Bereiche fernt und ist damit „Geschichte“. IP-basierten Remote-Hacker-Tools fokussieren. zugeordnet werden kann. Diese Diese Eigenschaften in ihrer Funktionalität beruht auf einem spezi- Kombination bieten potenziellen ellen Designansatz, der nicht bloß Hacker nur wenig „Sicherheit durch Verschleiern“ bietet, Eindringmöglichkeiten. Der Großteil Konfiguration des Kerns für einzelne Dienste, wodurch die Möglichkeiten für potenzielle • Das Reduzieren, Verschleiern oder sogar Vermeiden von konventionellen Schwachstellen kann Unternehmen helfen, ihre 4 | avaya.com/de des Netzwerks bleibt versteckt und und eliminiert fehleranfällige und zeit- der Konnektivität von Netzwerken, der wahrnehmbare Teil ist frei von raubende manuelle die von der kombinierten Power des Anbindungen, die konventionelle Konfigurationsverfahren innerhalb Internet of things und der Smart- Netzwerke verwundbar machen. des gesamten Netzwerks. Zur Infrastrukturen angefeuert wird. Kein Erweiterung oder Änderung beste- Unternehmen kann es sich leisten, die hender Services benötigen Sie nur Bedeutung des Schutzes seines noch wenige Minuten und nicht Tage, Netzwerks, seiner Anwendungen und Wochen oder Monate. seiner Daten zu ignorieren. Ohne Trennung von Diensten Fabric Connect behandelt die Weiterleitung des Datenverkehrs auf geeignete Kontrollen könnte bereits eine grundsätzlich einzigartige Weise, Aufgrund der Bereitstellung direkt am indem es Konnektivität in Form von Netzwerkrand erübrigt sich jede getrennten virtuellen Netzwerken Dienst-spezifische Konfiguration im aufbaut, die nur über speziell dafür Kern oder an irgendeinem anderen vorgesehene Endpunkte miteinander Fabric Connect-Zwischenknoten. Ist Avaya liefert Technologien, die dazu in Verbindung treten. Der ein Dienst nur an zwei Knoten vorhan- beitragen, den „universellen Datenaustausch, der zu einem den, erfolgt die erforderliche Perimeter“ zu sichern. Unternehmen bestimmten Dienst gehört, wird mit Konfiguration auch nur genau an die- können die Angriffsfläche ihrer dem entsprechenden Nachrichten- sen beiden Knoten und nirgendwo Netzwerke signifikant reduzieren und Header am Netzwerkrand abgekap- sonst, unabhängig von der Topologie die Lücken beseitigen, die normaler- selt und bleibt – durchgängig – von oder dem Umfang des Netzwerks. weise von Eindringlingen genutzt allem anderen Verkehr isoliert und für Damit wird die Konfiguration vollstän- werden. dazwischenliegende Netzwerkknoten dig revolutioniert und das Paradigma unsichtbar. geändert: von Hop-by-Hop zu End- Fabric Connect trennt auf einzigartige Weise fremde Dienste voneinander und liefert damit die echte „Ships-in- to-End. Die Konfiguration wird erheblich vereinfacht und das Risiko von Änderungen beseitigt. der Zugriff eines Hackers auf ein einziges Gerät ihm die Schlüssel zur virtuellen Schatztruhe liefern. Es wurde bereits darauf hingewiesen, dass es zwei Arten von Unternehmen gibt: Unternehmen, die HackerAngriffen zum Opfer gefallen sind und es nicht bemerkt haben, und sol- the-Night”-Funktionalität. Damit wird Fabric Attach ermöglicht den auto- che, die gehackt wurden, aber der Bedarf an netzwerkinternen ACLs matischen Anschluss von authenti- Bescheid wissen. Hacker nutzen und Firewalls eingedämmt. VSNs sierten Endpunktgeräten direkt in das IP-gestützte Tools und Techniken, um sowie Hosts in unterschiedlichen entsprechende VSN. Und es ist sich Einlass zu verschaffen und VSNs erkennen sich nicht gegenseitig sowohl im Etagenverteiler als auch Vermögenswerte abzugreifen. Die und es besteht kein Risiko, dass die am Rand des Rechenzentrums von Unternehmen des Trennung des Datenverkehrs zwi- Vorteil, dass Fabric Attach die dyna- Informationszeitalters können die schen VLANs verloren geht oder mische Diensterstellung unterstützt Angriffsfläche ihrer Netzwerke signifi- durch generische Routing-Tabellen und die Verzögerungen und Risiken kant reduzieren und das Risiko von durchsickert. beseitigt, die beim manuellen Cyber-Angriffen senken, indem sie Konfigurieren konventioneller sicherstellen, dass ihre Netzwerke Netzwerke auftreten. über ein solides Fundament aus Bereitstellung von Edge-Only Die über das Netzwerk verteilten NATIVE STEALTH-Funktionalität ver- Segmente sind nahtlos und werden fügen. Das Reduzieren, Verschleiern mit vereinfachten Konfigurationsbefehlen an einem Randknoten definiert. Fabric Connect Das Besondere der Avaya-Lösungen oder sogar Vermeiden von konventionellen Schwachstellen kann Unternehmen helfen, ihre Risiken ein- durchdringt automatisch die Die Welt steht unmittelbar vor einer zudämmen und die Anstrengungen Konfiguration im ganzen Netzwerk noch nie da gewesenen Erweiterung ihrer Sicherheitsexperten auf leichter avaya.com/de | 5 zugängliche Bereiche fokussieren. Die Funktionalitäten von Native Stealth bieten ein reduziertes Angriffsprofil und können Unternehmen helfen, die von Hackern verursachten Risiken beziehungsweise Ausfälle zu verringern. Weitere Informationen Um mehr über Avaya Networking zu erfahren und weitere Informationen zu erhalten, wie beispielsweise Whitepapers und Fallstudien, kontaktieren Sie bitte Ihren Avaya Account Die Möglichkeit für Unternehmen, ihre Manager oder autorisierten Partner kritischen Anwendungen und vertrauli- oder besuchen Sie uns auf chen Daten zu differenzieren, die wichti- www.avaya.com/de. gen Informationen effizient und mit massiver Skalierung abzuschotten und ihr Netzwerk zu verschleiern und zu verfestigen, liefert eine umfassende und sichere Basis in einer Zeit der CyberAngriffe und des IoT. Avaya bietet eine funktionelle Lösung der nächsten Generation, die die Über Avaya Avaya ist ein führender Anbieter von Lösungen für vertrauensvollen Kundendialog – „Customer Engagement“ – und effiziente Zusammenarbeit – „Team Engagement“ – und das über eine Vielzahl von Kanälen auf verschiedenen Geräten. Avaya Lösungen verbessern die Kundenerfahrung, erhöhen die Produktivität und steigern die Wirtschaftlichkeit. Die weltweit führenden Contact Center- und Unified CommunicationsTechnologien sowie Services sind in einer Vielzahl flexibler Vor-Ort- oder CloudLösungen verfügbar und lassen sich einfach in die Applikationen anderer Anbieter integrieren. Die Avaya Engagement Development Plattform ermöglicht Kunden und Partnern die Entwicklung und Anpassung von individuellen Geschäftsapplikationen, um sich vom Wettbewerb abzuheben. Avayas Fabric-basierte Netzwerklösungen vereinfachen und beschleunigen die Integration von geschäftskritischen Anwendungen und Services. Weitere Informationen finden Sie auf www.avaya.com/de. 6 | avaya.com/de Herausforderungen des universellen Perimeters anspricht. Es bietet einen Basis-Layer für die heutzutage verwendeten speziellen Sicherheitsservices und sorgt dafür, dass ihre Effektivität maximiert werden kann. Avaya verwendet eine gemeinsam genutzte Steuerebene, die nahtlos die Hyper-Segmentierung, NATIVE STEALTH und die automatische Elastizität unternehmensweit verwaltet. Mithilfe softwaredefinierter und Identitätstechnologien zur Automatisierung des Onboarding und des Zugriffs von Benutzern, Geräten, Netzwerkknoten und Servern setzt Avaya den Schutz und die Verwaltung des universellen Zugriffs in die Praxis um. © 2016 Avaya Inc. Alle Rechte vorbehalten. Avaya und das Avaya-Logo sind eingetragene Marken von Avaya Inc. in den USA und in anderen Ländern. Alle sonstigen durch ®, TM oder SM gekennzeichneten Markensind eingetragene Marken, Handelsmarken bzw. Dienstleistungsmarken von Avaya Inc. Alle anderen Marken sind Eigentum der jeweiligen Inhaber. 09/16 • DN7921GE Geben Sie uns Ihre Rückmeldung zu diesem Dokument
© Copyright 2024 ExpyDoc
