Deutsch
English
Français
Español
Italiano
Português
日本語
한국어
Русский
HeimNetzwerkzonierung im Jahr 2023: Wie KI und Automatisierung die Dinge verändern
Klaus Haller | Jun 07, 2023
Netzwerk-Zoning ist eine grundlegende präventive Sicherheitskontrolle, die die Angriffsfläche eines Unternehmens verringert und seitliche Bewegungen verhindert. Dies macht das Leben von Angreifern schwieriger, da sie nicht alle virtuellen Maschinen (VMs) direkt aus dem Internet erreichen können. Und selbst wenn sie in das Unternehmensnetzwerk gelangen, können sie nicht schnell von einer VM zur nächsten springen, wenn Firewalls und Zonen die interne Netzwerkkonnektivität und den internen Netzwerkverkehr einschränken. Der Aufstieg der KI- und IT-Automatisierung stellt jedoch ein grundlegendes Zoning-Prinzip in Frage: Stufen. Ist die Differenzierung zwischen Produktions-, Vorproduktions- und Integrations-, Test- und Entwicklungszonen noch ausreichend? Welche Anpassungen bringen die 2020er Jahre?
Die Entwicklungszone, die Testzone, die Vorproduktionszone und die Produktionszone – agile Engineering-Methoden ersetzten das gute alte Wasserfallmodell, aber die Phasen blieben bestehen (Abbildung 1). Einige IT-Abteilungen haben drei (oder nur zwei) Phasen, andere sprechen von Integrationstest- oder Unit-Testphasen. Die Ziele sind die gleichen:
Verwandt: Das größte Problem in der KI? Lügende Chatbots
Organisationen mit ISO 27001-Zertifizierungen müssen für die ISO-Konformität ohnehin Entwicklungs-, Test- und Produktionssysteme trennen (ISO 27001:2022 Anhang A 8.31).
Abbildung 1: Ein ausgefeiltes, klassisches Netzwerk-Zoning-Konzept
Verwandt: Bidens ehemaliger technischer Berater über das, was Washington an KI vermisst
In der Praxis unterscheiden größere Netzwerkdesigns zwischen internen und externen (d. h. über das Internet erreichbaren) Zonen und setzen Webanwendungs-Firewalls und Anwendungsschnittstellenverwaltungslösungen (API) zwischen dem Internet und den externen Zonen ein. Länder oder Geschäftseinheiten sind weitere weit verbreitete Zoneneinteilungsdimensionen. Die gleichen oder einfachere Zoneneinteilungskonzepte können in Nicht-Produktionsphasen vorhanden sein.
Das war der traditionelle Aufbau. In den letzten Jahren sind KI und IT-Automatisierung in den Fokus gerückt und haben Veränderungen mit sich gebracht.
Hohe Verfügbarkeit und schnelle Zyklen von der Programmierung bis zur Bereitstellung erfordern beide eine Automatisierung in Rechenzentren. Darüber hinaus macht die Automatisierung Administratoren wesentlich effizienter. Das Installieren und Einrichten von Software ist heute eine Ein-Klick-Aufgabe, im Vergleich zu einem Vollzeitjob früher, bei dem Administratoren mit zwanzig Disketten jonglierten. Heutige Überwachungsserver verfügen über eine automatisierte Alarmierung. Sie informieren Administratoren proaktiv, wenn manuelle Eingriffe erforderlich sind. Außerdem sind CI/CD-Pipelines Standard. Diese Effizienzgewinne erfordern jedoch eine Änderung der Netzwerkzonierungskonzepte (Abbildung 2).
Die Auswirkungen von Überwachungs- und Bereitstellungskomponenten und CI/CD-Pipelines auf die Netzwerkzonierung
Überwachungslösungen prüfen die Verfügbarkeit von VMs und Netzwerkkomponenten und suchen nach Ereignissen, die möglicherweise auf Sicherheitsvorfälle hinweisen. In Großbritannien gibt es eine Überwachungslösung für das gesamte Rechenzentrum, jedoch keine für die Produktionszone. In Spanien gibt es eines für die Entwicklung und in Indien eines für Tests. Überwachungsanwendungen erfordern einen stufenübergreifenden Zugriff. Sie können Überwachungskomponenten in einer speziellen Zone innerhalb der Produktionszone oder vollständig separat platzieren. Offensichtlich sind Betriebsfehler weniger wahrscheinlich, wenn diese Anwendungen nach Zonen getrennt sind. Außerdem sollten Firewalls selektiv geöffnet werden, anstatt nur alle Firewalls zu öffnen.
Ein Beispiel sind Überwachungslösungen; Andere Lösungen (z. B. für Patch-Management oder Schwachstellen-Scanning) fallen in die gleiche Kategorie. Obwohl es zwar möglich (aber nicht unbedingt immer sinnvoll) ist, den stufenübergreifenden Zugriff für solche Lösungen zu umgehen, sind CI/CD-Pipelines per Definition stufenübergreifend. Zuerst stellen Sie den Code auf Ihrem lokalen Laptop bereit, dann auf einem Testserver, einer Integrationsumgebung und schließlich in der Produktion. Daher erfordert die reine Natur von CI/CD-Pipelines einen stufenübergreifenden Zugriff. Auch hier gilt: Wenn ein Tool VMs in allen Phasen bereitstellen und ändern muss, sollten die Firewalls zwischen den Zonen nicht vollständig abgerissen, sondern nur punktuell für dieses Tool geöffnet werden.
KI widerspricht der Idee, Produktionsdaten von Entwicklungsaktivitäten zu trennen. Das Trainieren von KI-Modellen bedeutet, Algorithmen auszuführen, die Abhängigkeiten von Tausenden von Variablen und Millionen von Datensätzen erkennen, die manuell unmöglich zu erkennen wären. Für diese Schulung sind tatsächliche Daten erforderlich (obwohl möglicherweise nicht alle sensiblen Daten wie Kundennamen, Adressen und Sozialversicherungsnummern erforderlich sind). Die entwicklungsähnliche Aufgabe des Modelltrainings muss auf Produktionsdaten und damit in einer Produktionszone ausgeführt werden. Eine isolierte (Unter-)Zone für die KI- und Analytics-Produktion ist jedoch sinnvoll. KI bedeutet in der Regel große Datenmengen, die Sie sicher und getrennt von Ihrem normalen Arbeitsablauf aufbewahren möchten. Abbildung 3 veranschaulicht diese neue (Unter-)Zone.
Wie KI- und Datenwissenschaftler Anpassungen bei der Netzwerkzonierung benötigen
IT-Automatisierungskomponenten und KI-Trainingsumgebungen unterscheiden sich von „normalen“ Anwendungs-Workloads. Beide erfordern eine Anpassung der traditionellen Zoning-Konzepte für stufenübergreifende Konnektivität. Es ist jedoch wichtig, zwischen Produktionsinstanzen und deren Engineering zu unterscheiden.
Das Engineering der KI-Plattform und die Überwachung der Automatisierungstools folgt der üblichen Engineering-Methodik des Unternehmens. Ingenieure arbeiten zunächst in der Entwicklungszone, bevor sie die Änderungen in Testvorproduktions- und Produktionsumgebungen vorantreiben. Ohne besondere Anforderungen gelten im Engineering die klassischen Regeln: Konnektivität nur zum aktuellen Stand und keine Produktionsdaten für Entwicklung und frühe Tests. Abbildung 3 veranschaulicht dies, indem sie der KI-Plattform in der Produktion eine zusätzliche Box gibt. Hier können Datenwissenschaftler experimentieren. Im Gegensatz dazu befindet sich die KI-Plattform im Standard-Entwicklungs-, Test- und Vorproduktionsbereich mit allen typischen Einschränkungen.
Fazit: Die herkömmlichen Zoning- und Staging-Konzepte bleiben auch in den 2020er Jahren bestehen, allerdings mit wenigen Ausnahmen für IT-Automatisierungstools und das Training von KI-Modellen. Die Welt der Zonen und Bühnen verschwimmt nicht. Es wird bunter und raffinierter.
Weitere Informationen zu Textformaten