An die Netzwerk-Infrastruktur in virtuellen Umgebungen werden besondere Anforderungen gestellt, die sich teilweise deutlich von den traditionellen Eigenschaften unterscheiden. Ein modernes Rechenzentrum ohne virtualisieren Systeme gibt es so gut wie nicht mehr. Auch stellt ebenfalls die IT Sicherheit hohe Anforderungen an das Netzwerk. Dazu soll heute ein Netzwerk eine hohe Leistung, geringe Latenz, Sicherheitsfunktionen und dazu einen hochverfügbaren Betrieb aufweisen. All diese Anforderungen zeigen, welche Bedeutung heutige Netzwerkkomponenten für eine funktionierende IT Infrastruktur haben.
Das Thema VLAN für sich genommen zeigt die Komplexität einer modernen Netzwerk-Infrastruktur. Durch die virtuellen Systeme gibt es nicht mehr „die“ physikalische DMZ. Dazu kommt noch die Tatsache, dass eine DMZ in den meisten Fällen und schon bei kleinen Umgebungen nicht mehr ausreichend ist. Als Beispiel ist hier eine Intranet Implementation zu nennen, die sowohl von intern als auch von extern zu erreichen ist. Hier gibt es Applikationsserver, Datenbankserver, Content-Server und die Test und Entwicklungsumgebung. Aus Sicherheitsgründen sind diese Server-Bereiche in eigenen DMZ und gegeneinander abgeschottet. Hintergrund ist hier nicht zuletzt die Tatsache, dass es immer wieder Lücken und Sicherheitsprobleme in den Anwendungssprachen und nicht zuletzt auch in der Programmierung selbst vorhanden sind.
Oft wird eine solche Lücke so schnell ausgenutzt, dass bis der Patch und eine Anpassungen der Programmierung da sind, es schon zu spät ist. Der Server ist kompromittiert worden. Ist der Server nicht gegen den Rest entsprechend abgeschottet, ist das Problem was mit dem Hack schon groß genug ist, ganz schnell noch viel größer und es sind Daten betroffen, die unter keinen Umständen für Dritte bestimmt sind. Dieses kleine Beispiel einer Intranet-Umgebung zeigt, welche Ansprüche hier schon an ein Netzwerk gestellt werden, wenn es alleine um die Sicherheit geht. Damit ist es aber nicht genug, denn gerade bei verteilten Server-Diensten kommt jetzt der Faktor Leistung und Latenz zur Sicherheit hinzu. Sicherheit ist das eine, Performance ist das andere, denn es nützt das ausgefeilteste Sicherheitskonzept nicht, wenn die Anwendungen durch falsches Design und Komponenten so langsam ist, dass sie den Anwendern nichts nützen.
Gerade beim Thema Leistung zeigen sich deutliche Unterschiede bei den Netzwerkkomponenten. Die Regel ist hier aber vergleichsweise einfach, Leistung und Funktionsumfang sind proportional zum Preis der Komponenten. Datacenter und Top-of-Rack Switches sind keinesfalls überbucht und liefern pro Port dessen dedizierte Leistung. Im Access Bereich mit Gigabit Ports ist ein gewisses Maß an überbuchten Prozessoren normal und auch ohne Probleme für die Clients die Regel. Aber um es noch mal in aller Deutlichkeit zu sagen, im Datacenter Bereich haben überbuchte Switches nichts zu suchen. Denn bei deren Einsatz entstehen die meisten Performance-Probleme im Rechenzentrumsbetrieb. Dazu kommt dann noch der mangelnde Funktionsumfang von den „günstigen“ Komponenten der sein Übriges noch hinzufügt.
Das Netzwerk ist nun mal die Basis einer jeden IT Infrastruktur und Designschwächen hier wirken sich immer gleich global auf die gesamte Struktur mit all ihren Komponenten aus. Mangelnde Funktionen beim Netzwerk bedingen faule Kompromisse beim System- und Sicherheits-Design und schwächen somit die komplette Infrastruktur und das alles nur, weil das Netzwerk einfach nicht in der Lage ist, die einfachsten Funktionen die schon seit Jahren zum Standard gehören bereitzustellen. Abgesehen von diesen Problemen im administrativen Bereich, sorgen Netzwerk-Probleme bei den Anwendern ebenfalls für unnötigen Ärger. Abbrüche und langsame Verbindungen machen bei der Arbeit nicht wirklich Spaß und kosten dazu noch Geld, weil die Arbeit deutlich produktiver sein könnte, wenn die Antwortzeiten besser sind.
Passende Netzwerkkomponenten mit der richtigen Konfiguration gehören somit zu den Hausaufgaben verantwortungsbewusster Administratoren und Betreiber von IT Anlagen. Auf Sicherheit zu verzichten, nur weil das Netzwerk es nicht hergibt, ist kein Kompromiss den man eingehen sollte. Vor allem dann nicht, wenn die restlichen Komponenten es könnten und die „Bremse“ das Netzwerk ist. Trotzdem gilt auch hier, keinen blinden Aktionismus an den Tag zu legen, sondern vielmehr sind hier überlegte und strategisch ausgerichtete Entscheidungen zu treffen. Vor allem müssen diese Entscheidungen in das Gesamtkonzept der IT passen und sich an dem kommenden Weg ausrichten. Die IT ist nach wie vor im Wandel und ein Netzwerk muss in der Lage sein, diesen Wandel mit zu gehen. Die gute Nachricht ist aber, dass es Komponenten gibt, die alle notwendigen Eigenschaften vereinen und dazu noch die nötige Flexibilität aufweisen, um für zukünftige Anforderungen gerüstet zu sein.
Bei Fragen zum Netzwerk- und Security-Design stehen wir wie gewohnt zu Verfügung.