Vor dem Hintergrund der digitalen Transformation und allgegenwärtiger Vernetzung (Internet of Things, IoT) hat Cisco seine nächste Netzwerkgeneration vorgestellt: Das „New Network“ – von Ciscos US-Marketiers auch „The Network Intuitive“ genannt – soll dank integrierter Intelligenz weitgehend ohne klassische Konfigurationsarbeit auskommen. Machine-Learning-Funktionalität sorge für kontextbezogene, selbstlernfähige Automation wie auch intuitive Administration und könne so Routineaufgaben deutlich beschleunigen. Außerdem hat Cisco mit Encrypted Traffic Analytics ein innovatives Verfahren vorgestellt, um Angriffe in verschlüsseltem Datenverkehr aufzuspüren, ohne diesen erst zu entschlüsseln.

Das „neue Netzwerk“ kann laut Cisco dazulernen, Verhaltensmuster verstehen, sich kontinuierlich wandelnden Gegebenheiten anpassen und sich dabei auch gleich selbst schützen. Die Lernfähigkeit erleichtere zudem den Ausbau des Netzwerks. Für einige dieser Funktionen sind laut dem Netzwerkausrüster neue, leistungsstärkere Switches notwendig, doch müsse man nicht sämtliche Komponenten austauschen.

Basis für Ciscos nächste Netzwerkgeneration ist die bereits bestehende Digital Network Architecture (deren Name die herrlich zweideutige Abkürzung „DNA“ ergibt). Diese Architektur erweitert der Hersteller nun um fünf Bausteine: Lösungen für den softwaregesteuerten Netzwerkzugang (Software-Defined Access), die Verwaltungssoftware DNA Center, die Network Data Platform für die ML-gestützte (Machine Learning) Datenanalyse, die neue Switch-Generation Catalyst 9000 sowie die oben erwähnte Analyse der Crypto-Datenströme.

Cisco gesteht ein, nicht bei all diesen Funktionen der erste Anbieter zu sein, der dies auf den Markt bringt, jedoch sei man der erste Hersteller, der dies alles ganzheitlich zusammenbringt. Eine Testumgebung bei einem der Pilotkunden hat laut Falko Binder, Architecture Lead Networking Germany bei Cisco, gezeigt, dass sich dank der neuen Technik die Provisionierungszeit auf ungefähr ein Drittel und die Zeit zur Behebung von Störungen auf ein Fünftel senken lasse. Die Auswirkungen eines Eindringens ins Netzwerk könne man ebenso minimieren wie die Betriebskosten.

Mit der „Software-Defined Access“-Lösung kann eine IT-Organisation laut Falko Binder das Campus-Netz einschließlich WLAN als eine einheitliche, sichere Netzwerk-Fabric managen. Das Netzwerk erkenne Nutzer, Geräte und Dinge (im Sinne von: IoT-Endpunkte) automatisch und erlaube eine vollständig automatisierte Segmentierung des Netzwerks inklusive Mikrosegmentierung. Auch könne die Umgebung automatisch auf Veränderungen reagieren. Dies erhöht laut Binder die Sicherheit maßgeblich. Zudem erleichtere es die Einhaltung von Compliance-Vorgaben.

Ciscos Software-Defined Access dient dazu, die Verwaltung der Netzwerkzugänge erheblich zu vereinfachen. Bild: Cisco

Der ganzheitlichen Verwaltung des Netzwerks dient das Dashboard der Management-Lösung DNA Center. Von hier aus steuere der Administrator alles vom Netzwerkdesign und der Segmentierung bis zu den Richtlinien (Was hat mit den Benutzern, Geräten und Dingen zu passieren?), zur Provisionierung und zur Sicherstellung des Regelbetriebs. Für Letzteres umfasst die Lösung den sogenannten DNA Center Assurance Service.

DNA Center, so der Hersteller, liefere zahlreiche Informationen: von der Netzwerk- und WLAN-Auslastung bis hin zu Details auf Geräte-, Applikations- oder Nutzerebene – laut Binder aber unter Berücksichtigung des deutschen Datenschutzes, denn die Informationen ließen sich anonymisieren. Per Zurückfahren auf der Zeitlinie könne der Administrator auch historische Daten auswerten.

Über das Dashboard von DNA Center behält die IT-Organisation den aktuellen Zustand der Netzwerkumgebung im Blick. Bild: Cisco

Hierbei sorge die ebenfalls neue Network Data Platform per ML-basierter Korrelation für besseren Überblick, Prognosen zur Performance, schnelles Troubleshooting und die Umsetzung automatisierter Changes. Das Machine Learning findet laut Falko Binder im Arbeitsspeicher (In-Memory) statt, da es hier gilt, sehr große Datenmengen zu bewältigen.

Catalyst 9000
Cisco wäre nicht Cisco, gäbe es nicht zur neuen SDN-Funktionalität auch gleich die passende nächste Switch-Generation: Die – laut Cisco-Mann Binder – „revolutionäre neue Switching-Familie“ Catalyst 9000 umfasst drei Gerätegruppen: Catalyst 9300 (Fixed Access), 9400 (Modular Access) und 9500 (Fixed Core mit 40G-Linecards).

Die Switches nutzen programmierbare ASICs und laufen auf einem offenen, programmierbaren und modularen Betriebssystem, das Cisco IOS-XE nennt. Konzipiert sei die Software nach den Datenmodellen von Netconf/Yang. Damit, so Falko Binder, seien die Switches fit für die Anforderungen der IoT-, Cloud- und Mobile-Welt und könnten eine Analyse des verschlüsselten Datenverkehrs in Leitungsgeschwindigkeit durchführen.

Ciscos neue Switch-Generation Catalyst 9000 liefert die Rechenpower für die Softwarefunktionen wie die innovative Encrypted Traffic Analytics. Bild: Cisco

Diese Encrypted Data Analytics seien deshalb wichtig, weil laut Umfragen bereits 80 Prozent aller Unternehmen Opfer bösartiger Aktivitäten geworden sind – und von diesen laufen laut Binder mehr als 40 Prozent über verschlüsselten Datenverkehr. Zwei Cisco-Forscher haben angesichts dieser Lage ein neuartiges Verfahren entwickelt, um Malware innerhalb der verschlüsselten Datenströme aufzuspüren.

Das Verfahren nutzt Modelle des Supervised Machine Learnings, um den bösartigen Code anhand bestimmter Merkmale im Datenverkehr zu erkennen. Zu diesen Merkmalen zählen laut einem Cisco-Blog-Post Metadaten des TLS-Handshakes, DNS-Flows, die mit dem verschlüsselten Datenfluss zusammenhängen, sowie die HTTP-Header der Datenverbindungen von der gleichen IP-Adresse wie der verschlüsselte Flow. Dank dieses Verfahrens und der Security-Informationen der hauseigenen Talos-Truppe, so Binder, erkenne man Angriffscode im verschlüsselten Datenverkehr mit 99-prozentiger Sicherheit bei nur 0,01 Prozent False-Positive-Rate.

Aufgrund des hohen Leistungsbedarfs laufen diese Encrypted Traffic Analytics laut Cisco-Angaben ausschließlich auf den neuen Catalyst-9000-Switches. DNA Center, Software Defined Access sowie die Network Data Platform und Assurance funktionieren hingegen auch im Zusammenspiel mit der schon länger erhältlichen Catalyst-3000-Plattform.

Dank dieses Zusammenspiels der Netzwerk- und Sicherheitsfunktionen erlaubt die neue Netzwerkgeneration laut Cisco sogar ein „Intent-based Networking“ (absichtsbasierter Netzbetrieb), was heißen soll: Das Netzwerk erfasse, was der Administrator beabsichtigt (etwa: Was will ich erlauben, was nicht?), lerne anhand des Kontextes kontinuierlich dazu und könne deshalb zum Beispiel Provisionierungsprozesse per Automation beschleunigen. Es erkenne den Netzwerkzustand zur Laufzeit, passe sich sich dem Sollzustand an und erlaube somit den sich selbst regulierenden Netzwerkbetrieb mit intuitiver Verwaltung.

Gestützt durch Machine Learning soll Ciscos „New Network“ zahlreiche Aufgaben selbsttätig erledigen und so die Netzwerkadministration deutlich vereinfachen. Bild: Cisco

Ebenfalls neu: Um den Anforderungen im Zeitalter von Cloud, agiler Entwicklung und Devops gerecht zu werden, ermöglicht es Cisco nun, die Funktionen per Abonnement zu lizenzieren. Die Lizenzierung könne entweder anhand der Cisco One Suites (Essentials Suite und Advantage Suite) oder aber „à la carte“ erfolgen, so Binder.

Die Neuerungen befinden sich laut Cisco-Angaben seit zwölf Monaten in Tests mit Pilotkunden. Zu diesen zählen SAP, DB Systel (der IT-Betreiber der Bahn) und die Jade Hochschule in Wilhelmshaven. Alle Pilotkunden haben sich laut Falko Binder sehr positiv über die neuen Funktionalitäten geäußert.

Die Hardware- und Softwarebausteine sollen dieses Jahr nach und nach auf den Markt kommen: Den Anfang machen der Catalyst 9300 und 9500, die noch diesen Monat erhältlich sein sollen, im Juli gefolgt vom Catalyst 9400. DNA Center soll ab August erhältlich sein, ebenso (obschon zunächst nur eingeschränkt) Software-Defined Access. Die Verfügbarkeit von Encrypted Traffic Analytics ist für September geplant, für November hat Cisco dann die Network Data Platform, Assurance und die allgemeine Verfügbarkeit von SD Access avisiert.

Weitere Informationen finden sich unter www.cisco.de/dna.

Dr. Wilhelm Greiner ist Stellv. Chefredakteur der LANline.