Herkömmliche Netzwerkoperationen konzentrieren sich seit Jahrzehnten auf den Einsatz von Brute-Force-Taktiken, um ihre lange Liste von Serviceaufgaben jeden Tag zu bewältigen. Sie haben kaum Zeit zum Nachdenken, und mit Hunderten von Netzwerkingenieuren, die in diese praktischen Aktionen eingebunden sind, ist es kein Wunder, dass sie Neues (einschließlich Automatisierung) nur langsam als Mittel für den Blick in die Zukunft übernehmen. Ironischerweise, weil eine kleine Investition in Zeit und neue Technologie den Betrieb verbessern und in vielen Fällen erheblich effektivere Abläufe ermöglichen kann. Netzwerkautomatisierung ist ein Game Changer. Und in Verbindung mit No-Code wird die gesamte NetOps-Funktion „magisch“. Tatsächlich gibt es eine Menge Anforderungen (z CISA), die von der Bundesregierung vorgeschrieben werden, die alle IT-Verantwortlichen zum Innehalten veranlassen sollten, da die Einhaltung dieser Vorschriften ohne Netzwerkautomatisierung praktisch unmöglich ist. Aber es geht nicht nur um Mandate, es geht darum, klüger zu sein und die Führung zu übernehmen, die erforderlich ist, um IT-Services für Bundeskunden bereitzustellen.
Der föderale Sektor ist für diejenigen, die damit nicht vertraut sind, manchmal ziemlich schwierig zu navigieren; Die schiere Anzahl an Sicherheitsmaßnahmen, Compliance-Standards, Branchen- und Personalpraktiken heben es von vielen anderen Branchen ab. Netzwerke, die Bundesbehörden dienen, erleben im Vergleich zu anderen Branchen objektiv größere Wachstumsschmerzen, da sie traditionell abgeriegelte Umgebungen waren, in denen Änderungen selten vorkamen.
Jetzt, wo Bundesinstitutionen unter erhöhten Modernisierungsdruck geraten, wird deutlich, dass ein Großteil ihrer Infrastruktur nicht bereit ist, mit ihnen in die Moderne zu gehen. Erst kürzlich zum Beispiel das Pentagon hat sein erstes Audit nicht bestanden, wobei viele Prüfer Probleme mit Compliance, Cybersicherheitsrichtlinien und der Verbesserung der Bestandsgenauigkeit feststellen.
Vor diesem Hintergrund ist es wichtig, die Elemente zu verstehen, die den Bundessektor anders machen.
Werfen wir einen Blick auf einige Anwendungsfälle, die etwas Hilfe von unserem freundlichen Netzwerkbetriebssystem gebrauchen könnten.
Nr. 1: Netzwerkbewertung und Einhaltung von CISA 2023-01
Netzwerkbewertung war schon immer eine gute Idee. Das ist ein Fakt. Zu verstehen, was womit verbunden ist und wie es die von den Beteiligten benötigten Pakete und Dienste bereitstellt, war schon immer ein Ziel für IT-Führungskräfte. Aber das ist leichter gesagt als getan. Tatsächlich ist dies so schwierig, dass Bewertungen im privaten Sektor selten stattfinden, vielleicht einmal alle 3 Jahre oder so, und im staatlichen Sektor und aufgrund von Freigaben und Datensensibilität sogar noch seltener. Die FCEB-Agenturen haben diese grundlegende Best Practice daher im Grunde ignoriert und gehofft, dass sie diese Vermeidung nicht bereuen würden. Nun, im Jahr 2022 entschied CISA, dass genug genug ist, und erteilte ein Mandat:
„Bis zum 3. April 2023 müssen alle FCEB-Behörden die folgenden Maßnahmen in Bezug auf alle föderalen Informationssysteme im Geltungsbereich dieser Richtlinie ergreifen:
- Führen Sie alle 7 Tage eine automatische Asset-Erkennung durch. Während viele Methoden und Technologien verwendet werden können, um diese Aufgabe zu erfüllen, muss diese Entdeckung mindestens den gesamten IPv4-Bereich abdecken, der von der Behörde verwendet wird.
- Initiieren Sie alle 14 Tage eine Schwachstellenaufzählung für alle entdeckten Assets, einschließlich aller entdeckten Nomadic/Roaming-Geräte (z. B. Laptops).“
Wie können Sie diese Anforderung also OHNE Netzwerkautomatisierung erfüllen? Antwort: Sie können nicht. Es ist nur einfache Mathematik. Wenn Sie 10,000 Assets in Ihrer Vorschau haben und alle 7 Tage deren Existenz und damit verbundene Anomalien überprüfen müssen, wie könnten Sie dann überhaupt versuchen, die Mandatsbedingungen mit Network Automation zu erfüllen? NetBrain löst all dies und ermöglicht die vollautomatische Erkennung und Verifizierung so oft Sie möchten. Es identifiziert Geräte, die im Netzwerk sein sollten, aber fehlen, und Geräte, die im Netzwerk sind, aber nicht sein sollten. netBrain geht dann viel tiefer, indem es den Datenfluss zwischen Diensten und Anwendungen festlegt und Änderungen des erwarteten Verhaltens in Echtzeit identifiziert. NetBrain ist die Antwort für CISCO 23-01.
#2: Validieren von Netzwerkaktualisierungsumgebungen mit Change Management
Wir haben uns kürzlich ein finanzbezogenes Projekt angesehen, bei dem wir uns sowohl die Legacy- als auch die Refresh-Umgebung angesehen und den Sicherheitsstatus beider bestimmt haben. Es war eine unkomplizierte finanzielle Anwendung, aber sie mussten eine Reihe von SLAs erfüllen, für die die alte Ausrüstung nicht ausreichend ausgestattet war. Um die Sache noch schlimmer zu machen, mussten viele ihrer neuen Geräte in den FIPS-CC-Konformitätsmodus versetzt werden, wodurch die Sicherheitseinstellungen in ihrer Aktualisierungsumgebung versehentlich gelöscht wurden. Im Laufe von sechs Wochen haben wir einzelne Konfigurationsdateien bewertet, Kompromisse zwischen dem Härten bestimmter Systeme und dem Erfüllen von SLAs verglichen und sichergestellt, dass das System als Ganzes so sicher ist wie das vorherige. Letztendlich führte dies zu viel manueller Arbeit und Dokumentation, da ältere Legacy-Systeme auseinandergenommen und untersucht wurden, um zu helfen, goldene Konfigurationsdateien für die neueren Systeme neu zu erstellen.
Zum einen hätte die Möglichkeit, Konfigurationsänderungen in großem Umfang hochzuladen, Zeit und Mühe gespart, aber noch wichtiger, die Möglichkeit, Vorher-Nachher-Benchmark-Vergleiche durchzuführen sowie benutzerdefinierte Berichte einzufügen, die die gesamte Aufgabe verkürzt hätten – Auf diese Weise hätten wir feststellen können, welche Geräte nicht den goldenen Standards entsprechen, und sie alle auf einmal ändern können.
Nr. 3: NIST-Konformität mit Network Intents
Der Bund setzt heute mehr denn je auf externe Dienstleister, um vielfältige Dienstleistungen mit Hilfe von Informationssystemen zu erbringen. Der Schutz vertraulicher Informationen, die in nicht föderalen Informationssystemen gespeichert sind, ist eine der höchsten Prioritäten der Regierung und erforderte die Schaffung eines einzigartigen föderalen Cybersicherheitsprotokolls.
NIST, oder das National Institute of Standards and Technology, hat einen Compliance-Standard für empfohlene Sicherheitskontrollen für föderale Informationssysteme erstellt. Dieser Standard wird von Bundeskunden unterstützt, da sie Best-Practice-Sicherheitskontrollen in einer Vielzahl von Branchen umfassen. In vielen Fällen hilft die Einhaltung der NIST-Richtlinien und -Empfehlungen den Bundesbehörden auch, andere Vorschriften wie HIPAA, FISMA, FIPS usw. einzuhalten. NIST konzentriert sich hauptsächlich auf die Infrastruktursicherheit und verwendet einen wertbasierten Ansatz, um zu finden und schützen Sie die sensibelsten Daten.
NetBrain passt auch hier sehr gut. Network Intents (manchmal auch als Runbooks), wie Sie vielleicht wissen, sind NetBrainDie integrierten Funktionen von zum Beschreiben und automatischen Ausführen erwarteter Netzwerkoperationen.
Wie Sie oben sehen können, NetBrain führt eine Reihe von Datenerfassungsaufgaben durch, um zu überprüfen, ob das Zielnetzwerk innerhalb akzeptabler Sicherheitsparameter funktioniert. Die NIST-Konformität erfordert, dass der Client den Zugriff und die Verschlüsselungsprotokolle für seine sensibelsten Geräte kontrolliert, und je größer ein Netzwerk wird, desto intensiver und fehleranfälliger wird dies compliance check Ist. Compliance-bezogene Intents sind besonders nützlich für Audits, da sie den Zeitaufwand für das Crawlen zwischen Geräten reduzieren und die Problembereiche in Ihrem Netzwerk eindeutig lokalisieren.
Nr. 4: Sicherheitssanierung mit Just-in-Time-Automatisierung.
Just-in-Time-Automatisierung ist eine API-getriggert NetBrain Diagnose, die Kunden normalerweise so programmieren, dass sie im Falle einer Überwachungswarnung oder eines erstellten Helpdesk-Tickets auftreten.
Im Zusammenhang mit Anwendungen in einem Netzwerk ist eine der häufigsten Anwendungen der Just-In-Time-Automatisierung die Reduzierung der mittleren Zeit bis zur Wiederherstellung (MTTR) für Probleme, die im Netzwerk auftreten, aber angesichts der Sensibilität vieler föderaler Informationssysteme ist eine weitere gute Anwendung für diese Funktion die Sicherheitskorrektur. Ein IPS wird Ihnen nur sagen, wo sich der bösartige Datenverkehr befindet, aber NetBrain kann einen Überblick über den infizierten Bereich im Kontext zum Rest Ihres Netzwerks geben.
Durch die Anwendung der API-Integration in eine Intrusion-Prevention-Plattform NetBrain kann ausgelöst werden, um den infizierten Bereich zu identifizieren, den Pfad zwischen dem Angreifer und dem Opfer zu berechnen und diesen Bereich in einer Karten-URL für jeden Sicherheitstechniker zu markieren, der zufällig vor Ort ist. Dies beschleunigt den allgemeinen MTTR des Vorfalls, da die meisten der anfänglichen Triage-Arbeiten abgeschlossen sind, wenn sich ein Mensch hinsetzt, um den Vorfall zu lösen. Sicherheitsvorfälle sind genauso zeitkritisch wie Netzwerkausfälle, wenn nicht sogar noch zeitkritischer, und die Möglichkeit, die Ermittlungs- und Datenerfassungsvorgänge zu eliminieren, bedeutet, dass die Organisation effektiver ist, wenn es darauf ankommt.
Nr. 5: Verbesserung der Dokumentationsübergabe
Eines der größten Probleme des Bundessektors besteht darin, die Dinge zwischen Vertragsumsätzen konsistent zu halten.
Wenn Auftragnehmer einen Job verlassen, übergeben sie in der Regel einige große Ergebnisse der vorgenommenen Änderungen, der Sicherheitslage des Netzwerks sowie einige Empfehlungen für die Weiterentwicklung ihrer Systeme. Für einige Wochen danach können diese Verträge erneut einberufen werden, um neueren Auftragnehmern, die das System überwachen, die Änderungen zu erklären und sie zu beraten, wie sie bestimmte Sicherheitsmaßnahmen im Netzwerk implementieren können.
Obwohl das vorherige Team von Auftragnehmern für eine Rückkehr zur Verfügung gestellt werden konnte, war diese Überschneidung von Teams, nur um die Kontinuität zu gewährleisten, immer noch ein erheblicher Kostenfaktor für den Kunden. Stellen Sie sich vor, das vorherige Team stünde dem neuen Auftragnehmerteam nicht zur Verfügung – die neuen Auftragnehmer hätten Zeit und Energie aufwenden müssen, um dieselben Dinge neu zu lernen, die das vorherige Team bereits entdeckt hatte.
NetBrain ist seit jeher stolz darauf, das branchenweit umfassendste Datenmodell aller hybriden Multi-Cloud-verbundenen Netzwerke zu haben. Dazu werden die Geräte, die Topologie dieser Geräte, die Steuerungsebene und die Weiterleitung von Paketen innerhalb dieser Topologie sowie die erwarteten Verhaltensweisen (Intents) des Netzwerks basierend auf den geschäftlichen Anforderungen beschrieben, um einen umfassenden digitalen Zwilling zu erstellen.
Die Dokumentation ist nur eine weitere Darstellung dieses digitalen Zwillings. Wenn die meisten Menschen an Dokumentation denken, tendieren sie historisch zu Topologiekarten. In der Tat, wie bereits erwähnt, viele Menschen, die verwendet haben NetBrain Betrachten Sie das Fundament seit Jahren immer noch als ihre primäre Quelle der Wahrheit mit der Fähigkeit, Echtzeitkarten auf Knopfdruck zu generieren. Aber dieser digitale Zwilling kann noch viel mehr, vor allem seine Network Intents allgemeine Netzwerkprozesse und erwartete Verhaltensweisen dokumentieren, sie als teamübergreifende Kollaborationsplattformen verwenden und Informationen an Personen weitergeben, um Instanzen zu lösen.
Und weil NetBrainDer digitale Zwilling von ist dynamisch und historisch, NetBrain kann durch den Vergleich mit archivierten Versionen Abweichungen zwischen der aktuellen Infrastruktur und ihrer Vergangenheit erkennen. Dies ist äußerst wertvoll bei der Untersuchung von Netzwerkänderungen und Design-Compliance. NetBrainDer leistungsstarke digitale Zwilling von wird tatsächlich zur detaillierten Aufzeichnung dessen, was getan wurde und wie es sich im Laufe der Jahre verändert hat. NetBrain bleibt eine dauerhafte und unglaublich zugängliche Referenz für die gesamte Netzwerkaktualisierung des Kunden, die als Bausteine für zukünftige Projekte verwendet werden könnte
Letztendlich verhalten sich moderne föderale IT-Organisationen genauso wie ihre Pendants im Privatsektor, wobei viele Geschäftsanforderungen von vielen Branchen gemeinsam genutzt werden. Der Bundessektor zeichnet sich durch seine einzigartige Personalrotation, Compliance-Standards und die Betonung von Zugang und Sicherheit gegenüber ROI aus.