IPv6 für (Security-)Manager – Teil 2: Das Big Picture der IPv6-Integration

13 Feb


Im ersten Teil dieser Reihe zum Thema IPv6 ging es darum, warum IPv6 ein Management-Thema ist: Die Auswirkungen von IPv6 auf Ihre IT-Organisation sind vielfältig. Für eine sowohl kosteneffiziente als auch sichere Integration von IPv6 in die eigene Organisation ist es erforderlich, dass Sie sich einen Überblick in Form einer Bestandsaufnahme verschaffen. Auf dieser Basis kann eine individuelle IPv6-Integrationsstrategie entwickelt werden, inklusive einer Roadmap, die interne und externe Abhängigkeiten mit berücksichtigt. Beispiele für solche Abhängigkeiten sind bestehende Investitions- und Entwicklungs-Zyklen, aber auch die IPv6-Readiness der IT-Security.

Das folgende “IPv6 – Big Picture” soll eine Orientierung über betroffene Bereiche und notwendige Aktivitäten geben:

BigPicture_20130204

In den horizontalen Feldern sind die verschiedenen Bereiche der IT aufgeführt, die irgendwann im Laufe der IPv6-Integration betroffen sind. Die senkrechten Felder enthalten Aktivitäten, die innerhalb der IPv6-Integration anstehen. Im einzelnen:

 

Clients & Client Access: IPv6- bzw. Dual-Stack-Fähigkeit aller Clients – auch über Remote Access

Services & Applications: IPv6- bzw. Dual-Stack-Fähigkeit von Services und Applikationen, eigens entwickelte Geschäftsanwendungen, Client-facing Applikationen mit dem entsprechenden “Unterbau” (Webserver, Datenbanken), aber auch Printer und Legacy & Embedded Systeme, die ggf. auf einer IPv4-Insel weiter bestehen und per Translation-Mechanismus ihre Konnektivität behalten.

Internal Network & DMZ: Das eigene Netzwerk ist der offensichtlichste Teil der IPv6-Integration. Verschiedene Segmente haben dabei in der Regel unterschiedliche Anforderungen bezüglich Dual-Stack-Konnektivitätsbedarf, Sicherheit und Adressierungs-Mechanismen. (Beispiele: Officesegmente vs. DMZ vs. Konferenz-WLAN.)

Die Security-relevanten Komponenten (Firewalls, Monitoring, aber auch Switches etc.) sollten vor dem Deployment die individuell benötigten IPv6-Features besitzen und auch im produktiven Lastbetrieb erhalten können.

Data Center:  Je nach Grad von Virtualisierung, Data Center Management und -Automatisierung sind potenziell verschiedenste Komponenten im Data Center von der IPv6-Integration betroffen. Wie kritisch dies ist, muss man sich individuell anschauen. Hier werden Sie auch auf Fragen bezüglich der genauen Anforderungen stossen. Beispiele: “Muss das automatisierte Backup auch bei IPv6-only-Hosts funktionieren?”, “Müssen Services, die dual-stack laufen auch dual-stack gemonitored werden?”

ISP: (Wann) bietet Ihr Internet Service Provider IPv6 an und wie sind die Rahmenbedingungen? Auch: Wie verschlechtern sich ggf. die Bedingungen für IPv4?

Schauen wir uns als nächstes die Aktivitätsbereiche an:

Assessment & Gap Analysis: Um einen vollständigen Überblick zu bekommen, welche Elemente (Netzwerk-Geräte, Applikationen, Dienste etc.) von der IPv6-Integration betroffen sind, ist in aller Regel eine Bestandsaufnahme über die verschiedenen IT-Bereiche erforderlich. Diese ist die Basis, um Aufwände zu schätzen und Abhängigkeiten sichtbar zu machen. Je nach Stand der IT-Dokumentation kann dieser Schritt bereits eine grössere Herausforderung darstellen. (Immerhin kommt der Aufwand für eine eventuell notwendige Aktualisierung der Dokumentation auch der Reife der IT-Organisation zugute und damit der Fähigkeit bei Sicherheitsvorfällen reagieren zu können.)

Integration Strategy & Planning: Nachdem Sie sich mittels des Assessments einen Überblick über die Gesamtaufgabe verschafft haben, geht es darum, eine  IPv6-Integrations-Strategie zu entwickeln, welche die identifizierten Abhängigkeiten berücksichtigt. Diese ist die Basis für eine Planung der einzelnen Phasen oder Teilprojekte. (Z.B. könnten Sie in einer Phase 1 vorsehen, innerhalb der kommenden 6 Monate alle kundenseitigen Webservices dual-stack-fähig zu machen und IPv6 in das Anforderungsmanagement aller betroffenen Geschäftsanwendungen einfliessen zu lassen.)

Contracts & Procurement: In diesem Feld sind zum einen die betroffenen Verträge mit Partnern (Vendor Management), aber auch sämtliche Einkaufsrichtlinien (z.B. für Netzwerk- und Security-Produkte) zu betrachten. Hier sind natürlich bestehende Laufzeiten zu berücksichtigen: eine frühzeitige Beschäftigung mit dem Thema lohnt sich also. Es hat sich bewährt, Partner und Hersteller frühzeitig zu informieren, welchen Bedarf Sie an IPv6-Funktionalität pro Geräteklasse haben.

Design / Configure / Test / Deploy: Hier spielt sich der “Kern” der technischen IPv6-Integration ab. Pro Phase / Teilprojekt ist die technische Integration in mehreren (gewohnten) Schritten durchzuführen. Je nach Reife der Produkte und dem bestehendem IPv6 Know-how sollte dabei genügend Zeit für vorgängige Tests eingeplant werden.

IPv6 related Security: IT-Security bezogen auf die IPv6-Integration ist hier als eigene Aktivität dargestellt. Allerdings ist sie sinnvollerweise ebenso Bestandteil der anderen Aktivitätsbereiche. So ist z.B. dafür zu sorgen, dass nur in Bereichen deployt wird, in denen die entsprechenden Sicherheits-Elemente für IPv6 vorhanden sind. Entscheidend ist, dass die IT-Security nicht als “nachgelagerte, getrennte Aufgabe” verstanden wird, sondern in jeder Phase Teil der Integration ist.

Operations & Improvement: Nach der Integration kommt der Produktiv-Betrieb. Der Übergang sollte so geplant werden, dass keine unnötigen Einbussen z.B. bezüglich Verfügbarkeit und Sicherheit entstehen. Dazu gehört die rechtzeitige Ausbildung der Mitarbeiter und die Anpassung von Prozessen (z.B. im Support). Trotz guter Vorbereitung wird es hier naturgemäss zu gewissen Lücken kommen, die innerhalb eines Verbesserungsverfahrens (continuous improvement process) korrigiert werden sollten. 

Education & Consulting: Für alle genannten Aktivitätsbereiche ist unterschiedliches IPv6-Know-how erforderlich, das sich sie Akteure rechtzeitig aneignen können müssen. Das braucht Zeit und sollte durch einen Schulungs-Plan unterstützt werden, der den unterschiedlichen Bedarf der verschiedenen Gruppen Rechnung trägt.

Und nicht zuletzt müssen Sie sich auch möglichst frühzeitig überlegen, ob und in welchen Bereichen Sie wann Unterstützung von Consultants benötigen.

Natürlich kann ein solches “Big Picture” nur eine Anregung sein. Vielleicht können Sie aber mit diesem Bild als Ausgangspunkt Ihr eigenes Big Picture entwickeln, das auf Ihre IT-Organisation genau passt. Dies kann dann für die kommenden Jahre als Orientierungshilfe dienen und für die Kommunikation einen guten Dienst leisten.

Source: http://securityblog.switch.ch/2013/02/12/ipv6-fur-manager-big-picture-der-ipv6-integration/

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: