Verbesserte Security im DC bei schmalem Budget - geht das?

Wer mehrere Racks an Serverinfrastruktur im Datacenter betreibt – womöglich sogar verteilt über mehrere RZ-Standorte – stand vor unterschiedlichen Herausforderungen. Zum einen muss die performante Anbindung der Server ans Netzwerk gewährleistet werden, die heute pro Anschluss mit 25 Gbit/s oder mehr erfolgt. Neben der physischen Verbindung spielt auch die logische Anbindung, für virtualisierte und damit auch recht dynamische Umgebungen, eine zentrale Rolle. Darüber hinaus müssen die Systeme untereinander abgesichert werden, nachdem sie zuvor oft mit hohem Aufwand, beispielsweise auf Layer-2-Ebene, miteinander verbunden wurden.

Für die notwendige Konnektivität im Rechenzentrum haben sich Spine-Leaf-Architekturen bewährt. Diese ermöglichen eine gute Skalierbarkeit, und moderne Uplinks mit 100 Gbit/s oder noch schneller sind bei neuen Investitionen inzwischen wirtschaftlich realisierbar.

Mit der heutigen hohen Dichte an VMs pro Host ist Sicherheit im Rechenzentrum wichtiger denn je. Microsegmentation sowie klare Regeln, welche Systeme miteinander kommunizieren dürfen – und auf welche Weise – sind gefragt.

Eine naheliegende Lösung ist der Einsatz klassischer Firewalls. Allerdings müssen physische Appliances nicht nur redundant, sondern auch mit hoher Performance angebunden werden. Das macht sie zum einen sehr kostspielig und andererseits dennoch zu einem potenziellen Flaschenhals, da sämtlicher Traffic über sie geleitet werden muss.

Abbildung 1: Zentralisierte Services-Architektur. Leaf-Spine Fabric mit Services Leaf

Unternehmen, die bereits das größte Broadcom VMware-Lizenzmodell nutzen, ein Overlay-Netzwerk aufgebaut haben und sich mit NSX sowie den damit verbundenen mehrstufigen Firewall-Konzepten auseinandergesetzt haben, finden hier zwar eine Lösung – allerdings verbunden mit hohen Lizenzkosten und erheblichem Know-how Bedarf, um die komplexen Strukturen aufzusetzen.

HPE Aruba Networking bietet in Zusammenarbeit mit AMD Pensando eine alternative Herangehensweise: Mit den HPE Aruba CX 10000 Switches steht eine Lösung bereit, die eine integrierte Layer-4-Firewall direkt mitbringt. Dank leistungsfähiger Security-ASICs können Firewall-Regeln bereits auf den Leaf-Switchen, also direkt an jedem Port, in Wirespeed verarbeitet werden.

Abbildung 2: Architektur für verteilte Dienste. HPE Aruba Networking CX10000 Leaf Switch / Fabric beschleunigte Netzwerk- und Sicherheitsdienste

Damit ergeben sich gleich mehrere Vorteile:

• Keine zusätzlichen Geräte notwendig, da die Firewall-Funktion bereits in den Switches integriert ist.


• Deutlich geringere Kosten im Vergleich zu klassischen Firewall-Appliances und Lizenzen, wodurch sich der ROI schnell einstellt.


• Vermeidung von Engpässen und Performance-Flaschenhälsen, da der gesamte Traffic nicht über zentrale Appliances geleitet werden muss.


• Geringere Komplexität im Vergleich zu alternativen Lösungen.


• Erfüllung von Compliance-Anforderungen wie NIS2 und KRITIS nach dem „Stand der Technik“.


• Deutliche Reduzierung des Risikos einer Ausbreitung von Cyber-Incidents auf einem System durch Microsegmentierung und granulare Regelwerke.

HPE Aruba Networking CX 10040 Produkttour

Sie möchten mehr erfahren oder eine individuelle Beratung? Als HPE Platinum Partner und Aruba Spezialist begleiten wir Sie von der Planung bis zum Betrieb. Schreiben Sie uns an hallo@enthus.de – Wir freuen uns auf den Austausch mit Ihnen!