Netzwerk-
segmentierung
im Rechenzentrum

In einer Zeit, in der Sicherheit und Compliance oberste Priorität haben, sah sich ein führendes Unternehmen der Finanzbranche vor der Herausforderung, seine Netzwerksegmentierung innerhalb des Rechenzentrums zu optimieren.

Ein vorausgegangenes externes Audit verlief ohne klare Vorgaben, sowohl seitens der Auditoren als auch der Projektleitung. Das Projektteam, bestehend aus erfahrenen externen Experten, stand somit vor einer anspruchsvollen Aufgabe. Die Herausforderung bestand darin, die Sicherheitsanforderungen des Audits zu erfüllen und gleichzeitig interne Prozesse und Richtlinien zu integrieren.

Während das Zieldesign schnell umrissen war, musste der Weg der technischen Realisation hingegen noch entwickelt werden. Die Anforderungen waren komplex und umfassten u.a. die Integration neuer Mutterkonzern-Vorgaben, die Migration von Diensten innerhalb des Tagesgeschäfts sowie die Lösung von Schnittstellenproblemen mit anderen Auditaufgaben.

Ein zentraler Mitarbeiter stand kurz vor der Rente. Firewalls waren zu beschaffen, obwohl der erforderliche Datendurchsatz unbekannt blieb. Die Dokumentation zu den zu segmentierenden Diensten war lückenhaft und der Umfang der Segmentierung unklar – weder die Anzahl der betroffenen Server noch der Services war bekannt. Fast alle Services des Kunden waren betroffen. Die Umsetzung erfolgte im laufenden Betrieb (brownfield), eine Neugestaltung (greenfield) kam nicht infrage. Die IT blieb auch in Test- und Entwicklungsumgebungen in Betrieb. Alte IT-Systeme ohne Netzwerksegmentierung wurden berücksichtigt. Gleichzeitig bestanden Überschneidungen mit anderen Migrationsaufgaben sowie widersprüchliche regulatorische Anforderungen. Die Dokumentation war zwar vorhanden, aber unvollständig, veraltet und teils widersprüchlich. Es galt demnach, eine Vielzahl technischer, organisatorischer und personeller Herausforderungen zu bewältigen, während die IT-Systeme kontinuierlich in Betrieb blieben.

Durch intensive Planung und Gespräche sowie detaillierte Szenarienentwicklung gelang es dem Projektteam, einen klaren Migrationspfad zu definieren. Zunächst wurden ausschließlich nichtproduktive Systeme sukzessive hinter Firewalls migriert, während der Produktivbetrieb ungestört blieb. Später sollten im Rahmen einer großen Umstellung alle Systeme gesichert werden. Ein besonderer Fokus lag auf der Datenanalyse und der sorgfältigen Dokumentation der Kommunikationsbeziehungen zwischen den Services.

Mit der Bestellung und Implementierung der erforderlichen Firewalls sowie der fortlaufenden Migration der Dienste konnte das Projektteam sicherstellen, dass alle Netzwerkbereiche gemäß den neuen Segmentierungsrichtlinien funktionierten. Nach mehreren hundert Migrationen war die Umstellung der Dienste erfolgreich abgeschlossen.