IoT uitpakken, een serie:de uitdaging op het gebied van schaalbaarheid en wat u eraan kunt doen

Het Internet of Things (IoT) stelt netwerkingenieurs voor een aantal uitdagingen. In mijn vorige post heb ik uitgelegd hoe Cisco helpt om verreweg de grootste IoT-uitdaging aan te gaan:beveiliging. In dit bericht behandelen we de volgende uitdaging:schaalbaarheid.

Zoals te zien is in de onderstaande afbeelding, komen er de komende jaren tientallen miljarden apparaten online, wat enorme problemen met de schaalbaarheid van IoT met zich meebrengt.

Hoe kunnen organisaties beveiligings- en netwerkbeleid opschalen om al deze apparaten aan te pakken? Als we IoT-apparaten moeten configureren zoals we de afgelopen decennia netwerkapparaten hebben geconfigureerd, kunnen we niet voldoen aan de schaalbaarheidsvereisten die IoT aanstuurt. De "traditionele" manier - handmatige configuratie per doos - is traag en foutgevoelig.

Het antwoord? Automatisering. Beleid op grote schaal implementeren met automatisering versnelt de inrichting en maakt softwarebeheer veel eenvoudiger. Dit kan worden bereikt met softwaregedefinieerde toegang.

Onder de motorkap:IoT schalen in Cisco DNA Center

Sta me toe het uit te leggen. Stel dat u een netwerkbeleid wilt toepassen op uw IoT-apparaten. Alle IoT-apparaten moeten op hun eigen VLAN staan, gescheiden van de rest van de apparaten op het netwerk. Het doel is om te voorkomen dat een aanvaller een IoT-apparaat gebruikt als een houvast in de rest van het bedrijfsnetwerk.

Met Cisco DNA Center is het toevoegen van een nieuw virtueel netwerk net zo eenvoudig als het netwerk een naam geven en selecteren welke groepen gebruikers, apparaten en/of applicaties erop moeten staan. Deze worden weergegeven als schaalbare groepen. De netwerkoperator selecteert elk van de groepen die bij het nieuwe virtuele netwerk horen door simpelweg de juiste pictogrammen van links naar rechts op het scherm te slepen en neer te zetten en op Opslaan te klikken. Met slechts een paar klikken worden IoT-apparaten effectief gesegmenteerd, zodat ze alleen kunnen communiceren met de andere apparaten zoals gespecificeerd in het virtuele netwerk. Het is niet nodig om VLAN's en DHCP-scopes toe te wijzen, ACL's te programmeren, enz. - als netwerkoperator hoeft u de taal van netwerkbeleid en toegangscontrolelijsten niet te spreken om vrijwel onmiddellijk uw netwerk te creëren.

De Scalable Group Tag (SGT) maakt dit proces zo eenvoudig. Een schaalbare groep is een logisch beleidsobject om gebruikers en/of apparaten te "groeperen". De SGT identificeert alles waarop u een beleid wilt toepassen:eindpunten, gebruikers of toepassingen. SGT's worden gebruikt om IP-adresonafhankelijke "Group Based Policies" te beheren. Dat betekent dat beleid wordt toegepast op de schaalbare groep, in plaats van op individuele IP-adressen. In het verleden pasten netwerkoperators vaak beleid toe op IP-adressen van apparaten omdat ze alomtegenwoordig, end-to-end en consistent zijn, maar die aanpak wordt rommelig. Door beleid primair toe te passen op de SGT, naast de segmentering van de virtuele netwerken, kunt u schaalbaar, effectief en flexibel zijn in beleidsuitdrukkingen op softwaregedefinieerde toegangsnetwerken voor IoT.

Het bovenstaande proces is hetzelfde proces dat wordt gebruikt om apparaten op het bedrijfsnetwerk te beheren. IoT-apparaten hebben echter doorgaans niet alle hogere mogelijkheden en rekenbronnen, zoals bijvoorbeeld switches in een datacenter. Ze zijn doorgaans lichter in gewicht en hebben een kleinere vormfactor, een lager stroomverbruik en kleinere hardwaremogelijkheden.

Om te kunnen spelen in deze door software gedefinieerde wereld, moeten we deze twee beperkingen aanpassen en verzoenen:de ene moet segmentatie en beleid bieden, de andere moet de hardware zo licht mogelijk houden. Dit is waar Cisco Software Defined Access Extended Nodes van pas komen. Dit is hoe ze werken:

• Uitgebreide node maakt verbinding met een enkele Edge-node met behulp van een 802.1Q Trunk-poort (enkele of meerdere VLAN's) met behulp van statische toewijzing
• Switchports op het uitgebreide knooppunt kunnen dan statisch worden toegewezen aan een geschikte IP-pool in Cisco DNA Center
• SGT-toewijzing wordt bereikt door pool-naar-groep-toewijzing in Cisco DNA Center op het verbonden Edge-knooppunt
• Afdwingen van verkeersbeleid op basis van Scalable Group ACL's wordt uitgevoerd op het Edge-knooppunt

Het schalen van bedrijfsnetwerken was al moeilijk genoeg toen netwerkoperators individuele boxen handmatig moesten configureren. Het is ronduit bijna onmogelijk met IoT. Gelukkig heeft Cisco deze uitdaging in bedrijfsnetwerken opgelost met behulp van softwaregedefinieerde toegang en automatisering. En nu kunnen dezelfde oplossingen worden toegepast op IoT. Met Cisco als uw partner kunt u efficiënt en effectief schalen met dezelfde beheerinterface die u voor het bedrijfsnetwerk gebruikt.

Meer weten? Bekijk onze on-demand webinar, Cisco IoT:Drive Transformation in the Public Safety, Oil and Gas, and Manufacturing Sectors. En vergeet niet terug te gaan naar de Cisco IoT-blog voor de andere belangrijkste uitdagingen waarmee zakelijke IoT wordt geconfronteerd, waaronder beveiliging.