Das folgende “IPv6 – Big Picture” soll eine Orientierung über betroffene Bereiche und notwendige Aktivitäten geben:
In den horizontalen Feldern sind die verschiedenen Bereiche der IT aufgeführt, die irgendwann im Laufe der IPv6-Integration betroffen sind. Die senkrechten Felder enthalten Aktivitäten, die innerhalb der IPv6-Integration anstehen. Im einzelnen:
Clients & Client Access: IPv6- bzw. Dual-Stack-Fähigkeit aller Clients – auch über Remote Access
Services & Applications: IPv6- bzw. Dual-Stack-Fähigkeit von Services und Applikationen, eigens entwickelte Geschäftsanwendungen, Client-facing Applikationen mit dem entsprechenden “Unterbau” (Webserver, Datenbanken), aber auch Printer und Legacy & Embedded Systeme, die ggf. auf einer IPv4-Insel weiter bestehen und per Translation-Mechanismus ihre Konnektivität behalten.
Internal Network & DMZ: Das eigene Netzwerk ist der offensichtlichste Teil der IPv6-Integration. Verschiedene Segmente haben dabei in der Regel unterschiedliche Anforderungen bezüglich Dual-Stack-Konnektivitätsbedarf, Sicherheit und Adressierungs-Mechanismen. (Beispiele: Officesegmente vs. DMZ vs. Konferenz-WLAN.)
Die Security-relevanten Komponenten (Firewalls, Monitoring, aber auch Switches etc.) sollten vor dem Deployment die individuell benötigten IPv6-Features besitzen und auch im produktiven Lastbetrieb erhalten können.
Data Center: Je nach Grad von Virtualisierung, Data Center Management und -Automatisierung sind potenziell verschiedenste Komponenten im Data Center von der IPv6-Integration betroffen. Wie kritisch dies ist, muss man sich individuell anschauen. Hier werden Sie auch auf Fragen bezüglich der genauen Anforderungen stossen. Beispiele: “Muss das automatisierte Backup auch bei IPv6-only-Hosts funktionieren?”, “Müssen Services, die dual-stack laufen auch dual-stack gemonitored werden?”
ISP: (Wann) bietet Ihr Internet Service Provider IPv6 an und wie sind die Rahmenbedingungen? Auch: Wie verschlechtern sich ggf. die Bedingungen für IPv4?
Schauen wir uns als nächstes die Aktivitätsbereiche an:
Assessment & Gap Analysis: Um einen vollständigen Überblick zu bekommen, welche Elemente (Netzwerk-Geräte, Applikationen, Dienste etc.) von der IPv6-Integration betroffen sind, ist in aller Regel eine Bestandsaufnahme über die verschiedenen IT-Bereiche erforderlich. Diese ist die Basis, um Aufwände zu schätzen und Abhängigkeiten sichtbar zu machen. Je nach Stand der IT-Dokumentation kann dieser Schritt bereits eine grössere Herausforderung darstellen. (Immerhin kommt der Aufwand für eine eventuell notwendige Aktualisierung der Dokumentation auch der Reife der IT-Organisation zugute und damit der Fähigkeit bei Sicherheitsvorfällen reagieren zu können.)
Integration Strategy & Planning: Nachdem Sie sich mittels des Assessments einen Überblick über die Gesamtaufgabe verschafft haben, geht es darum, eine IPv6-Integrations-Strategie zu entwickeln, welche die identifizierten Abhängigkeiten berücksichtigt. Diese ist die Basis für eine Planung der einzelnen Phasen oder Teilprojekte. (Z.B. könnten Sie in einer Phase 1 vorsehen, innerhalb der kommenden 6 Monate alle kundenseitigen Webservices dual-stack-fähig zu machen und IPv6 in das Anforderungsmanagement aller betroffenen Geschäftsanwendungen einfliessen zu lassen.)
Contracts & Procurement: In diesem Feld sind zum einen die betroffenen Verträge mit Partnern (Vendor Management), aber auch sämtliche Einkaufsrichtlinien (z.B. für Netzwerk- und Security-Produkte) zu betrachten. Hier sind natürlich bestehende Laufzeiten zu berücksichtigen: eine frühzeitige Beschäftigung mit dem Thema lohnt sich also. Es hat sich bewährt, Partner und Hersteller frühzeitig zu informieren, welchen Bedarf Sie an IPv6-Funktionalität pro Geräteklasse haben.
Design / Configure / Test / Deploy: Hier spielt sich der “Kern” der technischen IPv6-Integration ab. Pro Phase / Teilprojekt ist die technische Integration in mehreren (gewohnten) Schritten durchzuführen. Je nach Reife der Produkte und dem bestehendem IPv6 Know-how sollte dabei genügend Zeit für vorgängige Tests eingeplant werden.
IPv6 related Security: IT-Security bezogen auf die IPv6-Integration ist hier als eigene Aktivität dargestellt. Allerdings ist sie sinnvollerweise ebenso Bestandteil der anderen Aktivitätsbereiche. So ist z.B. dafür zu sorgen, dass nur in Bereichen deployt wird, in denen die entsprechenden Sicherheits-Elemente für IPv6 vorhanden sind. Entscheidend ist, dass die IT-Security nicht als “nachgelagerte, getrennte Aufgabe” verstanden wird, sondern in jeder Phase Teil der Integration ist.
Operations & Improvement: Nach der Integration kommt der Produktiv-Betrieb. Der Übergang sollte so geplant werden, dass keine unnötigen Einbussen z.B. bezüglich Verfügbarkeit und Sicherheit entstehen. Dazu gehört die rechtzeitige Ausbildung der Mitarbeiter und die Anpassung von Prozessen (z.B. im Support). Trotz guter Vorbereitung wird es hier naturgemäss zu gewissen Lücken kommen, die innerhalb eines Verbesserungsverfahrens (continuous improvement process) korrigiert werden sollten.
Education & Consulting: Für alle genannten Aktivitätsbereiche ist unterschiedliches IPv6-Know-how erforderlich, das sich sie Akteure rechtzeitig aneignen können müssen. Das braucht Zeit und sollte durch einen Schulungs-Plan unterstützt werden, der den unterschiedlichen Bedarf der verschiedenen Gruppen Rechnung trägt.
Und nicht zuletzt müssen Sie sich auch möglichst frühzeitig überlegen, ob und in welchen Bereichen Sie wann Unterstützung von Consultants benötigen.
Natürlich kann ein solches “Big Picture” nur eine Anregung sein. Vielleicht können Sie aber mit diesem Bild als Ausgangspunkt Ihr eigenes Big Picture entwickeln, das auf Ihre IT-Organisation genau passt. Dies kann dann für die kommenden Jahre als Orientierungshilfe dienen und für die Kommunikation einen guten Dienst leisten.
Source: http://securityblog.switch.ch/2013/02/12/ipv6-fur-manager-big-picture-der-ipv6-integration/
Filed under: IPv6 Tagged: IPv6 Big Picture, IPv6-Security, IT-Security-Management
