Im Gegensatz zu Cloud-Umgebungen sind On-Premise-Netzwerke durch physische Infrastruktur, Legacy-Systeme und Verfügbarkeitsanforderungen eingeschränkt. Topologieentscheidungen bleiben daher oft jahrelang bestehen und müssen sorgfältig getroffen werden.
Warum Netzwerktopologie On-Premise wichtig ist
On-Premise-Netzwerke unterstützen häufig:
- Geschäftskritische Anwendungen
- Produktionssysteme
- Legacy-Server und -Appliances
- Gemischte IT-, OT- und IoT-Assets
Topologieänderungen in diesen Umgebungen sind:
- Risikoreich in der Umsetzung
- Schwer rückgängig zu machen
- Oft vermieden, sobald Systeme in Betrieb sind
Sicherheits- und Zugriffskontrolllösungen müssen sich daher an die bestehende Topologie anpassen und kein Redesign erzwingen.
Gängige On-Premise-Netzwerktopologien
| Topologie | Vertrauensmodell | Inline-Traffic? | Deployment-Risiko | Typischer Einsatz |
|---|---|---|---|---|
| Flaches Netzwerk | Implizites Vertrauen überall | Ja | Niedrig (bereits aktiv) | KMUs, Legacy-Rechenzentren |
| Segmentiert (VLAN) | Zonenbasiert, IP-gebunden | Ja | Mittel | Ausgereifte IT-Netzwerke |
| Inline-Enforcement | Zentralisiert über Appliance | Ja | Hoch | Rechenzentren |
| Lollipop | Richtliniengesteuert, Fail-Open | Nein (angrenzend) | Niedrig | OT, Legacy, Zero Trust |
| Overlay-basiert | Identitätsgesteuert, proxied | Nein (nur Overlay) | Niedrig | On-Premise Zero Trust |
Flaches Netzwerk
Alle Systeme teilen dasselbe logische Netzwerk und können direkt miteinander kommunizieren.
Eigenschaften
- Einfach und kostengünstig
- Minimales Routing oder Segmentierung
Einschränkungen
- Implizites Vertrauen zwischen allen Systemen
- Einfache laterale Bewegung
- Geringe Sichtbarkeit und Nachvollziehbarkeit
- Verbreitet in älteren Deployments
Noch weit verbreitet in KMUs, Legacy-Rechenzentren und Industriestandorten.
Segmentiertes Netzwerk (VLAN / Subnetz-basiert)
Netzwerke werden mithilfe von VLANs, Subnetzen und Firewall-Regeln in Zonen unterteilt.
Eigenschaften
- Reduziert den Schadensradius
- Klare Trennung zwischen Systemgruppen
Einschränkungen
- Statisch und IP-basiert
- Komplex in Entwurf und Wartung
- Änderungen bergen operatives Risiko
- Kein Ausdruck von Benutzer- oder Identitätskontext
Segmentierung verbessert die Hygiene, aber nicht die Sichtbarkeit, Zugriffskontrolle, Verschlüsselung oder Protokollierung.
Inline-Enforcement-Topologie
Der Datenverkehr wird durch inline geschaltete Firewalls oder Sicherheits-Appliances geleitet.
Eigenschaften
- Zentralisierte Kontrolle
- Klarer Inspektionspunkt
Einschränkungen
- Single Point of Failure
- Durchsatzbeschränkungen
- Hohes operatives Risiko
- Schwierig sicher in Produktionsumgebungen zu deployen
Verbreitet in Rechenzentren, oft vermieden in Umgebungen mit strengen Verfügbarkeitsanforderungen.
Lollipop-Topologie
Bei einer Lollipop-Topologie verbindet sich die Sicherheits-Appliance neben dem Netzwerk, anstatt inline im Datenpfad zu liegen. Die bestehende Netzwerktopologie bleibt unverändert, und der Zugriff wird logisch statt physisch umgeleitet.
Eigenschaften
- Die Appliance liegt nicht im physischen Datenpfad
- Bestehende Routen, VLANs und IP-Adressierung bleiben erhalten
- Datenverkehr wird bei Bedarf über DNS und Routing gesteuert
- Fail-Open by Design: Das Netzwerk arbeitet weiter, wenn die Appliance offline ist
Vorteile
- Kein Single Point of Failure für den Produktionsverkehr
- Minimales Deployment-Risiko in Live-Umgebungen
- Einfach zu deployen, zu testen und zu entfernen
- Kompatibel mit Legacy-Systemen und statischen Netzwerken
Einschränkungen
- Erfordert Routing- und DNS-Bewusstsein
- Enforcement gilt nur für geschützte Zugriffspfade
- Nicht für vollständige Inline-Inspektion des gesamten Datenverkehrs ausgelegt
Die Lollipop-Topologie ermöglicht richtliniengesteuerte Zugriffskontrolle und Sichtbarkeit ohne Redesign des Netzwerks und eignet sich damit gut für moderne Zero Trust-Implementierungen in On-Premise-Umgebungen.
Overlay-basierte Netzwerktopologie
Anstatt das Underlay-Netzwerk zu verändern, führt Access Gate ein logisches Overlay ein:
- Systeme behalten ihre ursprünglichen IP-Adressen
- Geschützte Dienste werden über Overlay-IPs bereitgestellt
- DNS und Routing leiten den Datenverkehr durch Access Gate
- Alle geschützten Zugriffe werden proxied und kontrolliert
Dadurch wird die Sicherheitstopologie von der physischen Topologie getrennt.
Vergleich der Datenflüsse
Direktzugriff (traditionelle Topologie): Client → System
Overlay-basierter Zugriff: Client → Overlay IP → Router → Access Gate (policy + proxy) → Underlay IP → System
Der Client verbindet sich nie direkt mit dem geschützten System.
Fazit
In On-Premise-Umgebungen ist die zuverlässigste Netzwerktopologie oft diejenige, die sich nicht ändert.
Access Gate ermöglicht:
- Sicheren Zugriff
- Logische Segmentierung
- Sichtbarkeit und Nachvollziehbarkeit
…ohne das physische Netzwerk neu zu gestalten, auf das Ihr Betrieb angewiesen ist.