Diese Seite erläutert, was ein Overlay-Netzwerk ist, warum Access Gate es verwendet und wie es in realen Deployments zum Einsatz kommt.
Was ist Overlay-Networking?
Ein Overlay-Netzwerk ist ein logisches Netzwerk, das auf einem bestehenden physischen Netzwerk (dem Underlay) aufgebaut wird.
- Das Underlay-Netzwerk bleibt unverändert
- Das Overlay-Netzwerk führt neue IPs, Routing und Sicherheitskontrollen ein
- Datenverkehr wird nur dann in das Overlay umgeleitet, wenn Schutz erforderlich ist
Mit Access Gate ermöglicht das Overlay, Datenverkehr abzufangen, zu authentifizieren, zu protokollieren und zu kontrollieren, ohne Assets neu zu adressieren, VLANs zu ändern oder Geräte inline einzufügen.
Underlay vs. Overlay
| Dimension | Underlay-Netzwerk | Overlay-Netzwerk |
|---|---|---|
| Was es ist | Ihr bestehendes LAN, OT-Netzwerk oder Anlagennetzwerk | Logischer IP-Raum, der von Access Gate verwaltet und kontrolliert wird |
| IP-Adressierung | Assets behalten ihre ursprünglichen IPs | Separater logischer Bereich (typischerweise 100.64.0.0/16 CGNAT) |
| Topologieänderungen | Keine, Switches, VLANs, Firewalls bleiben unverändert | Wird über dem Underlay geschichtet, kein Umverkabeln |
| Umfang | Trägt den gesamten bestehenden Datenverkehr | Nur geschützte Zugriffspfade |
| Sicherheitsmodell | Implizites Vertrauen innerhalb des Segments | Identitätsbasiertes Proxying, keine direkte Konnektivität |
Kernkonzept: Assets bleiben, wo sie sind. Die Zugangskontrolle erfolgt im Overlay.
Wie Overlay-Routing funktioniert
Jede geschützte Kommunikation hat zwei Abschnitte, einen im Overlay, einen im Underlay, und Access Gate übersetzt zwischen ihnen. Bei jeder Sitzung verläuft ein Abschnitt stets im bestehenden Netzwerk, weshalb Assets nie neu adressiert oder verschoben werden müssen.
- Eingehend (Client → Asset). Der Client sendet ein Paket mit Quelle = eigene Underlay-IP und Ziel = Overlay-IP des Assets. Routen im bestehenden Netzwerk leiten overlay-gebundenen Datenverkehr zu Access Gate.
- NAT am Gateway. Access Gate beendet die Verbindung, wendet die Richtlinie an und öffnet eine neue Sitzung zur Underlay-IP des Assets. Die Quelladresse dieser neuen Sitzung ist die eigene Underlay-IP von Access Gate (ein NAT). Das Asset sieht die Overlay-Adresse nie, aus seiner Perspektive stammt der Datenverkehr von einem anderen Underlay-Gerät.
- Ausgehend (Asset → Client). Das Asset antwortet an die Underlay-IP von Access Gate. Access Gate ordnet die Antwort der ursprünglichen Overlay-Sitzung zu und gibt sie mit Quelle = Overlay-IP und Ziel = Underlay-IP des Clients an den Client zurück.
Der asset-seitige Abschnitt liegt stets im Underlay. Das Overlay existiert nur zwischen Client und Access Gate. Diese Eigenschaft ermöglicht es Access Gate, identitätsbasierte Zugangskontrolle vor Legacy-Assets zu schalten, ohne deren Adressierung oder die Underlay-Topologie zu verändern.
Warum Access Gate ein Overlay verwendet
Herkömmliche Sicherheitsansätze setzen auf Inline-Geräte, VLAN-Segmentierung oder flache VPNs. Diese Ansätze bergen Risiken in Betriebsumgebungen.
Overlay-Networking vermeidet diese Probleme:
- Kein Inline-Risiko
- Access Gate liegt nicht im physischen Datenpfad
- Kein Single Point of Failure
- Der Produktionsdatenverkehr läuft weiter, auch wenn Access Gate offline ist
- Kein Netzwerk-Redesign
- Keine VLAN-Änderungen
- Keine IP-Neuvergaben
- Keine Neukonfiguration von Switches oder Routern über das Routing zu Access Gate hinaus
- Zugangskontrolle
- Clients verbinden sich nie direkt mit Assets
- Alle geschützten Zugriffe laufen über den Access Gate-Proxy
- Authentifizierung, Autorisierung und Protokollierung werden zentral durchgesetzt
Dieser Overlay-Ansatz ist besonders vorteilhaft, wenn bereits ein Netzwerk vorhanden ist und Legacy-Konfigurationen schwer zu migrieren sind.
Was das Overlay ermöglicht
Overlay-Networking versetzt Access Gate in die Lage, Folgendes durchzusetzen:
- Identitätsbasierter Zugriff (wer auf was zugreifen darf)
- Zeitlich begrenzte und aufgabenbasierte Berechtigungen
- Protokollbewusstes Proxying (HTTP, RDP, SSH, SMB, industrielle Protokolle)
- Vollständige Sitzungsprotokollierung und Rückverfolgbarkeit
- Schnelle Isolation oder Sperrung ohne Eingriff ins Netzwerk
Alles ohne Änderungen an der physischen Netzwerkstruktur.
Overlay-Networking vs. VLANs + Firewall
| Dimension | VLAN-Segmentierung | Overlay-Networking |
|---|---|---|
| Netzwerkänderungen | Erfordert Redesign | Minimale Änderungen |
| Vertrauensmodell | Statische Grenzen | Identitätsbasierte Richtlinien |
| Prüfbarkeit | Schwer zu auditieren | Vollständige Zugriffsprotokollierung |
| OT-Eignung | Risikoreich | Sehr gut geeignet |
Overlay-Networking verlagert Sicherheit von der Netzwerktopologie hin zu Richtlinien und Identität.
Fazit
Overlay-Networking ermöglicht es, Sicherheit, Kontrolle und Compliance auf bestehende IT- und OT-Netzwerke aufzusetzen, ohne den Betrieb zu unterbrechen.
Es ist die Grundlage, die Access Gate zu Folgendem befähigt:
- Nicht-intrusiv
- Agentenlos
- Produktionssicher
- Konform mit NIS2, CMMC und Zero Trust-Prinzipien