Diese Seite erläutert, was ein Overlay-Netzwerk ist, warum Access Gate es verwendet und wie es in realen Deployments zum Einsatz kommt.
Was ist Overlay-Networking?
Ein Overlay-Netzwerk ist ein logisches Netzwerk, das auf einem bestehenden physischen Netzwerk (dem Underlay) aufgebaut wird.
- Das Underlay-Netzwerk bleibt unverändert
- Das Overlay-Netzwerk führt neue IPs, Routing und Sicherheitskontrollen ein
- Datenverkehr wird nur dann in das Overlay umgeleitet, wenn Schutz erforderlich ist
Mit Access Gate ermöglicht das Overlay, Datenverkehr abzufangen, zu authentifizieren, zu protokollieren und zu kontrollieren – ohne Assets neu zu adressieren, VLANs zu ändern oder Geräte inline einzufügen.
Underlay vs. Overlay
| Dimension | Underlay-Netzwerk | Overlay-Netzwerk |
|---|---|---|
| Was es ist | Ihr bestehendes LAN, OT-Netzwerk oder Anlagennetzwerk | Logischer IP-Raum, der von Access Gate verwaltet und kontrolliert wird |
| IP-Adressierung | Assets behalten ihre ursprünglichen IPs | Separater logischer Bereich (typischerweise 100.64.0.0/16 CGNAT) |
| Topologieänderungen | Keine – Switches, VLANs, Firewalls bleiben unverändert | Wird über dem Underlay geschichtet, kein Umverkabeln |
| Umfang | Trägt den gesamten bestehenden Datenverkehr | Nur geschützte Zugriffspfade |
| Sicherheitsmodell | Implizites Vertrauen innerhalb des Segments | Identitätsbasiertes Proxying, keine direkte Konnektivität |
Kernkonzept: Assets bleiben, wo sie sind. Die Zugangskontrolle erfolgt im Overlay.
Wie Overlay-Routing funktioniert
Jede geschützte Kommunikation hat zwei Abschnitte – einen im Overlay, einen im Underlay – und Access Gate übersetzt zwischen ihnen. Bei jeder Sitzung verläuft ein Abschnitt stets im bestehenden Netzwerk, weshalb Assets nie neu adressiert oder verschoben werden müssen.
- Eingehend (Client → Asset). Der Client sendet ein Paket mit Quelle = eigene Underlay-IP und Ziel = Overlay-IP des Assets. Routen im bestehenden Netzwerk leiten overlay-gebundenen Datenverkehr zu Access Gate.
- NAT am Gateway. Access Gate beendet die Verbindung, wendet die Richtlinie an und öffnet eine neue Sitzung zur Underlay-IP des Assets. Die Quelladresse dieser neuen Sitzung ist die eigene Underlay-IP von Access Gate (ein NAT). Das Asset sieht die Overlay-Adresse nie – aus seiner Perspektive stammt der Datenverkehr von einem anderen Underlay-Gerät.
- Ausgehend (Asset → Client). Das Asset antwortet an die Underlay-IP von Access Gate. Access Gate ordnet die Antwort der ursprünglichen Overlay-Sitzung zu und gibt sie mit Quelle = Overlay-IP und Ziel = Underlay-IP des Clients an den Client zurück.
Der asset-seitige Abschnitt liegt stets im Underlay. Das Overlay existiert nur zwischen Client und Access Gate. Diese Eigenschaft ermöglicht es Access Gate, identitätsbasierte Zugangskontrolle vor Legacy-Assets zu schalten, ohne deren Adressierung oder die Underlay-Topologie zu verändern.
Warum Access Gate ein Overlay verwendet
Herkömmliche Sicherheitsansätze setzen auf Inline-Geräte, VLAN-Segmentierung oder flache VPNs. Diese Ansätze bergen Risiken in Betriebsumgebungen.
Overlay-Networking vermeidet diese Probleme:
- Kein Inline-Risiko
- Access Gate liegt nicht im physischen Datenpfad
- Kein Single Point of Failure
- Der Produktionsdatenverkehr läuft weiter, auch wenn Access Gate offline ist
- Kein Netzwerk-Redesign
- Keine VLAN-Änderungen
- Keine IP-Neuvergaben
- Keine Neukonfiguration von Switches oder Routern über das Routing zu Access Gate hinaus
- Zugangskontrolle
- Clients verbinden sich nie direkt mit Assets
- Alle geschützten Zugriffe laufen über den Access Gate-Proxy
- Authentifizierung, Autorisierung und Protokollierung werden zentral durchgesetzt
Dieser Overlay-Ansatz ist besonders vorteilhaft, wenn bereits ein Netzwerk vorhanden ist und Legacy-Konfigurationen schwer zu migrieren sind.
Was das Overlay ermöglicht
Overlay-Networking versetzt Access Gate in die Lage, Folgendes durchzusetzen:
- Identitätsbasierter Zugriff (wer auf was zugreifen darf)
- Zeitlich begrenzte und aufgabenbasierte Berechtigungen
- Protokollbewusstes Proxying (HTTP, RDP, SSH, SMB, industrielle Protokolle)
- Vollständige Sitzungsprotokollierung und Rückverfolgbarkeit
- Schnelle Isolation oder Sperrung ohne Eingriff ins Netzwerk
Alles ohne Änderungen an der physischen Netzwerkstruktur.
Overlay-Networking vs. VLANs + Firewall
| Dimension | VLAN-Segmentierung | Overlay-Networking |
|---|---|---|
| Netzwerkänderungen | Erfordert Redesign | Minimale Änderungen |
| Vertrauensmodell | Statische Grenzen | Identitätsbasierte Richtlinien |
| Prüfbarkeit | Schwer zu auditieren | Vollständige Zugriffsprotokollierung |
| OT-Eignung | Risikoreich | Sehr gut geeignet |
Overlay-Networking verlagert Sicherheit von der Netzwerktopologie hin zu Richtlinien und Identität.
Fazit
Overlay-Networking ermöglicht es, Sicherheit, Kontrolle und Compliance auf bestehende IT- und OT-Netzwerke aufzusetzen – ohne den Betrieb zu unterbrechen.
Es ist die Grundlage, die Access Gate zu Folgendem befähigt:
- Nicht-intrusiv
- Agentenlos
- Produktionssicher
- Konform mit NIS2, CMMC und Zero Trust-Prinzipien