Firewall, NGFW, WAF: Security-Kontrollen ins OSI-Modell einordnen

Firewall, NGFW, WAF – diese drei Begriffe werden im Alltag oft durcheinandergeworfen, obwohl sie unterschiedliche Security-Kontrollen darstellen und auf verschiedenen Ebenen wirken. Wer Security-Architekturen planen, Incidents schneller diagnostizieren oder Compliance-Anforderungen sauber nachweisen möchte, profitiert davon, Firewall, NGFW und WAF systematisch ins OSI-Modell einzuordnen. Das OSI-Modell liefert eine gemeinsame Sprache, um zu klären, welche Daten eine…

OSI-Modell für Compliance: Audit-Evidence pro Schicht

Das OSI-Modell für Compliance ist eine überraschend praktische Methode, um Audit-Anforderungen in der IT nicht nur „irgendwie“ zu erfüllen, sondern nachvollziehbar, wiederholbar und prüffest umzusetzen. In vielen Unternehmen scheitern Audits nicht daran, dass Kontrollen fehlen, sondern daran, dass die Audit-Evidence unvollständig, uneinheitlich oder nicht eindeutig einer Kontrolle zugeordnet ist. Genau hier hilft die Aufteilung nach…

Fault Domains designen: Core/Edge/Access aus OSI-Perspektive

Fault Domains designen ist eine der wirksamsten Maßnahmen, um Ausfälle in Unternehmensnetzwerken vorhersehbar zu begrenzen und die Wiederherstellung zu beschleunigen. Gemeint ist die bewusste Einteilung einer Infrastruktur in Bereiche, deren Fehler sich möglichst nicht gegenseitig „anstecken“: ein defekter Access-Switch soll nicht gleich den Core beeinträchtigen, ein Routing-Bug im Edge nicht das gesamte Rechenzentrum lahmlegen. Aus…

Multi-Cloud-Networking: Underlay/Overlay aufs OSI-Modell mappen

Multi-Cloud-Networking: Underlay/Overlay aufs OSI-Modell mappen – das klingt zunächst nach Theorie, ist in der Praxis aber ein sehr wirksames Werkzeug für Architekturentscheidungen, Fehlersuche und Governance. Sobald Anwendungen über mehrere Clouds, Rechenzentren und SaaS-Anbindungen verteilt sind, wird die Netzwerklandschaft schnell unübersichtlich: Transit-Gateways, Virtual WANs, Cloud Routers, VPNs, Interconnects, Private Links, Service Meshes und Load Balancer erzeugen…

Zero-Trust-Networking: Kontrollen pro OSI-Schicht umsetzen

Zero-Trust-Networking: Kontrollen pro OSI-Schicht umsetzen bedeutet, Sicherheitsmaßnahmen nicht als einzelne „Big Bang“-Lösung zu betrachten, sondern als konsistente, messbare Kontrollen entlang der gesamten Kommunikationskette. Der Kern von Zero Trust ist dabei nicht Misstrauen um jeden Preis, sondern verifizierte Vertrauenswürdigkeit: Jeder Zugriff wird anhand von Identität, Gerätezustand, Kontext, Richtlinien und Risiko bewertet – unabhängig davon, ob der…

Strategisches Packet Capture: Wo capturen für schnelle RCA?

Strategisches Packet Capture ist eine der effektivsten Methoden, um in kritischen Störungen schnell zur belastbaren Root Cause Analysis (RCA) zu kommen. Während Metriken und Logs meist zeigen, dass etwas schiefläuft, beweisen Pakete, was wirklich auf dem Draht passiert: Handshakes, Retransmissions, Timeouts, Resets, TLS-Alerts, fehlerhafte Header, MTU-Probleme oder unerwartete Middlebox-Eingriffe. Gleichzeitig ist Packet Capture teuer: Es…

ERSPAN in VXLAN-Fabrics: Best Practices und Fallstricke

ERSPAN in VXLAN-Fabrics ist für viele Operations- und Netzwerk-Teams das Mittel der Wahl, wenn klassisches SPAN an Grenzen stößt: verteilte Leaf-Spine-Topologien, Overlay-Tunnel, Multi-Tenant-Segmentierung und Remote-Standorte machen „lokales Mitschneiden“ oft unpraktisch. Gleichzeitig ist ERSPAN kein „Set-and-forget“-Feature. In VXLAN-Umgebungen kann ein unüberlegtes Mirroring zu unerwarteten Effekten führen: MTU-Probleme durch zusätzliche Encapsulation, falsch interpretierte Pakete (inner/outer Header), zu…

Passive vs. Active Monitoring: Wann Ping/HTTP-Checks täuschen

Passive vs. Active Monitoring ist ein zentrales Thema, wenn Unternehmen ihre Verfügbarkeit und Performance zuverlässig messen wollen. Gerade in hybriden Umgebungen, modernen Rechenzentren oder Cloud-native-Architekturen wirken einfache Checks wie Ping oder ein HTTP-GET auf den ersten Blick attraktiv: schnell, günstig, leicht zu automatisieren. Dennoch täuschen Ping/HTTP-Checks in der Praxis überraschend oft – nicht, weil sie…

HTTP/3 (QUIC) in der Produktion: Observability- und Tooling-Herausforderungen

HTTP/3 (QUIC) in der Produktion ist für viele Plattform-Teams der nächste logische Schritt, um Latenzen zu senken, Head-of-Line-Blocking auf Transportebene zu vermeiden und Verbindungsaufbau robuster zu machen. Gleichzeitig verschiebt HTTP/3 die operative Realität: Statt TCP + TLS + HTTP/2 arbeiten Sie mit QUIC über UDP, integrierter Verschlüsselung und einem anderen Verlust- und Retransmission-Verhalten. Das wirkt…

OSI-Modell mit SRE verbinden: Reliability-Praktiken pro Schicht

Das OSI-Modell mit SRE verbinden klingt zunächst wie eine akademische Übung: Sieben Schichten, die in Lehrbüchern sauber getrennt sind, treffen auf Site Reliability Engineering, das in der Praxis oft „end-to-end“ denkt. Genau hier liegt jedoch der Mehrwert. Wer das OSI-Modell mit SRE verbinden kann, gewinnt ein gemeinsames Vokabular für Netz-, Plattform- und Applikationsteams – und…