Anwendungsfälle

Vier Wege, mit denen Cloud Area Networking das Netzwerk ersetzt, mit dem Sie leben mussten.

Eine Policy-Ebene. Ein Identitätsmodell. Von der Niederlassung in Bayern bis zur Region eines Hyperscalers – überall gleich.

Standorte Multi-Cloud & RZ Identität & Zugriff OT & Compliance

Anwendungsfall 01 — Standorte

Niederlassungen, ohne den Ballast.

Ihr Homeoffice läuft auf einem einfachen Router und einem Endgerät, dem Sie Ihre sensibelsten Aufgaben anvertrauen. Warum verlangt dann jede neue Niederlassung weiterhin Firewall, SD-WAN-Box, NAC-Stack und VPN-Konzentrator, bevor sich ein einziger Mitarbeiter anmelden kann?

every site = new attack surface · every laptop = VPN credential

Realität heute

Standorte werden seit zwei Jahrzehnten von außen nach innen gehärtet. Jeder neue Standort bedeutet neue Hardware, neue VLANs, neue Tunnel zur Zentrale, neue Verträge, neue Angriffsfläche. Sobald ein Mitarbeiter sein Laptop im Café öffnet, ist das ganze Konstrukt ohnehin umgangen. Sie zahlen Enterprise-Firewall-Preise, um ein Gebäude zu schützen – nicht die Daten.

Der CanMe-Weg

Sicherheit gehört an den Endpunkt, nicht an den Eingang. Mit Cloud Area Networking trägt jedes Gerät eine kryptografische Identität. NAC, Segmentierung, Posture Enforcement und Policy reisen mit dem Nutzer – zu Hause, im Büro, unterwegs, beim Kunden. Der Standort selbst wird bewusst langweilig: ein Router, Internet und ein CanMe-Gate. Nichts öffentlich. Nichts exponiert. Nichts zum Angreifen.

In der Praxis

Eine Niederlassung in München mit 12 Personen, zwei Druckern, einem NAS, einem kleinen On-Prem-Server und einem alten MES-Terminal, das noch SMB-v1 spricht. Ein Hardware-Gate sitzt hinter einem einfachen Business-Router. Das NAS wird als Dark Service veröffentlicht – erreichbar nur für die Teams, die es besitzen. Die Drucker sind innerhalb des Standorts erreichbar. Das MES-Terminal nur für benannte Engineers, und nur dann, wenn ihre Identität es freigibt. Alles andere im LAN bleibt füreinander unsichtbar. Keine öffentliche IP. Keine Firewall-Regeln. Kein Site-to-Site-VPN. Der Standort geht am selben Nachmittag live, an dem das Gate eingesteckt wird.

Das bekommen Sie

Branch-CapEx bricht ein

Ein Gate ersetzt Firewall, NAC und VPN-Konzentrator in einem Gerät.

Rollout in Minuten, nicht Wochen

Einstecken, in Core beanspruchen, Services definieren, fertig.

Null öffentliche Angriffsfläche

Was nicht sichtbar ist, kann nicht angegriffen werden.

Modern, Legacy und OT — ein Standort

Isolation per Identität, nicht per VLAN.

Anwendungsfall 02 — Multi-Cloud & Rechenzentrum

Multi-Cloud, ohne die Hub-and-Spoke-Steuer.

Die Cloud sollte elastisch sein. Dann haben wir sie in NAT, IPSec-Tunnel und eine Hub-and-Spoke-Topologie verpackt – entworfen für eine Welt, die es nicht mehr gibt.

one hub per cloud · standalone Devices orphaned

Realität heute

Jede Hyperscaler-Beziehung bringt einen weiteren Vertrag, einen weiteren Tunnel, eine weitere Routing-Tabelle. Dev, Test und Prod können sich keinen Adressraum teilen, ohne dass etwas bricht. M&A-Integrationen scheitern an überlappenden CIDRs. SaaS-Zugriff wird durch eine MPLS-Leitung gezwungen, weil dort die Firewall sitzt. Die agile Cloud-Geschichte stirbt in dem Moment, in dem das Netzwerkteam ein Ticket bekommt.

Der CanMe-Weg

Cloud Area Networking nimmt das Netzwerk aus der Entscheidung heraus. Nutzer und Maschinen erreichen Services, weil die Policy es sagt – nicht weil zwei Subnetze zufällig routbar sind. Überlappende IPs werden bedeutungslos, denn zwischen den Zonen gibt es gar keine IP-Routen mehr. Erweitern Sie das CAN auf jeden Hyperscaler, jeden Hoster, jedes Partner-RZ, jedes On-Prem-System – sogar das Homelab eines Entwicklers – mit derselben Sicherheits-Posture und derselben Policy-Ebene.

In der Praxis

Drei Azure-Subscriptions, alle mit 10.0.0.0/16 für Dev, Test und Prod. Eine produktive OT-Maschine in Ingolstadt. Ein kurzlebiger Lasttest bei Hetzner. Ein Entwickler im Homeoffice pusht einen Container vom Hetzner-Workload zur Maschine in Ingolstadt – für einen eintägigen Validierungslauf. Klassischer Weg: Re-IP, Change Requests, Firewall-Ausnahmen, MPLS-Upgrade – drei Wochen. CanMe-Weg: Die Identität des Entwicklers erhält für das Testfenster Service-Level-Zugriff. Schließt das Fenster, ist der Zugriff weg. Das Netzwerk hat den Workload nie gekannt.

Das bekommen Sie

Keine Hub-and-Spoke-Steuer

Traffic fließt dorthin, wo er hingehört – nicht durch einen zentralen Choke Point.

Überlappende IPs sind irrelevant

Routing nach Identität, nicht nach Range.

Neue Umgebungen in Stunden

Jede Cloud, jeder Hoster, jeder Partner – dieselbe Policy.

Sandbox ohne Exposition

Teams experimentieren überall, ohne einen einzigen Port zu öffnen.

Anwendungsfall 03 — Identität & Zugriff

PIM ist erledigt. PAM ist das, was als Nächstes kommt.

Sie haben zwei Jahre gebraucht, um Entra ID sauber aufzustellen. Dann standen Sie im Serverraum und stellten fest: Der Zugriff auf die Dinge, die wirklich zählen, hängt noch an einer Firewall-Regel, die jemand 2017 geschrieben hat.

Auditor added to Audit-Q3Wait for ticket · firewall change · jump host setup

PIM solved · PAM still tickets, jump hosts, and tribal knowledge

Realität heute

Privileged Identity Management hat Nutzer sauber in Anwendungen gebracht. Privileged Access Management – die Netzwerk- und Infrastrukturebene – sind weiterhin Jump-Hosts, VPN-Accounts, manuelle Firewall-Tickets und Stammeswissen. Onboarding ist schnell. Offboarding ist ein Gebet. Ein externer Auditor, ein Wartungsteam, der Techniker eines Maschinenherstellers – jeder einzelne ist ein Credential, das vergessen werden wird.

Der CanMe-Weg

Zugriff wird zur Eigenschaft der Identität, und Identität lebt in Ihrem IDP. Fügen Sie einen Nutzer einer Gruppe in Entra ID hinzu, und der benötigte Netzwerkzugriff erscheint – exakt auf die Services beschränkt, für die diese Gruppe berechtigt ist. Entfernen Sie ihn, und der Zugriff ist überall weg, in Echtzeit. Keine Firewall-Änderung. Kein Ticket. Keine Ausnahme.

In der Praxis

Ein externer Auditor braucht fünf Werktage Lesezugriff auf eine Finanzberichts-Datenbank. Ein neuer Fertigungs-Engineer braucht ab Tag eins SCADA-Zugriff. Der Techniker eines Maschinenherstellers braucht dringend eine Remote-Session zu einem CNC-Controller – jetzt, 22:00 Uhr, Sonntag. Alle drei werden über Gruppenmitgliedschaft im bestehenden IDP gelöst. Die Auditor-Gruppe läuft nach fünf Tagen aus. Der Engineer erbt rollenbasierten Zugriff von seinem Team. Der Techniker wird einer zeitlich begrenzten Gruppe hinzugefügt, ist in Sekunden drin und wird automatisch entfernt, wenn das Ticket schließt. Null Firewall-Änderungen. Vollständiger Audit-Trail pro Identität, pro Service, pro Session.

Das bekommen Sie

Deterministisches Offboarding

Eine Quelle der Wahrheit. Keine verwaisten Accounts.

Schluss mit Access-Review-Feuerwehr

Entra ID ist der Report.

Reaktion in Echtzeit

Notfall-Zugriff für Hersteller in Sekunden, nicht in Stunden.

Ein Modell über IT, OT, Cloud, SaaS

PAM, das endlich zu PIM passt.

Anwendungsfall 04 — OT, Legacy & Compliance

Produktion ins Zero Trust – ohne eine einzige Maschine anzufassen.

NIS-2 ist es egal, dass Ihre umsatzstärkste Maschine noch SMB-v1 spricht. Ihrem Auditor auch.

vendor plugs in → reaches every machine · air-gap is fiction

Realität heute

Industrielle und Legacy-Systeme können nicht gepatcht, nicht ersetzt und nicht in einen Endpoint-Agenten gewickelt werden. Der Air-Gap, der sie früher schützte, ist Fiktion in dem Moment, in dem ein Hersteller für Wartung einsteckt. Regulierung – NIS-2, KRITIS, IEC 62443 – verlangt Segmentierung und Zugriffskontrolle. Operations verlangt Uptime. Beide stehen sich meist mit dem Messer gegenüber, und das Netzwerkteam verliert in jedem Fall.

Der CanMe-Weg

Das Hardware-Gate sitzt vor der Maschine, der Linie oder der Zelle. Die Maschine ändert sich nicht. Die SPS ändert sich nicht. Das Protokoll ändert sich nicht. Was sich ändert, ist, wer sie erreichen darf – und diese Entscheidung trifft die Identität, in Echtzeit, aus Core heraus. Hersteller erhalten begrenzten, zeitlich befristeten, vollständig geloggten Zugriff auf genau die Systeme, die sie betreuen. Interne Engineers erhalten rollenbasierten Zugriff. Alles andere sieht nichts. Dieselbe Policy-Ebene, die Ihre IT schützt, schützt jetzt auch Ihre OT. Ein Controller. Ein Audit-Trail. Eine Geschichte für den Regulator.

In der Praxis

Eine Fertigungshalle mit 40 Maschinen in drei Protokollen (SMB-v1, Modbus, OPC UA), ein MES, ein altes ERP-Terminal und zwölf Maschinenhersteller, die jeweils gelegentlich Remote-Zugriff brauchen. Hardware-Gates sitzen pro Linie und stehen vor den Maschinen. Jeder Hersteller wird auf eine Identitätsgruppe gemappt, die Service-Level-Zugriff ausschließlich auf seine Maschinen gewährt – nie auf die Linie nebenan, nie auf das MES, nie auf etwas anderes auf dem Shopfloor. Interne Wartungs-Engineers haben breiteren rollenbasierten Zugriff. Die Halle hat null öffentliche IPs und null offene Inbound-Ports. Wenn der Auditor fragt, wer Maschine 14 letzten Dienstag um 03:47 angefasst hat, ist die Antwort eine Abfrage entfernt.

Das bekommen Sie

NIS-2 & KRITIS ohne Maschinentausch

Segmentierung und Zugriffskontrolle ohne Eingriff in die Produktion.

Hersteller-Fernwartung, kontrolliert

Schluss mit dem größten unverwalteten Risiko.

Brownfield, Greenfield, Cloud, OT

Ein Policy-Modell über den ganzen Bestand.

Compliant by Construction

Operativ einfach, Audit-bereit per Default.

Ein Netzwerk. Eine Policy. Ein Identitätsmodell.

Vom Homeoffice bis zur Fertigungshalle, von einer Hyperscaler-Region bis zur Niederlassung in Bayern – Cloud Area Networking ist überall gleich, weil Sicherheit eine Eigenschaft der Identität sein sollte, nicht des Standorts.

Eingesetzt in den sichersten Umgebungen.

Bereit, ohne Firewalls voranzukommen?

Buchen Sie eine 30-minütige Demo. Sehen Sie, wie CanMe Ihre Netzwerksicherheit transformiert – ohne Rip-and-Replace.

Demo buchen →

Oder schreiben Sie uns an hello@canme.cloud