Sicherheitskonzept für verteilte Netzwerke

6 Kernanforderungen für sichere SD-WANs

| Autor / Redakteur: Hatem Naguib / Andreas Donner

Wenn Anwendungen in die Cloud wechseln, sollte die Security-Lösung auch den Datenverkehr zu und von den Cloud-Anwendungen regulieren.
Wenn Anwendungen in die Cloud wechseln, sollte die Security-Lösung auch den Datenverkehr zu und von den Cloud-Anwendungen regulieren. (Bild: © – leowolfert – stock.adobe.com)

Unternehmen setzen zunehmend auf SD-WAN und lösen damit ihre MPLS-Leitungen ab. Jedoch ist es wichtig, in diesem Zuge auch neue Sicherheitskontrollen für alle Remote-Standorte einzuführen. Für eine sichere SD-WAN-Bereitstellung müssen sechs Kernanforderungen erfüllt sein.

Unternehmen, deren Standorte landes- oder weltweit verteilt sind, verbinden diese häufig seit Jahren, wenn nicht seit Jahrzehnten, per MPLS-Leitungen (Multiprotocol Label Switching). Doch vor allem durch den steigenden Einsatz von Cloud-Technologien ist diese Architektur mittlerweile veraltet. User, Daten und Anwendungen sind heutzutage weit verstreut, Angestellte arbeiten von überall aus und nutzen eine Vielzahl an Geräten.

Vor dieser Entwicklung war die Implementierung von Sicherheitskontrollen relativ einfach – dahingehend, dass ein definierter Perimeter um alle zu schützenden Vermögenswerte eines Unternehmens existierte. So konnten IT-Teams eine Vielzahl von Sicherheitstechnologien zentral einsetzen. Remote-Standorte wurden in diesen Sicherheitsbereich einbezogen, indem der gesamte Verkehr über MPLS zu einer großen zentralen Firewall umgeleitet wurde. Diese sorgte für die Traffic-Regulierung und Durchsetzung der Sicherheitsrichtlinien.

Herausforderungen durch weit verteilte Infrastrukturen

Der Netzwerkrand löst sich auf, wenn Anwendungen und Benutzer darüber hinausgehen. Dies macht die Implementierung von Sicherheitskontrollen mit bestehenden Tools komplexer. Zudem sind Anwendungen, die früher im Rechenzentrum gehostet wurden, in gewisser Weise in die Cloud migriert (entweder durch SaaS oder Public Cloud). Diese Anwendungen können bei der Ausführung an Remote-Standorten an Performance einbüßen, hauptsächlich aufgrund der Latenzzeit, die von all den MPLS-Schaltungen verursacht wird, die für die Rückführung des Datenverkehrs zum Hauptstandort sorgen.

Man nehme z.B. Office 365, das früher als Exchange-Server im Rechenzentrum stand. Oft erleben Unternehmen eine schlechte Nutzererfahrung oder schleppende Performance, weil sie den Datenverkehr per MPLS zum Unternehmenshauptsitz holen und dann ins Internet schicken. Um dieses Problem zu lösen, benötigen Remote-Standorte die direkte Verbindung zur Cloud. Genau das bietet SD-WAN. Jedoch ist es wichtig, in diesem Zuge auch neue Sicherheitskontrollen für alle Remote-Standorte einzuführen.

Entsprechende Lösungen sind in der Regel kosteneffizient zu implementieren und einfach skalierbar, und da Anwendungen in die Cloud wechseln, sollte die Security-Lösung auch den Datenverkehr zu und von den Cloud-Anwendungen regulieren. Unternehmen können mit diesem Ansatz die Benutzerfreundlichkeit optimieren und gleichzeitig ihre Betriebs- und Investitionsausgaben senken. Eine sichere SD-WAN-Bereitstellung muss folgende sechs Kernanforderungen erfüllen:

1. Zero-Touch-Bereitstellung

Verfügt ein Unternehmen über 50, 100, 1000 oder mehr Remote-Standorte, ist es unrealistisch, jeden dieser Standorte für die SD-WAN-Bereitstellung einzeln besuchen zu wollen. Mittels Zero-Touch-Bereitstellung sowie einem zentralisierten Management genügt ein Mitarbeiter vor Ort, der die Lösung per Knopfdruck in Betrieb nimmt.

2. WAN-Optimierung

Komprimierung und Deduplizierung sind zwei Möglichkeiten, um den Datenverkehr zu optimieren bzw. die Bandbreite zu verbessern. Datenpakete lassen sich anhand von Hashwerten identifizieren. So kann bereits übertragener Content auf der Appliance zwischengespeichert bzw. komprimiert werden, sodass lediglich noch der viel kleinere Hashwert übertragen werden muss. Die Deduplizierung reduziert die wiederholte oder parallele Übertragung gleicher Daten im WAN. Häufig angeforderte Informationen werden lokal zwischengespeichert oder identische Inhalte zusammengeführt. Letztendlich bestimmt die eingesetzte Lösung, welche Methoden zur WAN-Optimierung genutzt werden.

3. Advanced Firewalling

Um an Remote-Standorten genauso gut abgesichert zu sein wie am Hauptstandort, erfordert es eine Firewall, die für verteilte Umgebungen konzipiert ist und zentralisierte Richtlinien und Verwaltung in großem Umfang nutzt. Dazu gehören Anwendungs- und Benutzerkontrollen, IDS/IPS, Webfilterung und Routingfunktionen.

4. Erweiterter Schutz vor Bedrohungen

Benutzer, Anwendungen und Daten müssen vor allen Bedrohungen geschützt sein, die das Internet zu bieten hat. Viele Unternehmen haben dies mit einer zentralen Sandbox umgesetzt, aber für eine verteilte Architektur, bei der das Backhauling minimiert werden soll, ist eine cloudbasierte Advanced Threat Protection die ideale Lösung.

5. Zentralisierte Verwaltung

Alle Firewallfunktionen, unabhängig von der Konfiguration von Sicherheit, Content, Traffic-Management, Netzwerk, Zugriffsrichtlinien oder Software-Updates, sollten zentral verwaltet werden. So lassen sich die Kosten für Sicherheit und Lifecycle-Management senken, und dies alles bei gleichzeitiger Bereitstellung von Funktionen zur Fehlerbehebung und Konnektivität.

6. Cloud-Integration

Als einer der Treiber für SD-WAN geht es bei der Migration von Workloads in die Cloud sowohl um die Sicherstellung einer hohen Anwendungsperformance als auch um den sicheren Zugriff auf die Workloads. Ein VPN kann diese Aufgabe übernehmen, doch wenn Unternehmen erst einmal in der Cloud sind, entstehen neue Herausforderungen: Da wären nicht nur die Workload-Anforderungen, sondern auch Anforderungen an Sicherheitskontrollen, Bereitstellungsmethoden und eine reibungslose Lizenzierung. Wichtig hierfür ist ein Firewall/SD-WAN-Gerät, das nicht nur eng mit Cloud-Plattformen integriert ist, sondern auch die Anwendungsfälle in der Cloud erfüllt.

Hatem Naguib.
Hatem Naguib. (Bild: Barracuda Networks)

Fazit

Wenn Unternehmen ihren SD-WAN-Rollout ausloten, gibt es eine Menge zu beachten, doch durch ein im Vorfeld gut durchdachtes Konzept können sie die passende Sicherheit für ihr verteiltes Netzwerk schaffen und einen soliden Migrationspfad in die Cloud bereitstellen. Die Integration der oben genannten Funktionen in die SD-WAN-Bereitstellung können die Netzwerkarchitektur erheblich vereinfachen, die Sicherheit erhöhen, Uptime optimieren und Kosten reduzieren.

Über den Autor

Hatem Naguib ist Senior Vice President und General Manager bei Barracuda Networks.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45496508 / MAN- und WAN-Protokolle)