:quality(80)/p7i.vogel.de/wcms/fe/78/fe7853bc53025097113ccc1e522e1b7f/0108745708.jpeg "Switches, Router, Gateways, Server, USVs Racks & Co. – Das Feld der Netzwerk-Infrastruktur ist breit und viele Anbieter buhlen hier bei den IT-Awards um die Gunst der Leser von IP-Insider. (Bild: © lassedesignen - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/0b/2f0badc7f79d254978200e2b701404f3/0108746724.jpeg "Ohne den digitalen Arbeitsplatz – auch Digital Workspace genannt – wäre der Corona-bedingte Wechsel ins Homeoffice für viele wohl unmöglich gewesen. Heute geht es ohne Digital Workspace gar nicht mehr. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/d2/bcd2025a15a68d1fb301f78908b63089/0108718897.jpeg "Der anhaltende Trend hin zur Edge- und Cloud-Computing, Hybrid-Work-Szenarios, Homeoffices und das Internet of Things treiben den Bedarf an umfassenden Netzwerk-Monitoring-Lösungen. (Bild: © nimito - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/78/04/7804ac1082f1590953620d451043048a/0114052817.jpeg "Database Availability Groups (DAG) sind ein Kernelement für die Hochverfügbarkeit von Exchange-Servern im lokalen Rechenzentrum. Wir zeigen, wie man Datenbanken umgeht. (Bild: © Kanlaya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/43/6043da56782bdfd9be6b6ba240e90543/0113232231.jpeg "Die Powershell ist ein mächtiges Werkzeug in Windows. (Bild: Thomas Joos)")
:quality(80)/p7i.vogel.de/wcms/97/d7/97d7bd621fd98cd012e2b925ef866a67/0113377765.jpeg "Der Lepide Active Directory Auditor hilft auch aktiv dabei, Ransomware-Angriffe schnell zu erkennen und damit schnell reagieren zu können. (Bild: Lepide)")
:quality(80)/p7i.vogel.de/wcms/e8/b5/e8b543b88343e80c6c0059829d97626c/0114061802.jpeg "„Campus-Netz Smart“ biete auf Grundlage von Microsoft Azure eine standardisierte Lösung für private 5G-Netze. (Bild: Deutsche Telekom / GettyImages / Traitov; Montage: Evelyn Ebert Meneses)")
:quality(80)/p7i.vogel.de/wcms/a9/2a/a92a4f1de57a46d19f848402fff48785/0114005747.jpeg "Wird das Bild noch rund? Was hat ein Donut mit Konnektivität zu tun? (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/2f/82/2f828f5b7dd0f3a70118207ba9f86c55/0114017629.jpeg "Daniel Leimbach, Head of Customer Unit Western Europe von Ericsson: „Wir hoffen, dass die Tests in Dresden dazu beitragen, den künftigen 5G-Ausbau zu stärken und dass das Vertrauen in die Technologie weiter wächst.“ (Bild: Ericsson)")
:quality(80)/p7i.vogel.de/wcms/70/c6/70c6d758eb0048f37eaea7997018042e/0114039013.jpeg "Die Mobile Autonomous Prospecting Platform (MAPP), ein Rover von Lunar Outpost, mit ausgefahrenen Nokia-Antennen. (Bild: Intuitive Machines / Lunar Outpost / Nokia Bell Labs)")
:quality(80)/p7i.vogel.de/wcms/bd/6c/bd6c9611b5e9b2e648e931cb9daae8c7/0114061503.jpeg "Das U-Bahn-Projekt Grand Paris Express wird federführend von der Société du Grand Paris realisiert. (Bild: Société du Grand Paris / Sébastien d’Halloy)")
:quality(80)/p7i.vogel.de/wcms/5a/14/5a14b2c569bdd336f9611e72c8cd3861/0114061768.jpeg "Der Aruba Instant On 1960 ist ein stapelbarer Switch mit einer Portkapazität von 2,5 GB. (Bild: HPE)")
:quality(80)/p7i.vogel.de/wcms/b5/02/b502640f99473c567569a0604f606ed8/0114146630.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/17/0b/170ba091381c42120c88d4de2a652605/0114061782.jpeg "Fluke Networks bietet ausgewählte Kupfer- und Glasfasertester mit Rabatt, Gold-Support und Kalibrierungsservice an. (Bild: Fluke Networks)")
:quality(80)/p7i.vogel.de/wcms/74/be/74be7356ac7dd22816ff8cbf6432b34d/0113402444.jpeg "IT-Abteilungen sollten sich möglichst zeitnah Gedanken machen, wie es nach dem Supportende der Windows-10/11-Versionen 22H2 weitergeht. (Bild: Microsoft - Joos)")
:quality(80)/p7i.vogel.de/wcms/f8/a3/f8a3dc7ea5c753432fb9d0ebe5d68789/0114073000.jpeg "Wer wann über welches Gerät und von wo aus Zugriff auf Unternehmensressourcen hat, ist heute wichtiger denn je. Diese Steuerung übernehmen in der Regel IAM-Lösungen, die aber meist extrem komplex sind. Einfacher in allen Punkten sind hochintegrierten IAM-Lösungen. (Bild: © blacksalmon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/02/33029cdcb203a459272fc9b9a9bb675d/0114039192.jpeg "APM-Systeme laufen auf Anwendungsebene und sammeln Daten und Metriken, die sie dann mit vordefinierten Richtwerten abgleichen. (Bild: © – lhphotos – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/da/00da659829ffb1a7f68bfe1b1f541243/0114039171.jpeg "Matrix42-CFO Marc Breitfeld: „Mit Enterprise Service Management lassen sich Ausgaben besser verwalten, Software wird effizient genutzt und Lizenzbestimmungen können mühelos eingehalten werden.“ (Bild: Matrix42)")
:quality(80)/p7i.vogel.de/wcms/65/ba/65bad184555f299f286830308a516b95/0113988463.jpeg "Positionen bestimmen: Für die exakte Bestimmung von Positionen in vernetzten Gebäuden gibt es verschiedene Möglichkeiten. Etabliert hat sich Visible Light Communication. Wie der Name sagt, wird bei dem Verfahren für Menschen sichtbares Licht verwendet. (Bild: © Tech Hendra – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/15/9b/159b50dbe2821cce5b9d18196e0ffa09/0114057323.jpeg "Erwin Breneis, Sales and Solution Specialist bei Juniper Networks, erläutert, warum sich Network-as-a-Service lohnt. (Bild: Alex Schelbert - Juniper Networks)")
:quality(80)/p7i.vogel.de/wcms/ab/4f/ab4f6d6d1977ccdfe30ae52cf8f975c4/0114002340.jpeg "Becom.one unterstützt den parallelen Einsatz von DSL, Kabel, Glasfaser, LTE, 5G und Starlink. (Bild: Becom)")
:quality(80)/p7i.vogel.de/wcms/77/25/7725113895e0c0e995800ee3e603c08a/0113257803.jpeg "Fazit des Palo Alto Networks IoT Security Benchmark Reports für Unternehmen: Ohne sichere, vernetzte Endgeräte kann Zero Trust nicht erfolgreich umgesetzt werden! (Bild: j-mel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/63/69639e2fdae5e80be62b86785dcea352/0113383474.jpeg "Die Experten von CyberRatings.org empfehlen die ZTNA-Lösung von Versa Networks. (Bild: © – abcmedia – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/24/a2/24a2db265aff80feafc976e5f0db95fd/0113367719.jpeg "Für die 1800er-Serie hat Lancom das neue „Blackline“-Gehäuse entwickelt. (Bild: Lancom)")
:quality(80)/p7i.vogel.de/wcms/25/9e/259ea95526af2984c66b1709ad1f7860/0114014778.jpeg "Die EU-Kommission hat Bedenken wegen der Kopplung von Teams an Microsoft 365 – der Tech-Konzern reagiert mit einer Entkopplung der Produkte. (Bild: yavdat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/dc/90dcb3db29933ec6f2a637a1ff835e17/0113368256.jpeg "Produktives Arbeiten ist nur in einer Umgebung möglich, in der sich die Mitarbeitenden wohlfühlen. (Bild: NTT)")
:quality(80)/p7i.vogel.de/wcms/68/bb/68bb812210f2315fde2d5cad1a497f60/0113479952.jpeg "Durch den Einsatz der neuen APIs könnten Lucid-Anwender und -Partner verstärkt visuell zusammenarbeiten und so bestehende Arbeitsabläufe verbessern. (Bild: Lucid)")
:quality(80)/p7i.vogel.de/wcms/25/fa/25fa4bb5e61fd700bda4fddb3bb2da7d/0113939282.jpeg "Handelt es sich beim Unternehmen weder um eine Tierhandlung noch um ein auf Vierbeiner spezialisiertes Fotostudio, haben Katzenbilder nichts in den Speichersystemen verloren. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/23/ab23a4237b362bc1a68c37ce857aa338/0113384399.jpeg "Wer sich jetzt schon mit den neuen Vorgaben der NIS2 auseinandersetzt und handelt, stärkt die IT-Sicherheit der eigenen Firma und investiert damit auch in deren Zukunftsfähigkeit. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/56/af5630795c1483b0949a3bcea2ec1f63/0114038437.jpeg "Sanjay Macwan, Chief Information Officer und Chief Information Security Officer von Vonage, nennt acht Gründe, die für einen Einsatz von SD-WAN in Unternehmen sprechen. (Bild: Vonage)")
:quality(80)/p7i.vogel.de/wcms/b8/0d/b80d634cf6737163ba0eb4cc02e50050/0113368287.jpeg "Meißen hat das Ziel, sein LoRaWAN auf das ganze Stadtgebiet auszudehnen. (Bild: Basemap.de / BKG 03 2023)")
:quality(80)/p7i.vogel.de/wcms/0f/4c/0f4ccfe5a478a41e5f331bf5722f93e7/0112967090.jpeg "Das Ultra Ethernet Consortium verfolgt das Ziel einer vollständig auf Ethernet basierten Kommunikations-Stack-Architektur für Hochleistungsnetzwerke. (Bild: Ultra Ethernet Consortium)")
Software-Defined WAN vs. Multi-Protocol Label Switching Ist SD-WAN genauso sicher wie MPLS?
Keith Langridge, Vice President Networking bei BT, untersucht, welche Schritte notwendig sind, um die Netzwerk-Sicherheit bei der Einführung von SD-WAN aufrechtzuerhalten.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/77/647721ee50adf/f220119-logo-icp-rgbgruen-grau.png "f220119-logo-icp-rgbgruen-grau (ICP)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Vor kurzem wurde ich von einem multinationalen Kunden gefragt, ob SD-WAN so sicher sei wie sein MPLS-Netzwerk. Meine übliche Antwort auf solche allgemeinen Fragen ist „es kommt darauf an“, aber diesmal sagte ich mit Überzeugung: „Nein, ist es nicht“.
Ein MPLS-Netzwerk ist ein privates Netzwerk. Der einzige Weg, um hineinzukommen, sind die vom Dienstanbieter zugewiesenen Ports. Der Zugang zum und vom Internet erfolgt in der Regel über eines Ihrer Rechenzentren, in dem die Sicherheit des Perimeters zentral überwacht wird und die Verkehrsströme konfiguriert und begrenzt werden. Da die tatsächlich übermittelten Nachrichten nur von Personen und Anwendungen innerhalb Ihrer privaten Netzwerkdomäne gesehen werden können, ist der MPLS-Verkehr in der Regel nicht verschlüsselt.
Die Bereitstellung von SD-WAN über ein MPLS-Netzwerk wäre ebenso sicher wie die Verschlüsselung des gesamten Datenverkehrs, der Ihr Netzwerk durchquert, würde aber erfordern, dass SD-WAN-Geräte den gesamten Datenverkehr an Spokes, Hubs und Cloud-Gateways abwickeln. Es gibt jedoch viel einfachere Möglichkeiten, die Funktionen zur Anwendungssichtbarkeit und Leistungsoptimierung von SD-WAN mit den in MPLS bereits integrierten Features zu erreichen.
Die meisten SD-WAN-Installationen sind entweder mit einer Änderung des zugrundeliegenden Netzwerks verbunden, um internetbasierten Transport mit einzubeziehen, oder mit einer Änderung der Architektur, um von einem zentralisierten Internet-Breakout am Hub (der stark durch Firewalls gesichert und durch Policies kontrolliert ist) zu dezentralen Internet-Breakouts an jeder „Spoke“-Lokation zu wechseln.
Internetbasierter Datentransport
Der Wechsel zum Internet-Transport und die Verschlüsselung Ihrer Daten in IPSec-Tunneln (wie bei allen SD-WANs üblich) ist eigentlich eine sehr gute Möglichkeit, sie sicher zu halten. Aber im öffentlichen Internet wird die Beschaffenheit Ihrer Verkehrsströme sichtbar. Diese Informationen, die in einer MPLS-Welt für Außenstehende verborgen wären, können verwendet werden, um herauszufinden, von welchen Orten und zu welchen Zeiten des Tages, der Woche oder des Monats große Informationsmengen an einem bestimmten Hub zusammenlaufen. Unter der Annahme, dass diese Datenströme für den Betrieb Ihres Unternehmens oder die Einhaltung regulatorischer Vorschriften wichtig sind, kann dieser Hub dann zu einem potenziellen Ziel für erpresserische DDoS-Angriffe werden.
Im Gegensatz zu MPLS-Netzen verfügen SD-WAN-Netze über zentrale Controller, die sich im Internet befinden. Wenn diese nicht gut gesichert werden, können sie Schwachstellen aufweisen. In einer aktuellen Studie wurden rund 5000 IP-Adressen untersucht, die zu 2000 Hosts gehören. Es handelte sich offenbar um Schnittstellen von SD-WAN-Controllern, von denen die meisten veraltete Software-Versionen mit bekannten Schwachstellen ausführten.
Dadurch besteht die Gefahr, dass ein Angreifer in den Besitz der Schlüssel für die IPSec-Verschlüsselung gelangen kann. Außerdem besteht die Möglichkeit, den Zugriff auf einen SD-WAN-Management-Server zu unterbrechen. Dies kann dazu führen, dass Sie den Überblick über das Netzwerk verlieren – und dass das Routing manipuliert werden könnte. Nach einer gewissen Zeit können die Standorte keine aktualisierten Schlüssel mit dem Key-Server mehr austauschen, interpretieren dies als Netzwerkfehler und stellen daher das Routing ein.
:quality(80)/images.vogel.de/vogelonline/bdb/1507300/1507365/original.jpg "Will man auch in Zukunft erfolgreich global agieren, ist es Zeit, MPLS-Dienste abzulösen! (© momius - stock.adobe.com)")
Barrieren für die Nutzung von SD-WAN durchbrechen
Warum das Festhalten an MPLS gefährlich ist
Lokaler Internet-Break-Out
Während der Umstieg auf Internet-Transport und SD-WAN Sicherheitsrisiken eröffnen kann, gibt es einen noch viel bedeutenderen Einflussfaktor: Die Nutzung der Internetverbindung der individuellen Standorte für den lokalen Internet-Break-Out. Die lokale Ausleitung des Internetverkehrs wird meist als einer der wesentlichen Vorteile von SD-WAN angeführt – der Traffic, der für ein Ziel im Internet bestimmt ist, wird direkt „an der Quelle“ abgeleitet und entlastet so das Netzwerk.
Dadurch wird jedoch der Perimeter, also der streng überwachte und geregelte Übergang zum Internet, von einer überschaubaren Anzahl großer Rechenzentrumsstandorte auf eine Vielzahl von entfernten Lokationen verlagert. Für unsere größten globalen Kunden können das schon mal 3000 Standorte in 140 Ländern sein.
Es gibt nun zwei Ansätze, die man verfolgen kann. Man kann versuchen, diesen nun stark vergrößerten Perimeter als undurchdringliche Barriere aufrechtzuerhalten. Die zweite Möglichkeit ist, sich mehr auf interne Sicherheitsansätze wie Identitätskontrollen und Mikrosegmentierung zu konzentrieren.
Die meisten SD-WAN-Lösungen verfügen über eine Access Control List (ACL), die eine eingehende Kommunikation über die WAN-Ports und die Managementkanäle verhindern soll. Viele Kunden kombinieren dies dann mit der Verwendung eines Cloud-basierten Proxys für die ausgehende Kommunikation. Sie nutzen eine Funktionalität, die in vielen SD-WAN-Lösungen enthalten ist, um GRE- oder IPSec-Verbindungen zu Cloud-Security-Knoten herzustellen und zu sichern. Diese Lösung bietet zwar eine angemessene Sicherheit für den ausgehenden Verkehr, ist aber relativ schwach für den eingehenden Verkehr. Für einen erfahrenen Hacker ist es nicht sehr schwer, den Datenverkehr so zu manipulieren, dass er an der ACL-Lösung vorbeikommt. Die Sicherheit des Perimeters hängt daher stark davon ab, wie gut und konsistent die ACL-Richtlinien im gesamten Firmennetz angewandt werden.
Ich treffe häufig auf globale Unternehmen, die an vielen Standorten bereits über geeignete Firewalls verfügen, sodass der lokale Internet-Break-Out über SD-WAN eine risikoarme Option ist.
Da wir darauf vertrauen können, dass der Datenverkehr zwischen verschiedenen SD-WAN-Geräten sicher ist, kann die lokale Internet-Anbindung zu sicheren Diensten in der Cloud, wie beispielsweise der Microsoft-Azure-Hosting-Umgebung des Kunden, durch Hinzufügen virtueller SD-WAN-Geräte innerhalb der IaaS-Lösung erreicht werden. Alternativ kann die Anbindung auch durch einen traditionellen MPLS-Link zu einem Dienstanbieter wie AWS, Azure usw. erfolgen. Dadurch ist man auf diesem letzten Stück nicht von der Qualität der Internetverbindung abhängig. An dieser Stelle müssen jedoch Cloud-Sicherheitskontrollen zusammen mit der Verwendung von Netzwerkzugangskontrolle und Identitätsmanagementkontrollen in Betracht gezogen werden, je nachdem, wie sensibel die Daten sind, auf die zugegriffen werden soll.
Wie kann ich SD-WAN einsetzen und die Sicherheit aufrechterhalten?
Auch wenn SD-WAN-Netzwerke nicht so sicher sind wie traditionelle MPLS-Netzwerke – wenn ich gefragt werde „Wie kann ich SD-WAN einsetzen und die Sicherheit aufrechterhalten“, dann bin ich wieder bei meiner Standard-Antwort: Es kommt darauf an. Es hängt davon ab, wie Sie das SD-WAN nutzen werden, von Ihren Sicherheitsrichtlinien und den Geräten, die Sie bereits an den Standorten haben, von den Richtlinien Ihres Unternehmens und den Vorschriften, die es befolgen muss. Und wie immer hängt es auch von Ihrer Risikobereitschaft ab. Sie müssen die Auswirkungen eines möglichen Sicherheitsvorfalls oder eines Verlustes der Netzwerkkonnektivität abwägen gegen die Kosten für zusätzliche Sicherheit im Netzwerk. Das alles sollte in den Business Case für die SD-WAN-Transformation einfließen.
Denn eines ist klar: Der Aufbau eines SD-WAN ist nicht allein eine Sache für den traditionellen Netzwerkmanager und das NOC. Zu wissen, welche Ziele Sie erreichen wollen und welche Anwendungen Sie nutzen, ist ebenso wichtig wie die Einbeziehung des Sicherheitsteams und des SOC bereits in der frühen Phase der Architekturentwicklung.
Über den Autor
Keith Langridge ist Vice President Networking bei BT.
(ID:45791687)
:quality(80)/p7i.vogel.de/wcms/b8/df/b8dfd95e7841c74f687be87ee663e8ac/0109317995.jpeg "SD-WANs entwickeln sich zum Standard, weil sie die Cybersicherheit verbessern, die Kosten für Unterhalt und Datenübertragungen senken sowie die Administration erleichtern. (Bild: xiaoliangge - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/56/af5630795c1483b0949a3bcea2ec1f63/0114038437.jpeg "Sanjay Macwan, Chief Information Officer und Chief Information Security Officer von Vonage, nennt acht Gründe, die für einen Einsatz von SD-WAN in Unternehmen sprechen. (Bild: Vonage)")