Software-Defined Wide Area Network

Mit sicherem SD-WAN Zweigstellen absichern

| Autor / Redakteur: Josef Meier / Peter Schmitz

Ständige, performate Verfügbarkeit von Business-Anwendungen sind heute ein Muss, auch in Filialen. SD-WAN bietet dafür eine dynamische Lösung, birgt aber neue Sicherheitsrisiken.
Ständige, performate Verfügbarkeit von Business-Anwendungen sind heute ein Muss, auch in Filialen. SD-WAN bietet dafür eine dynamische Lösung, birgt aber neue Sicherheitsrisiken. (Bild: gemeinfrei / Pixabay)

Business-Anwendungen sind das Herzblut digitaler Unternehmen. Sie müssen ständig verfügbar sein, auch in Zweigstellen. Die Lösung hierfür heißt Software-definiertes Wide-Area-Networking (SD-WAN). Allerdings schafft die dynamische Natur des SD-WAN neue Sicherheitsrisiken, die Unternehmen adressieren müssen. Daher sollte Security von Beginn an Bestandteil einer jeden SD-WAN-Lösung sein.

Lange haben Unternehmen ihre Außenstellen fast stiefmütterlich behandelt. Lokale Daten waren veraltet und die Netzverbindung zur Zentrale langsam und instabil. Heutigen Ansprüchen genügt diese Handhabe nicht mehr: Unternehmen brauchen in all ihren Zweigstellen hohe und konsistente Geschwindigkeiten – und das bei meist höherem Traffic, mehr Nutzern sowie implementierten Software- und Infrastructure-as-a-Service (SaaS und IaaS)-Lösungen. Für die Anwendung in Unternehmen mit vielen Zweigstellen steht heute SD-WAN an vorderster Stelle.

Das Software-definierte Wide-Area-Networking kategorisiert den Traffic automatisch in Typ, Nutzer, Quelle und Ziel, um kritische Applikationen über Pfade mit einer angemessenen Bandbreite und minimaler Latenz zu leiten. Kombiniert mit einer vereinfachten Ausfallsicherung schafft SD-WAN Zugang zu Ressourcen überall im verteilten Netzwerk sowie zu hochentwickelte Anwendungen, komplexen Workflows und Cloud-basierten Services – auch auf privaten Geräten. Doch diese Möglichkeiten werden von Risiken begleitet, wie die folgenden Anwendungsbeispiele zeigen.

eBook

SD-WAN: Internet- & Cloud-Anbindung von Unternehmen im Fokus

eBook "Software-Defined WAN" verfügbar

21.12.18 - Der Markt für die Anbindungen an Weit­ver­kehrs­net­ze ist in Bewegung: Auch hier sind es nun die Software-basierenden Techniken, die nach ihrem Siegeszug auf den Servern, den Speichern und kompletten Rechenzentren nun auch die Wide-Area-Netzwerke für sich gewinnen wollen. Techniken wie SD-WAN und auch Hybrid-WAN sollen den Unternehmen ganz neue Möglichkeiten bei der Internet- Cloud-Anbindung bieten. lesen

Sicherheitsrisiken bei SD-WAN-Anwendungen

Wegen des wachsenden Bedarfs an Bandbreite wechseln viele große Unternehmen von Multi-Label-Protocol-Switching (MLPS) zu Breitband. Damit erhalten auch kritische Anwendungen Zugang zum Internet, was den Gefahrenherd vergrößert. Sicheres SD-WAN sollte daher mit einer Next Generation Firewall (NGFW) der Enterprise-Klasse kommen, um Bedrohungsschutz und -erkennung sowie gleichzeitig eine hochwertige Nutzererfahrung für Business-Applikationen zu gewährleisten.

Zunehmend verwenden Unternehmen auch SaaS in ihrem SD-WAN. Das führt zu mehr verschlüsseltem Traffic. Hacker nutzen das zu ihrem Vorteil, indem sie Malware einschleusen. Eine tiefgehende und leistungsstarke SSL-Inspektion am WAN Edge ist hier von Vorteil, um das Malware-Aufkommen zu überwachen und für vertiefte Sichtbarkeit in die Applikationsebenen zu sorgen.

Weiter eröffnen Vernetzung und Flexibilität von SD-WAN den Cyber-Kriminellen neue Angriffsflächen. Jedes Element des Netzwerks, von Cloud-Verbindungen über Remote-Nutzer und IoT-Geräte bis hin zu den SD-WAN-Verbindungen der einzelnen Filialen – alles kann zum Einfallstor für Schadsoftware werden. Gängige Lösungen sind für diesen Grad der Vernetzung zu simpel und reichen meist nicht aus, um das Netzwerk umfassend zu sichern.

Von SD-WAN zu Secure SD-WAN

SD-WAN-Lösungen unterstützen häufig nur grundlegende Schutzfunktionen wie zustandsorientierte Firewalls und VPN. Auch die Security-Architekturen in den Zentralen der Unternehmen sind oft unzureichend. Meistens verschlüsseln sie lediglich den Traffic und legen anschließend einen Security-Filter an die Enden des Netzwerks – mehr nicht. Viele Unternehmen implementieren deshalb nachträglich Security-Lösungen, um Funktionen wie Intrusion Prevention, Malware-Analyse, Web-Filterung, Sandboxing und SSL-Traffic-Kontrolle bereitzustellen. Diese Services erfordern komplexe Strategien sowie das entsprechende Equipment in der Zweigstelle, welches mit der SD-WAN-Lösung abgestimmt werden muss. All das ist schwierig zu managen und übersteigt oft die Ressourcen eines Unternehmens – nicht nur, aber besonders in den Zweigstellen.

Damit eine Security-Lösung den Anforderungen einer SD-WAN-Architektur gerecht wird, muss diese bereits bei der Planung mitgedacht werden. Die Security sollte von vornherein viele ihrer Design-Prinzipien mit dem SD-WAN teilen, wie Geschwindigkeit, Flexibilität und Skalierbarkeit. Auf jeden Fall sollte eine Security-Lösung für SD-WAN aber folgende Elemente beinhalten: ein umfassendes Repertoire an Security Tools, eine native Einbettung in die SD-WAN-Lösung und eine nahtlose Integration in andere Security-Lösung im gesamten Netzwerk.

Ist SD-WAN genauso sicher wie MPLS?

Software-Defined WAN vs. Multi-Protocol Label Switching

Ist SD-WAN genauso sicher wie MPLS?

20.03.19 - Keith Langridge, Vice President Networking bei BT, untersucht, welche Schritte notwendig sind, um die Netzwerk-Sicherheit bei der Einführung von SD-WAN aufrechtzuerhalten. lesen

Umfassende Security zum Schutz gegen Bedrohungen

Zweigstellen sind genauso betroffen von Bedrohungen, wie jede andere Stelle im Netzwerk auch. Daher muss ein umfassendes Security-Portfolio zur Verfügung stehen. Dazu gehören eine Next Generation Firewall (NGFW), die den Datenverkehr von Layer 2 bis Layer 7 einsieht und schützen kann, Intrusion-Detection- und Prevention-Systeme, Anwendungsfilter, Web-Security, Anti-Malware- und Antiviren-Tools, Datenverschlüsselung und eine hohe Leistung bei der Prüfung verschlüsselten Datenverkehrs.

Native Einbettung in die SD-WAN-Lösung

Security nativ in die SD-WAN-Lösung einzubetten reduziert den Aufwand in der Zweigstelle. Statt im Nachgang Anpassungen vorzunehmen, sollte im Idealfall ein NGFW-Gerät die SD-WAN-Funktionalität bereitstellen. Zum einen ist das Gerät so für den Prozessaufwand ausgelegt, der für den Betrieb der zahlreichen Security Tools erforderlich ist. Zum anderen können diese Tools und Sicherheitsrichtlinien über eine zentrale Konsole organisiert und verwaltet werden. Im besten Fall lassen sich alle SD-WAN-Funktionen über dieselbe Oberfläche managen.

Nahtlose Integration überall im Netzwerk

Nicht zuletzt sollte sich die Security-Lösung nahtlos in andere Tools im verteilten Netzwerk integrieren. Bedrohungsinformationen zu sammeln, zu korrelieren und zu adressieren erhöht die Sicherheit im gesamten verteilten Netzwerk. Unternehmen profitieren von der Verwaltung über eine einzige Oberfläche und sparen zudem Kosten ein. Denn sie konsolidieren ihre IT-Ressourcen nicht nur bei der Erstellung von Sicherheitsrichtlinien, sondern auch während des gesamten Lebenszyklus – von der Bereitstellung über Integration und Monitoring bis zur Optimierung der Security.

Digitale Transformation – ohne Abstriche bei der Security

Ständige Verfügbarkeit und Leistung von Business-Anwendungen sind für die digitale Wirtschaft von heute ein Muss – nicht nur in der Zentrale, sondern auch in Unternehmensfilialen. SD-WAN bietet hierfür eine dynamische Lösung, die Produktivität und Integrität von Zweigstellen sicherstellt.

Ein sicheres SD-WAN sollte eine Reihe von vollständig integrierten Security-Lösungen beinhalten. So bietet es nicht nur wesentliche SD-WAN-Funktionen, sondern sichert auch die gesamte Bandbreite kritischer Anwendungen und Services in den Zweigstellen. Gleichzeitig integriert es diese nahtlos in das Security-Framework des Unternehmens. Dies reduziert Security-Aufwand, gewährleistet einen konsequenten Schutz und beachtet die Durchsetzung von Sicherheitsrichtlinien. Eine Lösung mit den entsprechenden Security Tools, nativer Einbettung und nahtlos Integration im gesamten Netzwerk reduziert schlussendlich auch die Gesamtbetriebskosten des SD-WAN – ohne Kompromisse bei der Sicherheit.

Über den Autor

Josef Meier (CISSP/CEH) ist seit Sommer 2015 bei Fortinet tätig. Als Director Sales Engineering Germany verantwortet er deutschlandweit die technische Pre-Sales-Strategie sowie das Team der System Engineers. Er hat fast 20 Jahre Erfahrung im IT-Security-Bereich, und bevor er zu Fortinet kam war er unter anderem tätig als Manager Pre-Sales Central & Eastern Europe bei HP und TippingPoint sowie Head of Systems Engineering bei SSP Europe.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45932853 / Architektur)