Mobile-Menu

Work-from-anywhere-WAN Wie SD-WAN die IoT- und Edge-Sicherheit revolutioniert

Von Simon Pamplin

Die Netzwerksicherheit stellt laufend neue Anforderungen an die Nutzer. Corona hat dies mehr als deutlich gemacht. Damit die Customer Journey beim Schutz vernetzter Geräte und Daten in einer Cloud-first-Umgebung nicht auf der Strecke bleibt, kommen SD-WAN und ein neuer Edge-to-Cloud-Ansatz für die Netzwerksicherheit ins Spiel.

Firmen zum Thema

SD-WAN bietet eine flexible Lösung am Edge und in der Cloud sowie eine agile Segmentierung von Security-Services und spielt dadurch eine immer größere Rolle in einer zukunftssicheren, vielschichtigen Netzwerk- und Sicherheitsstrategie.
SD-WAN bietet eine flexible Lösung am Edge und in der Cloud sowie eine agile Segmentierung von Security-Services und spielt dadurch eine immer größere Rolle in einer zukunftssicheren, vielschichtigen Netzwerk- und Sicherheitsstrategie.
(© sdecoret - stock.adobe.com)

Die Digitalisierung großer Teile der Wirtschaft und die vermehrte Nutzung von Home-Office haben die Sicherheit von Legacy-Netzwerken und Rechenzentren auf den Prüfstand gestellt und die Grenzen dieser Konzepte offenbart. Es war die Entwicklung zu beobachten, dass der Edge zum Schmelztiegel großer Datenmengen aus unterschiedlichen Quellen wurde und deren Schutz besonders sichergestellt werden muss. Unternehmen sind nun gut beraten, ihre Sicherheitslösungen auf Aktualität zu prüfen und gegebenenfalls neu aufzustellen. Damit die Customer Journey beim Schutz vernetzter Geräte und Daten in einer Cloud-first-Umgebung nicht auf der Strecke bleibt, kommen SD-WAN und ein neuer Edge-to-Cloud-Ansatz für die Netzwerksicherheit ins Spiel.

Netzwerksicherheit neu denken

Ein neuer Ansatzpunkt bei der Netzwerksicherheit besteht im sogenannten „Work-from-anywhere-WAN“. Dieses ist in den Mittelpunkt gerückt, als pandemiebedingt ein flexibler, ortsunabhängiger Zugriff auf Unternehmensdaten nötig war und durch Cloud- und SaaS-Anwendungen realisiert wurde. Der Einsatz einer modernen Sicherheitslösung darf nicht an bestimmte Orte gebunden sein und muss agentenlose Geräte mit einbeziehen, die mit internetbasierten Diensten interagieren. In diesem Zusammenhang ist es wichtig, dass IT-Verantwortliche neue, sicherheitstechnisch anspruchsvolle Lösungen schnell und unkompliziert in das bestehende Sicherheitskonzept integrieren können. Dazu ist es beispielsweise erforderlich, granulare Sicherheitsrichtlinien auf der Grundlage von Rollen durchzusetzen, die sich wiederum aus Parametern wie Anwendungstyp, Benutzer, Zeit, Standort und Gerät durchzusetzen.

Neue WAN- und Security-Dienste rasch einführen mit Zero-Touch-Provisioning

Für die Einführung neuer WAN- und Security-Dienste hat sich ein Automatisierungsprozess, das sogenannte Zero-Touch-Provisioning (ZTP) als hilfreich erwiesen. Es spart im Gegensatz zu traditionellen WAN-Modellen bei der Bereitstellung neuer Services bis zu drei Monate an Zeit ein. Mit ZTP werden Konfigurationen und Richtlinien einmal programmiert und dann an sämtliche Zweitstellen des Unternehmens übertragen. IT-Verantwortliche müssen nicht jedes Gerät einzeln programmieren. Wird eine neue Anwendung hinzugefügt, entfällt die Aufgabe, spezialisierte IT-Ressourcen an die einzelnen Unternehmensniederlassungen zu senden. Ergänzt mit Tools zur Problemlösung können IT-Abteilungen eine sichere Benutzererfahrung und einen unterbrechungsfreien Zugriff auf geschäftskritische Anwendungen gewährleisten. Daran anknüpfend gibt es noch weitere Aspekte, die für ein funktionierendes SD-WAN eine Rolle spielen – gerade im Hinblick auf gestiegene Datenmengen in der Cloud und am Edge.

Ein rollenbasierter Ansatz für optimierte Leistung und Sicherheit

Ein dynamisches Sicherheitsmandat stellt einen leitungsübergreifenden Schutz sicher – egal um welchen digitalen Touchpoint es sich handelt. Dazu ist ein rollenbasierter Ansatz zu etablieren, der Strategien in den Bereichen Sicherheit und Datenverkehr umfasst. Er hilft, durch die gezielte Auswahl des Geräte- beziehungsweise Zweigstellenzugangs Edge-Devices zu befähigen, den Datenverkehr automatisch mittels SD-WAN-Tunnel-Bonding und Pfadkonditionierung zu leiten.

Bei einem rollenorientierten Ansatz ist nicht die IP-Adresse, sondern die Benutzerrolle das Schlüsselattribut, um Authentifizierungsfaktoren abzufragen und Sicherheitsfeatures sowie Netzzugang bereitzustellen. Die Rolle ergibt sich aus dem Benutzernamen, der Gerätegruppe, dem Betriebssystem und gegebenenfalls einer eindeutigen MAC-Adresse, einschließlich seiner Position. Die Rolle wird in einem Policy Manager mit einer Zugangsrichtlinie verknüft. Darauf aufbauend wird ein Zero-Trust-Modell angewandt. Dieses stellt sicher, dass Benutzer und Geräte zunächst als nicht vertrauenswürdig eingestuft werden. Es spielt dabei keine Rolle, ob die Verbindung innerhalb oder außerhalb des traditionellen Sicherheitsbereichs zustande kommt. Erst wenn bei einem Verbindungswunsch die anfragende Rolle erkannt ist wird mit der verknüpften Zugangsrichtline die Verbindung entsprechend freigegeben. Ändern sich während der Nutzung einzelne Parameter, die eine Rolle definieren ergibt sich daraus eine neue Rolle, die wiederum mit einer weiteren Zugangsrichtlinie versehen einen anderen Zugang erhält oder, je nach Anwendungsfall gesperrt wird. Das kann in einem einfachen Beispiel die Tages- oder Arbeitszeit oder auch der Ort sein.

Außerdem gewährleistet dieses Modell, dass für Campus- oder Zweigstellennetzwerke die gleichen Steuermechanismen gelten wie für Remote-User und IoT-Geräte. Mithilfe von Geräte-Insights lassen sich alle mit dem Netzwerk verbundenen Geräte intelligent erfassen. Dadurch ist das gesamte Gerätespektrum im Netzwerk sichtbar. Dies ermöglicht eine einheitliche Richtlinie für das gesamte Netzwerk, die automatisiert sowohl im LAN/WLAN als auch im WAN durchgesetzt werden kann. So können Unternehmen davon ausgehen, dass Benutzer und Geräte nur mit Zielen oder Datensätzen kommunizieren können, die ihrer Rolle im Unternehmen zugeordnet sind.

Sicherheitsrichtlinien für die Cloud

IT-Sicherheitskonzepte für On-premises-Anwendungen und Cloud-Lösungen unterscheiden sich. On-premises-Lösungen werden gebündelt im lokalen Rechenzentrum eines Unternehmens gehostet. Es ist also die Errichtung einer zentralen Firewall möglich. Beim Cloud-Computing ist eine andere Herangehensweise erforderlich, da die Anwendungen dezentral gehostet werden. Hier helfen SD-WAN-Edge-Plattformen. Sie fangen Daten gleich am Edge ab, identifizieren und klassifizieren sie und halten die Informationen isoliert vom übrigen Datenverkehr im Netzwerk vor. In diesem Zuge lassen sich Sicherheitsrichtlinien automatisiert durchsetzen.

Die Sicherheitsrichtlinie einer Cloud-App könnte etwa wie folgt definiert werden:

  • Vertrauenswürdigen SaaS-Traffic (Office 365, SAP, Oracle, Zoom) über das Internet direkt an die nächstgelegene SaaS-Instanz schicken.
  • Daten aus Anwendungen wie Facebook und YouTube, die überwiegend im Privatbereich genutzt werden, an einen sicheren Web-Gateway-Dienst wie Zscaler, Netskope, McAfee oder Symantec senden zur Überprüfung.
  • Nicht vertrauenswürdiger, verdächtiger oder unbekannter Datenverkehr geht zur weiteren Prüfung an einen regionalen Hub oder eine rechenzentrumsbasierte Next Generation Firewall.

Eine SD-WAN-Plattform gibt dem Anwender Möglichkeiten an die Hand, Sicherheitsfunktionen für neue Anwendungsfälle individuell zu implementieren – beispielsweise für den Remote-Zugriff auf die Edge oder die Verarbeitung von Daten von IoT-Geräten. Praxisbeispiele dazu gibt es viele: Angefangen bei Mitarbeitern, die vom Home-Office aus auf Unternehmensinformationen zugreifen, bis hin zu Überwachungskameras am Point-of-Sale einer Firma, die an das IoT angeschlossen sind. Ein virtuelles WAN-Overlay-Modell ermöglicht die Konfiguration und Durchsetzung einer End-to-End-Mikrosegmentierung, um differenzierte Sicherheitsrichtlinien und -steuerungen sicherzustellen. Dieses sorgt für eine Optimierung des Security-Levels, da Sicherheitsverstöße auf ein einzelnes Netzwerksegment beschränkt bleiben.

Verwaltung und Funktionalität von SD-WAN automatisieren

Die Entwicklung von einem fest installierten WAN zu einem Cloud-basierten WAN ist ein erster Schritt. Als nächstes spielt Künstliche Intelligenz gepaart mit Automatisierung eine tragende Rolle. Gewiss, die Cloud eröffnet Unternehmen die Möglichkeit einer einfachen und flexiblen WAN-Transformation. Doch damit ist das Entwicklungspotenzial noch nicht erschöpft. Zur Erfassung und Verwaltung großer Datenmengen ist ein zentrales, automatisiertes System nötig. Dieses trifft ohne menschliches Zutun Entscheidungen und erleichtert das Netzwerkmanagement.

Um die Notwendigkeit dieser Entwicklung deutlich zu machen, dient die Beschreibung eines Prozesses innerhalb einer traditioneller Sicherheitsarchitektur: In diesem Fall ist jede Sicherheitsrichtlinie und jede nachfolgende Änderung manuell zu konfigurieren und auf Gerätebasis zu verwalten. Dies zieht ein schwerfälliges Management nach sich und erhöht die Fehleranfälligkeit, da ein solches Vorgehen früher oder später zum Scheitern verurteilt ist. Bei verteilten und Cloud-basierten Anwendungen ist diese Problematik besonders ausgeprägt. Traditionelle, Router-zentrierte Sicherheitskonzepte erfordern, dass der gesamte Datenverkehr in der Cloud zum Sicherheitscheck durch das Rechenzentrum geleitet wird. Es liegt auf der Hand, dass manuelle Eingriffe diesen Prozess langwierig und kompliziert machen. Der Zeitaufwand für IT-Sicherheitsteams ist immens, wenn sie laufend Richtlinien auf den einzelnen Sicherheits-Appliances aktualisieren. SD-WANs schaffen hier mit KI und Automatisierung Abhilfe. Dabei erfolgt die Steuerung des freigegebenen Datenverkehrs durch eine Firewall; Daten werden an den Sicherheits-Stack des Rechenzentrums umgeleitet oder an einen anderen Anbieter ausgelagert. Die dynamische Zero-Trust-Segmentierung des Netzwerks und der Anwendung bilden mit rollenbasierten Richtlinien eine einheitliche und schnell einsetzbare Sicherheitslösung. Dies stellt einen enormen Vorteil gegenüber herkömmlichen und in Silos abgeschotteten Routern und Firewalls dar. Es ist eine Überprüfung des Traffics am Edge in Echtzeit möglich und die Integration von KI-gestütztem Betrieb (AIOps) sorgt für optimierte Effizienz.

Fazit

SD-WAN spielt eine immer größere Rolle in einer zukunftssicheren, vielschichtigen Netzwerk- und Sicherheitsstrategie. Es bietet eine flexible Lösung am Edge und in der Cloud sowie eine agile Segmentierung von Security-Services. Diese sind für Unternehmen absolut erforderlich, die bei ihrer digitalen Transformation auf die Multi-Cloud setzen. Da die Sicherheitsanforderungen für IoT steigen und die Fernarbeit zunimmt, wird SD-WAN unabdingbar, um moderne Konzepte für die Netzwerksicherheit über eine einzige Plattform zu verwalten.

Über den Autor

Simon Pamplin ist Chief Technologist WAN Edge EMEA bei Aruba Silver Peak.

(ID:47819191)