Unternehmen, deren Standorte landes- oder weltweit verteilt sind, verbinden diese häufig seit Jahren, wenn nicht seit Jahrzehnten, per MPLS-Leitungen (Multiprotocol Label Switching). Doch mit dem steigenden Einsatz von Cloud-Technologien ist diese Architektur mittlerweile veraltet. Zumal User, Daten und Anwendungen heutzutage weit verstreut sind. So arbeiten Angestellte von überall aus und nutzen eine Vielzahl an Geräten.
Ein Wandel, der direkte Auswirkungen auf die Sicherheitsstrategie hat. Das alte Konzept, einen definierten Perimeter um alle zu schützenden Vermögenswerte eines Unternehmens zu ziehen, indem IT-Teams eine Vielzahl von Sicherheitstechnologien zentral einsetzen, funktioniert nicht mehr. Remote-Standorte wurden in diesen Sicherheitsbereich einbezogen, indem der gesamte Verkehr über MPLS zu einer großen zentralen Firewall umgeleitet wurde. Sie war für die Traffic-Regulierung und Durchsetzung der Sicherheitsrichtlinien zuständig.
Allerdings löst sich der Netzwerkrand auf, wenn Anwendungen und Benutzer darüber hinausgehen. Dies macht die Implementierung von Sicherheitskontrollen mit bestehenden Tools komplexer. Zudem sind Anwendungen, die früher im Rechenzentrum gehostet wurden, häufig in die Cloud migriert (entweder durch SaaS oder Public Cloud). Diese Anwendungen können bei der Ausführung an Remote-Standorten an Performance einbüßen. Dies liegt an der Latenzzeit, die von all den MPLS-Schaltungen verursacht wird, die erforderlich sind, um den Datenverkehr zum Hauptstandort zu führen.
Man nehme zum Beispiel Office 365, das früher als Exchange-Server im Rechenzentrum stand: Oft erleben die Unternehmen eine schlechte Nutzererfahrung oder schleppende Performance, weil sie den Datenverkehr erst per MPLS zum Unternehmenshauptsitz holen und dann ins Internet schicken. Um dieses Problem zu lösen, benötigen Remote-Standorte eigentlich einedirekte Verbindung zur Cloud. Genau das bietet ein SD-WAN, weshalb die Technik immer populärer wird.
Allerdings erfordert eine SD-WAN-basierende Infrastruktur neue Sicherheitskonzepte. DA die Anwendungen in die Cloud wechseln, sollte eine Security-Lösung auch den Datenverkehr zu und von den Cloud-Anwendungen regulieren. Hierbei sind einige grundlegende Prinzipien zu beachten.
Sechs Kernanforderungen für eine sichere SD-WAN-Bereitstellung:
Zero-Touch-Bereitstellung:
Verfügt ein Unternehmen über 50, 100, 1000 oder mehr Remote-Standorte, ist es unrealistisch, jeden dieser Standorte für die SD-WAN-Bereitstellung einzeln besuchen zu wollen. Mittels Zero-Touch-Bereitstellung sowie einem zentralisierten Management genügt ein Mitarbeiter vor Ort, der die Lösung per Knopfdruck in Betrieb nimmt.
WAN-Optimierung:
Komprimierung und Deduplizierung sind zwei Möglichkeiten, um den Datenverkehr zu optimieren, beziehungsweise die Bandbreite zu verbessern. Datenpakete lassen sich anhand von Hash-Werten identifizieren. Damit kann bereits übertragener Content auf der Appliance zwischengespeichert, beziehungsweise komprimiert werden, so dass lediglich noch der viel kleinere Hash-Wert übertragen werden muss. Die Deduplizierung reduziert die wiederholte oder parallele Übertragung gleicher Daten im WAN. Häufig angeforderte Informationen werden lokal zwischengespeichert oder identische Inhalte zusammengeführt. Letzten Endes bestimmt die eingesetzte Lösung, welche Methoden zur WAN-Optimierung genutzt werden.
Advanced Firewalling:
Um an Remote-Standorten genauso gut abgesichert zu sein wie am Hauptstandort, erfordert es eine Firewall, die für verteilte Umgebungen konzipiert ist und zentralisierte Richtlinien und Verwaltung in großem Umfang nutzt. Dazu gehören Anwendungs- und Benutzerkontrollen, IDS/IPS, Webfilterung und Routing-Funktionen.
Erweiterter Schutz vor Bedrohungen:
Ferner ist sicherzustellen, dass Benutzer, Anwendungen und Daten vor allen Bedrohungen geschützt sind, die das Internet zu bieten hat. Viele Unternehmen haben dies mit einer zentralen Sandbox umgesetzt, aber für eine verteilte Architektur, bei der das Backhauling minimiert werden soll, ist eine Cloud-basierte Advanced Threat Protection die bessere Lösung.
Zentralisierte Verwaltung:
Alle Firewall-Funktionen sollten unabhängig von der Konfiguration von Sicherheit, Content, Traffic-Management, Netzwerk, Zugriffsrichtlinien oder Software-Updates umfassend und zentral verwaltet werden. So können die Kosten für Sicherheit und Lifecycle-Management gesenkt werden. Und dies alles bei gleichzeitiger Bereitstellung von Funktionen zur Fehlerbehebung und Konnektivität.
Cloud-Integration:
Als einer der Treiber für SD-WAN geht es bei der Migration von Workloads in die Cloud sowohl um die Sicherstellung einer hohen Anwendungs-Performance als auch um den sicheren Zugriff auf die Workloads. Ein VPN kann diese Aufgabe übernehmen, doch wenn Unternehmen erst einmal in der Cloud sind, entstehen neue Herausforderungen: Da wären nicht nur die Workload-Anforderungen, sondern auch Anforderungen an Sicherheitskontrollen, Bereitstellungsmethoden und eine reibungslose Lizenzierung. Wichtig hierfür ist ein Firewall/SD-WAN-Gerät, das nicht nur eng mit Cloud-Plattformen integriert ist, sondern auch die Anwendungsfälle in der Cloud adäquat unterstützt.
Die Integration der oben genannten Funktionen in ein SD-WAN können die Netzwerk-Architektur erheblich vereinfachen und die Sicherheit erhöhen.