Sicherheits-Services wie ein Virtual Private Network (VPN) lassen sich heute in die Cloud auslagern. Best Practices für die Auswahl des Providers und den Ablauf des Projekts helfen dabei, schnell und möglichst kostengünstig zum Ziel zu kommen.

Cloud-Dienstleistungen setzen sich in immer mehr Bereichen als ebenbürtige Alternative zu On-Premise-Lösungen durch. So ermittelte der Speicheranbieter Pure Storage in einer Studie, dass Unternehmen im Schnitt noch 41 Prozent der Anwendungen mit traditioneller lokaler IT betreiben, während auf die öffentliche Cloud 26 Prozent und auf private Cloud-Dienste 24 Prozent entfallen. Nach ITK-Marktanalysen von Techconsult wird der Markt für SaaS-Lösungen (Software as a Service) in Deutschland in diesem Jahr um 14 Prozent steigen. Investitionen in SaaS machen mit 60 Prozent innerhalb der Cloud-Lösungen den größten Anteil aus. Auch in allen anderen Bereichen des Cloud-Computing-Portfolios – darunter Plattform, Security oder Network as a Service – werden bis 2019 jährlich zweistellige Wachstumsraten seitens der Anwenderunternehmen prognostiziert. Barracuda Networks schätzt, dass 19 Prozent der IT-Budgets in Deutschland derzeit für Public Cloud-Implementierungen Verwendung finden. Mittlerweile kann man auch sicherheitsrelevante Dienste wie Virtual Private Networks (VPNs) problemlos in die Cloud auslagern.

Zahlreiche Anbieter aus den unterschiedlichsten Branchen sind im VPN-Markt aktiv und offerieren ein Komplettangebot, das die Anwender an ihre Ansprüche anpassen können. Sicherheitsrelevante Dienste wie ein VPN in die Cloud auszulagern ist vor allem für kleinere Unternehmen vorteilhaft: Sie sparen sich die Inhouse-Expertise für einen Service, der nicht zum Kerngeschäft gehört und der anders als beispielsweise IaaS (Infrastructure as a Service) ohnehin externe Netzübergänge enthält. Doch auch große Organisationen schätzen das externe Dienstleistungsangebot, weil es die IT-Abteilung entlastet und sich aufgrund der Position außerhalb des Perimeters gut auslagern lässt. Zumeist gibt es sogar branchenspezifische Anbieter, welche die speziellen Anforderungen in einem konkreten Umfeld wie etwa der Finanzindustrie kennen und in ihr Angebot integriert haben.

Obwohl jedes Unternehmen und jedes Unternehmensnetzwerk unterschiedlich aufgebaut ist, verfügen einige VPN-Dienstleister bereits seit Jahren durch eine stabile Nutzerbasis über Erfahrungswerte und wissen, wie sich ein VPN am besten in die Cloud verlagern lässt. VPN-Betreiber wie die Deutsche Telekom raten dazu, sich zunächst Gedanken über die Dimensionierung zu machen. Die Anzahl der benötigten Lizenzen ist dabei ebenso relevant wie die Bandbreite, die remote angebundene Nutzer und Standorte in Anspruch nehmen. Laut Markus Schönel, Senior Product-Manager Business Services der Deutschen Telekom, überschätzen viele die grundlegenden Anforderungen an Bandbreite und Lizenzen: „Die meisten Kunden gehen am Anfang von deutlich mehr gleichzeitig eingeloggten Nutzern aus, als es dann tatsächlich der Fall ist. Das regeln wir in den ersten Wochen nach. Wenn es tatsächlich zu Spitzenbelastungen kommt, gibt es bei uns beispielsweise eine Toleranzregelung, die solche kurzen Lastschwankungen abfängt.“ Welche Netzanbindung zum Einsatz kommt, spielt für die Hoster keine Rolle. MPLS (Multi-Protocol Label Switching) wird ebenso unterstützt wie der Zugang über IPSec. In der Regel nutzen Unternehmen, die MPLS im Einsatz haben, diese Technik auch für den VPN-Zugang. Setzt man noch nicht auf MPLS, ist IPSec die Technik der Wahl.

Stefan Rech vom auf die Finanzbranche spezialisierten Systemhaus Ratiodata rät dazu, sich die Einsatzumgebungen der Clients anzusehen und das Nutzungsszenario zu verstehen: „Es geht nicht nur um die Anzahl der Anwender, sondern auch um die Umgebung, in der sie ihre Endgeräte einsetzen,“ so Rech. „Welche Medien kommen für die Verbindung zum Einsatz? Müssen Hot Spots eines gewerblichen Anbieters integriert werden oder sind die Mitarbeiter international unterwegs? Dann benötigen wir auch Daten über die Mobilfunk-Provider, die im Ausland für die Datenverbindung genutzt werden sollen.“

Die meisten Anbieter haben Fragebögen, um Daten über die dezentrale Infrastruktur zu sammeln, beispielsweise die Anzahl der Anwender sowie die Art der Endgeräte und Betriebssysteme im Einsatz. Je nach VPN-Lösung müssen die verwendeten Betriebssysteme und Versionen mit den VPN-Clients kompatibel sein. Wird die Betriebssystemversion nicht offiziell unterstützt, raten die Experten bei Ratiodata von einer Nutzung ab, selbst wenn dies bislang funktioniert hat.

Mittels VPN-Gateway lassen sich VPNs in die Cloud verlagern und von externen Providern betreuen. Bild: NCP Engineering

Zudem benötigen VPN-Dienstleister Angaben über die Art der Einbindung in die Directory- und Metadirectory-Strukturen des Unternehmens. Bei einer Integration in das Active Directory geht es darum, wie die Remote-Access-Berechtigungen vergeben sind. Bekommen alle Nutzer Zugang über RAS (Remote Access Service) oder gibt es Gruppen mit RAS-Rechten, denen die entsprechenden Nutzer zugeordnet sind? Die Deutsche Telekom nutzt zwei Wege, um die Daten vom Kundenunternehmen zu erhalten: Sie synchronisiert sich entweder mit dem Active Directory und liest die entsprechenden Informationen aus, oder sie nutzt eine täglich aus LDAP exportierte CSV-Liste, in der die Daten aufgeführt sind. Beides läuft automatisiert ab, sodass keine nennenswerten Aufwände und Kosten entstehen.

Auch Ratiodata passt sich bei den Verwaltungsprozessen an die Unternehmen an. In der Regel wird das Active Directory ausgelesen, aber auch Kopplungen zu HR-Software wurden bereits umgesetzt. „Wir versuchen das immer automatisiert zu lösen und uns an die Master-Datenbank zu hängen“, so Stefan Rech. „Wie man das auch immer technisch löst, es muss in die Kundenumgebung passen. Kleinere Unternehmen kaufen die Benutzerverwaltung in der Regel ein, die größeren wollen das gern selbst machen.“ Denn diese verfügten oft über komplette Abteilungen, die sich um die Benutzerverwaltung kümmern.

Auch bei späteren Änderungen stehen mehrere Möglichkeiten offen. Wenn die Anbindung ohnehin automatisiert erfolgt, werden Änderungen auch darüber abgewickelt. Verlässt ein Mitarbeiter das Unternehmen oder wird ein neuer eingestellt, taucht die Änderung im Rahmen der regelmäßigen Synchronisation auf. In kleinen Installationen reicht häufig eine E-Mail an den Account-Manager oder es gibt ein standardisiertes Formular für Change Requests.

Ohne konkreten Ansprechpartner beim Kundenunternehmen kommt auch eine Cloud-VPN-Lösung nicht aus. Die Kunden haben eine vertraglich festgeschriebene Mitwirkungspflicht und können die Verantwortung nicht komplett auf den Provider verlagern. Gesetzlich bleiben sie auch für die Daten verantwortlich, müssen also dafür Sorge tragen, dass persönliche Daten den Datenschutzbestimmungen gerecht behandelt werden.

Möglichkeiten für Client-Rollouts

In der Anfangsphase stellt die Verteilung der Client-Software noch eine maßgebliche Aufgabe dar. Auch hier sind zwei Varianten denkbar: Gibt es beim Unternehmen eine Software-Verteilungslösung, kann man den VPN-Client damit ausbringen. Große Unternehmen verlangen diese Vorgehensweise, weil sie in deren Reporting- und Ticketsystem eingebunden ist. Als Alternative bieten manche VPN-Lösungen einen eigenen Verteilmechanismus an. Sowohl die Deutsche Telekom als auch die Ratiodata nutzen den NCP Secure Enterprise VPN Server (Gateway), bei dem die Verteilung Bestandteil der Managementplattform ist. Stefan Rech von Ratiodata bevorzugt die Verteilung über dieses Tool, weil es erfahrungsgemäß stabiler ist. Hier ist lediglich zu definieren, welche Gruppe das Update erhält, und beim nächsten Anmelden über eine ausreichend schnelle Netzverbindung wird der Client heruntergeladen und installiert. Alternativ ist auch hier der Einsatz einer Softwareverteilung möglich.

VPN-Dienstleistern stehen zahlreiche Lösungen und Implementierungsoptionen offen, um einen solchen Dienst anzubieten. Wichtig ist in jedem Fall, dass die verwendete Lösung mandantenfähig ist. So lassen sich unterschiedliche Kunden getrennt über ein physisches oder virtuelles System bedienen. Durch die hohen Lastanforderungen, die beim Hosting tausender VPN-Tunnel entstehen können, sollten die Gateways Load-Sharing unterstützen und skalierbar sein. Eine gemeinsame Management-Konsole, die sowohl mit mehreren Gateways als auch mit getrennten Mandanten zurechtkommt, unterstützt die Abläufe der Hoster und die Sicherheitsbedürfnisse der Kunden gleichermaßen. Ob Unternehmen ein geteiltes VPN-Gateway akzeptieren oder eine getrennte Lösung fordern, bestimmt deren Sicherheitskonzept. VPN-Cloud-Anbieter können in der Regel beide Wünsche erfüllen.

Die Management-Konsole der VPN-Lösung muss selbst bei mehreren Mandanten den Überblick über die VPN-Landschaft ermöglichen. Bild: NCP Engineering

Redundante Ausführungen von Gateways und Netzzugängen liegen letztendlich ebenfalls am Anforderungsprofil der Unternehmen. Allerdings sind bestimmte Branchen wegen ihrer Compliance-Vorgaben in ihrer Entscheidungsfreiheit eingeschränkt. Ratiodata mit vielen Kunden im Finanzsektor empfiehlt generell eine redundante Anbindung. „Wir sind unter anderem nach ISO 27001 zertifiziert und hosten unsere Lösung über zwei redundant angebundene Rechenzentren“, erläutert Stefan Rech. „Davon profitieren auch Kunden, die eigentlich geringere Ansprüche an die Verfügbarkeit stellen würden.“ Auch die VPN-Gateways sind redundant und über ein Hochverfügbarkeitsprotokoll verbunden, sodass sie Load-Sharing unterstützen.

Sicherheitsanforderungen

Unternehmen, die über eine Auslagerung ihrer VPN-Dienste in die Cloud nachdenken, müssen im Vorfeld ihren Schutzbedarf festlegen und die angebotenen Lösungen dahingehend abfragen. Dies fängt bei den physischen Sicherheitsvorkehrungen des Hosters an. Je nach Risikoprofil können hochqualifizierte Rechenzentren mit Kameraüberwachung, Vereinzelungsschleusen, Vier-Augen-Prinzip und Disaster-Recovery-Spiegelung notwendig sein. Solche Maßnahmen treiben jedoch den Preis in die Höhe, sodass Unternehmen mit geringeren Ansprüchen auch eine geringer gesicherte Umgebung wählen können. Das gleiche gilt, wenn der Hoster bestimmte Zertifizierungen wie IT-Grundschutz, ISO 27001 oder PCI-DSS aufweisen muss. Entsprechende Angebote existieren, sind aber nicht für jedes Unternehmen erforderlich.

Keine Risiken sollten Unternehmen hingegen bei der Authentifizierung eingehen. Benutzername und Passwort reichen heute nicht mehr aus, ein zweiter Faktor ist für externe Zugänge ins Netz unumgänglich. Zwei-Faktor-Authentifizierung ist Bestandteil einiger VPN-Lösungen, viele zusätzliche Angebote decken jeden Anwendungsfall ab. So lässt sich ein auf einer Smartcard abgelegtes Zertifikat komfortabel als zweiter Faktor nutzen. Wichtig ist in diesem Fall, dass der Hoster auch die Zertifikatsverwaltung als Komplettangebot anbietet, sodass eine pünktliche Erneuerung der Zertifikate sichergestellt ist oder diese zum Stichtag entzogen werden.

Unter Umständen sollte es auch möglich sein, weitergehende Authentifizierungsmechanismen einzusetzen, beispielsweise wenn der Remote-Zugang der Verarbeitung von eingestuftem Material dient: Schon bei VS-NfD (Verschlusssache – Nur für den Dienstgebrauch) fordert das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Einsatz einer speziell zugelassenen Lösung, die zusätzliche Anforderungen an die Authentifizierung und die Unumgehbarkeit des Tunnels stellt.

Zeitaufwand

Eine Sicherheitslösung im Unternehmen einzuführen ist in der Regel mit beträchtlichem Zeitaufwand verbunden. Gehostete VPNs in der Cloud können den Weg zum Ziel ein ganzes Stück abkürzen, weil Unternehmen auf eine bereits voll funktionsfähige und optimal eingerichtete Lösung zurückgreifen können. Oft bestimmen eher administrative als technische Prozesse den zeitlichen Ablauf. „In der Regel vergehen zwischen den ersten Gesprächen und der Realisierung etwa zwei bis drei Monate,“ so Markus Schönel von der Deutschen Telekom. „Verzögerungen verursacht meist MPLS, wenn es erst beantragt und eingerichtet werden muss.“

Ähnliche Erfahrungen hat Stefan Rech gemacht, auch wenn Ratiodata manche Unternehmen innerhalb von drei Wochen anbinden konnte: „Eine genaue Zeitspanne zu nennen ist schwierig,“ so Rech. „Meistens werden ja zuerst einige Pilotrechner aufgenommen und nicht alle Clients auf einmal. Dann dauert es nach der Freigabe nochmal, bis alle Endgeräte den Client heruntergeladen haben. Manchmal sind Mitarbeiter nur sehr selten online, sodass sich die endgültige Umsetzung auf mehrere Monate verteilen kann.“

Eine VPN-Lösung in die Cloud auszulagern ist heute keine Pionierleistung mehr. Zahlreiche Provider haben branchenspezifische Angebote im Programm. Weil die technische Realisierung und die Administration der laufenden Lösung komplett in den Händen des Providers liegen, kommen Organisationen sehr schnell zu einer funktionierenden Sicherheitslösung, die selbst hohen Ansprüchen genügt. Wichtig ist, sich im Vorfeld über das geforderte Sicherheitsniveau und die Anforderungen und Einsatzumgebungen der Clients klar zu werden und dies für den Cloud-VPN-Provider nachvollziehbar zu dokumentieren.

Jürgen Hönig ist Marketingleiter bei NCP Engineering, www.ncp-e.com.