Durch Digitalisierung, Internationalisierung sowie durch den Siegeszug von IoT-Devices und mobilen Endgeräten sind Unternehmensnetzwerke heute oft beliebig komplex – und damit auch die Garantie ihrer Sicherheit. Mit einem SD-WAN lässt sich die Basis für einen effizienten und zentralen Schutz aus der Cloud schaffen.

Gerade klassische WAN-Strukturen zeichnen sich durch eine Vielzahl von Endgeräten und Security-Lösungen aus, die die Sicherstellung eines angemessenen Schutzniveaus schnell zur Sisyphusarbeit machen. Denn mit der Zahl der Zugangspunkte steigt auch die Zahl der Einfallstore für Hacker und Cyber-Kriminelle. Hinzu kommt, dass sich die jeweils genutzten Appliances nicht selten von Endpunkt zu Endpunkt stark unterscheiden. Management und Wartung sind dann oft nur mit hohem Aufwand zu bewerkstelligen. Das erforderliche Schutzniveau muss man dementsprechend in jeder Niederlassung separat sicherstellen – der Schutz von geistigem Eigentum und wertvollen Unternehmensdaten wird damit zum Zeit- und Kostenfaktor.

Angesichts dieser immer weiter steigenden Komplexität moderner Unternehmensnetze mag der ein oder andere geradezu mit Wehmut an die Zeiten zurückdenken, als Unternehmen ihre Daten im WAN noch per DS0 und 56 KBit/s zwischen entfernten Standorten austauschten: In den 80er Jahren basierten die entsprechenden WAN-Strukturen noch weitestgehend auf simplen PPP-Verbindungen. Und wie die Netzwerktechnik selbst steckte damals auch die Cybercrime-Industrie noch in den Kinderschuhen.

Die Weiterentwicklung der Technik ermöglichte jedoch bald immer höhere Bandbreiten und förderte die standortübergreifende Ausbreitung des WANs: In den 90er Jahren sorgten neue Technologien wie Frame Relay und erste beinahe schon Cloud-ähnliche Strukturen der Telekommunikationsanbieter und Provider für schnellere Übertragungsraten und mehr Effizienz in der täglichen Arbeit. In den 2000er Jahren schließlich setzte sich das Multi Protocol Layer Switching (MPLS) durch. Wegen seiner geringen Latenz und den guten „Quality of Service“-Eigenschaften ist es bis heute das am weitesten verbreitete WAN-Protokoll.

Spiegelbildlich zur Etablierung von immer höheren Datenübertragungsraten und damit verbunden der Anbindung immer neuer, heterogener Unternehmensbereiche an das zentrale WAN, eröffneten sich auch Cyber-Kriminellen immer neue Möglichkeiten, was das Abgreifen und Ausspionieren vertraulicher Unternehmensdaten betrifft. Um sensible Firmendaten in modernen Unternehmensnetzen weiterhin effektiv vor Hackern und Spionen zu schützen, ist in der heutigen Zeit nicht nur die Effektivität des Schutzes entscheidend. Auch die Einfachheit von Management und Wartung der Security-Lösung wird immer stärker zum zentralen Kriterium – denn die individuelle Sicherstellung eines angemessenen Schutzniveaus an jedem einzelnen Endpunkt des Netzwerks ist im Zeitalter der steigenden Digitalisierung weder praktikabel noch wirtschaftlich.

Bezeichnenderweise ist ein möglicher Lösungsansatz, der beidem gerecht werden könnte, selbst eng mit der Weiterentwicklung der Netzwerktechnik verbunden. Sein Kern besteht in der Kombination zweier aufkommender Trends aus den Bereichen Networking und Security: der Firewall as a Service (FWaaS) sowie dem Software-Defined Wide Area Network (SD-WAN).

Daten- und Kontrollschicht trennen

Beim SD-WAN handelt sich um die logische Fortsetzung des Virtualisierens der lokalen Netzwerke durch Software-Defined Networking (SDN). Im SD-WAN trennt man Datenschicht und Kontrollschicht des WANs mit Hilfe eines virtuellen Netzwerk-Overlays. Bei der Datenübertragung ermittelt und nutzt das System auf Basis einer dynamischen Policy-basierten Auswahl für jede Anwendung den optimalen Pfad, sodass die Konnektivität verbessert und Auslastung der Infrastruktur reduziert wird. Durch die Entkopplung von Software und Hardware lassen sich zum Betrieb des Unternehmensnetzwerks auch kostengünstige Breitbandverbindungen nutzen, wodurch sich die Infrastruktur deutlich wirtschaftlicher als mit Hilfe klassischer MPLS-Leitungen betreiben lässt. Die zentrale Kontrollschicht des SD-WAN erleichtert schließlich das Einrichten und Management der WAN-Strukturen.

Durch die Kombination von SD-WAN und FWaaS lässt sich an zentraler Stelle ein wirksamer Schutz des Unternehmensnetzwerks etablieren. Bild: Secucloud

Versiegelte Netze zentral schützen

Gerade in jüngster Vergangenheit ist die SD-WAN-Technik immer stärker in den Fokus der Netzwerkbranche gerückt. Denn die sich unaufhaltsam ausbreitende Cloud-Nutzung sowie die immer stärkere Bedeutung von Mobility ändern die Anforderungen, die Firmen an ihr Netzwerk stellen. Im Gegensatz zum SD-WAN ist der Betrieb klassischer MPLS-Installationen oft teuer, Einrichtung, Anpassung und Wartung mit einem hohen Zeit- und Kostenaufwand verbunden. Die tiefgreifende Veränderung in den Unternehmensstrukturen, an die sich die WAN-Strukturen in Bezug auf Leistung und Flexibilität anpassen müssen, die aber gleichzeitig eine immer höhere Wirtschaftlichkeit erfordern, haben die SD-WAN-Technologie stark vorangetrieben. Viele Branchenexperten raten mittlerweile zur Migration von MPLS zu SD-WAN, Analysten sagen dem SD-WAN-Markt für 2021 ein Volumen von über einer Milliarde Dollar voraus.

Eine flexiblere Datenübertragung und reduzierte Kosten stellen dabei nicht die einzigen Vorteile des Cloud-basierten Netzwerkmodells dar. Das SD-WAN schafft ein versiegeltes Unternehmensnetz über alle Standorte hinweg – und legt damit die Basis für einen zentralen, umfassenden Schutz des Unternehmens gegen Angriffe von außen, beispielsweise durch die Implementierung einer leistungsstarken Next-Generation Firewall. Um dabei ein optimales Zusammenspiel zwischen Netzwerk und Sicherheitsfunktionen zu gewährleisten, empfiehlt sich dabei jedoch auch die Verlagerung des Security-Stacks in die Cloud, sodass dafür idealerweise die Nutzung eines Firewall-as-a-Service-Angebots in Frage kommt.

Denn wird die Sicherheit in solchen Szenarien weiterhin über hardwarebasierte Lösungen bewerkstelligt, schmälern diese schnell die erreichten Effizienz- und Flexibilitätsvorteile des virtualisierten Netzwerks. Bei starkem Unternehmenswachstum etwa gilt es diese aufzurüsten oder zu ersetzen. Im Rahmen einer FWaaS bezieht man die benötigten Security-Funktionen hingegen als Service aus der Cloud. Damit lässt sich die Firewall bei Bedarf nahtlos und linear skalieren, neue Funktionen und Security-Techniken lassen sich flexibel hinzubuchen oder abbestellen. Darüber hinaus besteht die Möglichkeit, die Pflege und Wartung der Lösung an einen Managed Security Service Provider (MSSP) zu geben, wodurch sich die bislang darauf verwendeten Kapazitäten entlasten lassen.

Synergien nutzen: SD-WAN und FWaaS

In dem Maße, in dem SD-WANs die Daten- und Kontrollschicht des Netzwerks trennen, entkoppelt die FWaaS die softwarebasierten Security-Funktionen von ihrer jeweiligen Hardware. Entsprechend sind die Technologietrends SD-WAN und FWaaS eng miteinander verbunden und fördern wechselseitig ihre Verbreitung und Popularität. Durch die Integration der beiden Techniken bieten sich Unternehmen mehrere Vorteile: Da eine FWaaS die Edge-Appliances der Firmen und ihrer Niederlassungen ersetzt, ist sie ideal dazu geeignet, die SD-WAN-Infrastruktur des Unternehmens zu kontrollieren.

Gleichzeitig sorgt der Dienst für die Perimetersicherheit am zentralen Internet-Breakout, um den Datenverkehr zwischen unternehmensinternem SD-WAN und dem Internet abzusichern. In der Folge steigt nicht nur die Effektivität des Unternehmensschutzes, sondern sinken gleichzeitig auch Kosten für Management und Wartung der Security-Funktionen.

Felix Blank ist Senior Product Manager bei Secucloud, www.secucloud.com.