WLAN-Management aus der Cloud
Hardware mit Wolke
Ein professionell genutztes WLAN benötigt ein geeignetes Management. Dies kann mittlerweile auch aus der Cloud heraus als Managed Service stattfinden, was für verschiedene Zielgruppen eine sehr sinnvolle Option darstellen kann.
In vielen Firmen ist WLAN das Mittel der Wahl für die Netzanbindung der Arbeitsplätze. Aber auch wenn die eigenen PCs stationär und per Kabel mit dem Netz verbunden sind, befinden sich praktisch immer auch kabellose Netzwerke im Einsatz - zum Beispiel als schnelle und unkomplizierte Möglichkeit, um einen mobilen Zugang ins Internet zu ermöglichen. Selbst wenn es sich nur um wenige Access Points (APs) handelt, gilt es, diese professionell zu verwalten und zu überwachen. Drahtlose Zugänge sind offene Schnittstellen und als solche potenzielle Angriffsvektoren. Zudem stellt die Verfügbarkeit, gerade wenn man das WLAN als Service anbietet, einen wichtigen Faktor dar: Steht das WLAN etwa während des Restaurantbesuchs oder Einkaufs nicht zur Verfügung, nehmen Kunden es sofort negativ wahr.
Verwaltung und Monitoring von WLAN-Umgebungen finden in der Regel über einen WLAN-Controller statt, der die einzelnen Access Points als homogene Einheit sieht und Änderungen auf allen APs durchführt. Dieser Controller kann bei kleineren Netzen als Teil eines PoE-Switches (Power over Ethernet) verbaut oder ein eigenständiges Gerät sein. Für eine in Sachen IT gut aufgestellte Organisation ist das Implementieren und Verwalten eines solchen Controllers kein Problem. Doch kleine Unternehmen haben häufig weder die Zeit noch die Expertise, ein sicheres und zuverlässiges WLAN-Management umzusetzen. Dann können Managed Services helfen, die gewissermaßen ein "WLAN aus der Steckdose" liefern. Während sich ein Managed Service auch per Hardware vor Ort betreiben lässt - der Dienstleister benötigt dazu einen Remote-Zugang in die Organisation - gibt es heute auch cloudbasierte WLAN-Management-Dienste. Dabei befinden sich WLAN-Controller und Access Points vor Ort beim Anwender, die Management-Konsole ist jedoch in einer (öffentlichen oder privaten) Cloud gehostet. Die Mandantentrennung sorgt dafür, dass ein Administrator nur die Umgebung sieht, für die er verantwortlich ist. Je nach Konzept des Anbieters kann das eine komplette Trennung von Hardware und Service sein, sodass das Management wirklich nur in der Cloud erfolgt. Oder aber es handelt sich um Hybridlösungen mit einem On-Premises-Management der WLAN-Umgebung.
Ob die Lösung nur APs und die Management-Umgebung enthält oder ob auch Infrastrukturkomponenten wie PoE-Switches und Router dazu gehören, ist ebenfalls eine individuelle Frage des Anbieters. Je nach Anwendungsfall muss man auch eine möglichst informative Vorschaltseite (Englisch: "captive portal") einrichten, die den Endkunden über die grundlegenden Vorgaben der WLAN-Nutzung informiert. Je mehr Möglichkeiten bestehen, diese Seite zu konfigurieren, desto besser. Allerdings muss auch der Service-Betreiber in der Lage sein, Captive Portals schnell und ohne großen kostenträchtigen Aufwand für den Kunden an dessen Corporate Identity anzupassen.
Und das Thema Kosten spielt außerdem noch auf einer übergeordneten Ebene eine große Rolle. Je nach Anbieter bestehen für das WLAN-Management aus der Cloud unterschiedliche Kosten- und Lizenzmodelle. Die Hardware lässt sich kaufen oder leasen. Den Betriebsaufwand kann der IT-Dienstleister als Teil des Angebots einkalkulieren oder nach Aufwand abrechnen.
Die grundlegende Charakteristik von cloudbasiertem Management besteht darin, dass ein bestimmter Teil der Gesamtumgebung durch den Anbieter gehostet wird. Vorteile liegen im geringeren Aufwand und im flexiblen Abrechnungsmodell. Allerdings geht im Vergleich zu einer On-Premises-Lösung Flexibilität bei der Geräteauswahl verloren, denn es wird nur das in der Cloud verwaltet, was der Anbieter dafür freigegeben hat. Unter Umständen sind in einer spezifischen Umgebung APs mit besonderen Antennen, notwendig, die nicht Teil des Services sind. Oder es befinden sich Daten nicht mehr vollständig in der eigenen Hoheit, wenn eine von Dritten verwaltetet Cloud im Spiel ist.
Der erste Punkt lässt sich durch die Unterstützung eines Partners schnell klären. Er kann die Umgebung im Zweifel vermessen und die passenden Access Points sowie deren Platzierung wählen. Die Beantwortung des zweiten Punkts erweist sich schon als schwieriger. Auch psychologische Aspekte spielen eine Rolle. Wenn Daten außerhalb der eigenen Hoheit gespeichert sind, müssen sich Verantwortliche darauf verlassen, dass der Cloud-Provider den Schutz der Daten sicherstellt.
Den nötigen Aufwand für die Absicherung des Rechenzentrums kann kein kleines oder mittelständisches Unternehmen auch nur annährend aufbringen. Zudem stellt sich immer die Frage: Welche Daten sind betroffen? Ein gut geplanter und umgesetzter WLAN-Management-Service sollte keine Nutzungsdaten in die Cloud transferieren, sondern lediglich Metadaten zwischen der Hardware beim Kunden und der Management-Instanz in der Cloud austauschen. Dass man Daten in Bewegung (Englisch: "data in transit") verschlüsselt übertragen sollte, ist ohnehin selbstverständlich. Sind Unternehmen trotzdem um ihre Daten besorgt, bleibt immer die Möglichkeit der Verschlüsselung.
Wenn Management und ausführende Organe wie Switches und Access Points getrennt sind, kommt es noch mehr als sonst auf die Verfügbarkeit des Services und der Internetverbindung an. Sollte die Verbindung ausfallen, müssen Mitarbeiter trotzdem noch per WLAN auf interne Ressourcen zugreifen können. Meist ist das problemlos möglich, solange keine Authentifizierung über das WLAN erfolgt. Viele Firmennutzen, vor allem wenn es um einen Gast- oder Kundenzugang geht, nutzen die WLAN-Verbindung transparent und authentifizieren die Zugriffe über Rechte auf Ordner und Speicher.
Wird allerdings eine weitergehende Authentifizierung am AP verlangt, etwa über 802.1x auf MAC- oder Port-Basis oder per Captive Portal, kann eine fehlende Internet-Verbindung problematisch sein. Um es den Kunden oder Gästen möglichst leicht zu machen, stellt das sogenannte Social Login eine sinnvolle Option dar. In diesem Fall wird ein Google- oder Facebook-Account als Authentifizierungsquelle angebunden. Wer noch mehr Sicherheit verlangt, sollte auch beim Managed-WLAN-Service-Anbieter nach einer Multi-Faktor-Authentifizierung fragen. Wenn der Anbieter Radius-Anbindung unterstützt, dürfte auch ein zweiter Faktor integrierbar sein.
Managed Services überzeugen vor allem mit Komfort - nicht nur für den Endkunden, der sich nicht selbst um das WLAN kümmern muss. Auch Service-Partner, beispielsweise Systemhäuser oder IT-Fachanbieter, profitieren von der weitgehend vorbereiteten Systemumgebung. So können diese normalerweise im Management-Tool Profile anlegen, die neue Hardware automatisch provisionieren, sobald man sie mit Strom und einer IP-Adresse versorgt hat. Erweiterungen oder ein Hardwaretausch sind dadurch im besten Fall sogar ohne Anwesenheit vor Ort beim Kunden möglich. QR-Codes auf Endgeräten und Templates helfen dabei, neue Geräte schnell in die Umgebung aufzunehmen.
Cloud-Management erspart das VPN
Mittels der Vorkonfiguration besteht ein geringeres Risiko, falsche Einstellungen vorzunehmen. Alle Änderungen erfolgen ohne Warte- oder Anreisezeiten. Dass für den Service-Partner kein direkter Zugang ins Kundennetz notwendig ist, verbessert das Sicherheitsniveau und senkt die Kosten.
Lesen Sie mehr zum Thema
