Sichere Unternehmensnetze
Mit SD-WAN Prozesse und Daten schützen
SD-WANs (Software-Defined Wide Area Networks) treten derzeit an die Stelle herkömmlicher Weitverkehrsnetze von Unternehmen. Zu den Vorteilen eines SD-WANs zählt, dass sich damit eine hochverfügbare Infrastruktur aufbauen lässt, die bei Ausfall von Verbindungen alternative Netzwerkpfade nutzt. Mindestens ebenso wichtig sind Orchestrierungsfunktionen, mit denen Netzwerkadministratoren die Qualität der WAN-Verbindungen und die Sicherheitsfunktionen auf Geschäftsprozesse abstimmen können.
Mehr als 20 Jahre lang hat sich bei Weitverkehrsnetzen in technischer Hinsicht wenig getan. Ein beträchtlicher Teil der WANs basiert immer noch auf MPLS (Multi-Protocol Label Switching). Dieses Verfahren trat Ende der 1990er-Jahre auf den Plan. Mit dem Software-Defined WAN steht nun eine Weitverkehrstechnik zur Verfügung, die neue Akzente setzt. Ein SD-WAN entkoppelt Netzwerkdienste von der zugrunde liegenden Hardware. Dadurch entsteht eine softwarebasierte Overlay-Struktur. Sie ermöglicht es, Netzwerk-Services und Anwendungen über unterschiedliche Verbindungstypen und Übertragungsarten bereitzustellen.
Neben herkömmlichen MPLS-Links kommen beispielsweise Breitband-Internet-Verbindungen sowie 4G- oder künftig 5G-Mobilfunk-Links in Frage. Je nach Verfügbarkeit und Qualität der Verbindungen kann ein Netzwerkverwalter für jede Applikation die optimale Übertragungsart auswählen. Zudem lassen sich redundante WAN-Strecken einrichten: Fällt ein Link aus, schaltet das SD-WAN automatisch auf eine andere Verbindung um.
Geschäftsorientierte Orchestrierung
Doch diese Flexibilität innerhalb herkömmlicher Ansätze hat ihren Preis. Eine Herausforderung besteht darin, für die Vielzahl der Anwendungen und Unternehmensstandorte in einem SD-WAN die optimalen Übertragungsverfahren und Verbindungen auszuwählen. Hinzu kommt, dass dabei Geschäftsprozesse und die Anforderungen von Kunden zu berücksichtigen sind. Ein Beispiel: Unternehmenskritische Anwendungen wie eine ERP-Software (Enterprise Resource Planning) oder eine Collaboration-Lösung benötigen WAN-Verbindungen mit einer hohen Verfügbarkeit und Dienstgüte (Quality of Service). Außerdem gilt es zu vermeiden, dass Hacker sensible Daten auf dem Übertragungsweg abfangen oder Schadsoftware die Dateien infiziert. Es ist also ein geschäftsorientiertes Netzwerkmodell erforderlich, das bei der Bereitstellung der Ressourcen die Anforderungen der Nutzer berücksichtigt.
Dies lässt sich mit einer Orchestrierung erreichen, die sich an den Geschäftsanforderungen orientiert. Wer eine solche Orchestrierungssoftware implementieren will, sollte prüfen, ob er dies nicht besser mit Unterstützung von Service-Providern oder Channel-Partnern tun sollte. Außerdem ist es ratsam, bei solchen Projekten die Führungskräfte mit einzubeziehen. Denn sie tragen letztlich die Verantwortung dafür, dass ein SD-WAN die gewünschten positiven Effekte hat, etwa eine höhere Effizienz von Mitarbeitern und größere Zufriedenheit von Kunden.
Für die Definition der Geschäftsziele, die ein SD-WAN berücksichtigen muss, sind wiederum die Fachabteilungen zuständig. Ein automatisiertes, geschäftsorientiertes SD-WAN übersetzt diese Anforderungen in Richtlinien (Policies). Ein Orchestrierungs-Controller hat die Aufgabe, die Einhaltung dieser Regeln zu garantieren. Er stellt dazu die entsprechenden Netzwerkressourcen bereit, passt Prioritäten an und definiert Sicherheitsrichtlinien. Das Ziel ist, den Zugriff auf Anwendungen und Daten über das SD-WAN so zu optimieren und zu automatisieren, dass manuelle Eingriffe der IT-Abteilung nur in Ausnahmefällen erforderlich sind.
Orchestrierungsrichtlinien
Wie sich Unternehmensforderungen in den Orchestrierungsrichtlinien eines SD-WANs abbilden lassen, zeigen folgende Beispiele:
Schutz von vernetzten E-Health-Systemen: Im ersten Fall will man die Compliance eines Überwachungssystems sicherstellten, das in Krankenhäusern und der ambulanten Pflege zum Einsatz kommt. Die entsprechende Policy identifiziert und segmentiert zunächst Datenströme von und zu den medizinischen Geräten. Ein Cloud-basierter Security-Service überprüft diese Informationen und leitet sie anschließend an eine zertifizierte Applikation weiter, die die privaten Nutzerdaten verschlüsselt. Eine solche Verschlüsselung ist in den USA durch HIPAA (Health Insurance Portability and Accountability Act) vorgegeben. In Deutschland wird derzeit im Rahmen der E-Health-Initiative der Bundesregierung eine Informationssicherheitsleitlinie für telemedizinische Anwendungen erarbeitet.
Bereitstellung von PoS-Systemen (Point of Sales), Unternehmensanwendungen und Gast-WLANs im Einzelhandel, in der Gastronomie und in Hotels: Die Orchestrierungsrichtlinie sollte es in diesem Fall erlauben, ein Filialnetz mit verschiedenen Berechtigungsebenen einzurichten, inklusive der Sicherheitszonen für Bank- und Zahlungsanwendungen, die der Compliance-Norm PCI-DSS (Payment Card Industry Data Security Standard) unterliegen. In der Policy müssen zudem die Mitarbeiter definiert sein, die Zugriff auf Unternehmensapplikationen haben. Eine weitere Ebene bilden WLAN-Zonen für Gäste und Kunden. Aus Sicherheitsgründen sollten solche Gastzugänge über eingeschränkte Berechtigungen verfügen. Außerdem reicht für das Gast-WLAN eine niedrigere Bandbreitenpriorität aus.
Einbindung von Service-Mitarbeitern im Außendienst: Eine Anforderung ist es hier, wichtigen Sprach- und Videoanrufen hohe Priorität einzuräumen. Auch sollten über das SD-WAN Anwendungen für die Arbeitsverwaltung und Ersatzteilbestellung bereitstehen. Umsetzen lässt sich dies mittels einer Richtlinie für Sprach- und Video-Streams. Treten beispielsweise auf einer WAN-Strecke zu hohe Jitter-Werte oder Latenzzeiten auf, wählt das Orchestrierungs-Tool automatisch eine Verbindung mit besserer Qualität. Außerdem sollten die Richtlinien den Fall berücksichtigen, dass Verbindungen oder Netzwerksysteme ausfallen. Selbst in diesem Fall muss sichergestellt sein, dass der Datenverkehr über alternative Verbindungen geroutet wird. Wichtig ist, dass dieses Umschalten in Echtzeit erfolgt, damit es zeitkritische Geschäftsanwendungen nicht stört.
Hochverfügbarkeit sicherstellen
Allerdings sollten Netzwerkfachleute bei der Auswahl einer SD-WAN-Lösung prüfen, ob diese überhaupt in der Lage ist, ein umfassendes Monitoring der WAN-Verbindungen durchzuführen. Ein Teil der Systeme beschränkt sich darauf, den Datenverkehr über Regeln zu steuern, die der Administrator mit Templates erstellt. Dies hat den Nachteil, dass solche Ansätze unflexibel sind. Kommt es bei Links zu Performance- und Qualitätsproblemen, schalten solche Lösungen nicht oder nur mit Verzögerung auf alternative Verbindungen um. Die Verzögerungszeiten können mehrere Sekunden betragen, teilweise sogar Minuten. Das ist für einen großen Teil der Anwendungen nicht akzeptabel.
Besser ist es, wenn ein SD-WAN über eine Selbstlernfunktion verfügt. Sie erstellt Profile der Verbindungsarten, die im WAN zum Einsatz kommen, etwa Breitband-Internet-Links und MPLS-Strecken. Treten Probleme auf, ist eine solche Lösung in der Lage, Ersatzverbindungen zu nutzen. Dabei finden nur Links Verwendung, die den betroffenen Anwendungen dieselbe Dienstgüte bieten wie die ausgefallenen oder überlasteten Leitungen.
Solche Failover-Mechanismen sind vor allem beim Einsatz von Breitband-Internet-Verbindungen wichtig. Denn auf deren Qualität haben selbst Service-Provider, die SD-WAN-Dienste anbieten, häufig nur einen begrenzten Einfluss. Dies ist beispielsweise der Fall, wenn andere Provider Teile der SD-WAN-Strecke bereitstellen. Wenn beispielweise Switches eines Netzbetreibers in Südost-Asien wegen Überlastung Datenpakete lückenhaft übertragen und die Paketverlustrate ein akzeptables Maß überschreitet, muss der Nutzer eines SD-WANs die Gewähr haben, dass "seine" Daten dann über die Infrastruktur anderer Provider die Niederlassung in Fernost erreichen. Dies müssen nicht unbedingt Internet-Verbindungen sein. Auch MPLS- und Mobilfunkverbindungen können in einem SD-WAN Probleme mit dem Internet kompensieren.
Management bei Systemausfall
Auch für den Fall, dass SD-WAN-Komponenten in Außenstellen wegen Problemen mit der Netzwerkanbindung nicht mehr zugänglich sind, können Unternehmen Vorsorge treffen. Die Lösung sind Out-of-Band-Management-Gateways, die man an die SD-WAN-Appliances in der Niederlassung ankoppelt. Solche Gateways verfügen über integrierte 4G/LTE-Modems und sind daher über Mobilfunknetze erreichbar. Netzwerkfachleute haben so die Möglichkeit, aus der Ferne eine Fehleranalyse durchführen und die Konfigurationseinstellungen der Netzwerkkomponenten zu überprüfen. Ein Out-of-Band-Management-System ist somit ein weiterer Faktor, mit dem sich die Sicherheit und Verfügbarkeit eines Software-Defined WANs und der darüber bereitgestellten Anwendungen erhöhen lässt.
Lesen Sie mehr zum Thema
