Secure Access Service Edge (SASE)

SD-WAN plus Security

12. Juni 2020, 07:00 Uhr   |  Dr. Klaus Gheri/wg

SD-WAN plus Security
© Barracuda

Glaubt man Gartner, ist das lokale Rechenzentrum ein Auslaufmodell zugunsten in der Cloud gehosteter Dienste und Applikationen. Das Analystenhaus prognostiziert, dass von heute zehn Prozent bis 2025 ganze 80 Prozent der Unternehmen ihre traditionellen Rechenzentren durch SaaS-Lösungen oder cloud-gehostete Implementierungen ersetzt haben werden. Das stellt neue Anforderungen an das Weitverkehrsnetz – und die Sicherheit.

Ein Unternehmen mit mehreren Standorten verbindet diese in der Regel über MPLS (Multi-Protocol Label Switching). Der gesamte Datenverkehr läuft dabei über international sehr teure MPLS-Leitungen. Das oft erforderliche Backhauling schafft Latenzen und verkompliziert die infrastrukturelle Architektur. Jeder Versuch, cloudgehostete Anwendungen oder Dienste für den Geschäftsbetrieb zu nutzen – Microsoft Office 365 (neuerdings schlicht Microsoft 365 genannt) ist eines der am schnellsten wachsenden Beispiele – stößt an die Grenzen einer WAN-Architektur aus Prä-Cloud-Zeiten. Der Umzug in die Cloud erfordert dagegen eine Architektur, die die Cloudtechnik und die Migration von Anwendungen in die Public Cloud berücksichtigt: Viele Daten, die früher im Unternehmensnetzwerk lagen, sind jetzt nur noch über die Cloud zugänglich.

Entrée in die Cloud

SD-WAN (Software-Defined WAN), ein 2015 von Gartner eingeführter Begriff, ermöglicht eine softwarebasierte Kontrolle über herkömmliche WAN-Verbindungen. SD-WAN-Technik vereinfacht Verwaltung und Betrieb eines WANs, indem sie die Netzwerk-Hardware von ihrem Steuerungsmechanismus entkoppelt. Sie virtualisiert sozusagen das WAN, um das Netzwerk selbsttätig konfigurieren und den Datenverkehr weiterleiten zu können, ohne dass das Unternehmen sich um proprietäre Hardwareverbindungen kümmern muss. Um traditionelle, auf MPLS basierende WANs zu ersetzen und den Verkehrsfluss zu verbessern, sollten SD-WAN-Lösungen laut Gartner-Empfehlung mindestens die folgenden Funktionen bieten:

  • Ersatz traditioneller WAN-Router und Bereitstellung mehrerer Verbindungsmethoden, das heißt Leitungsredundanzen,
  • Lastverteilung über mehrere WAN-Verbindungen aufgrund gemessener WAN-Verbindungsqualität und laufender Auswahl der bestgeeigneten WAN-Verbindung je nach Anwendungstyp,
  • Vereinfachung der Verwaltung, Konfiguration und Orchestrierung von SD-WANs durch „zentrale Verwaltung an der Quelle“ sowie
  • Bereitstellung sicherer VPN-Verbindungen und zusätzlicher Netzwerkdienste.

Soweit die Technik. Doch im Zeitalter immer ausgeklügelterer Cyberangriffe sehen sich IT-Verantwortliche neuen Sicherheitsanforderungen gegenüber. Eine Begleiterscheinung von SD-WAN-Konzepten ist der direkte Internetzugang an allen Außenstandorten. Denn dieser ist notwendig, um möglichst kurze Wege zu Clouddiensten zu gewährleisten.

Da eine einzige Firewall keine praktikable Lösung für mehrere Breakouts mehr ist, gewährleisteten die frühen SD-WAN-Lösungen die Sicherheit entweder durch eine Service-Verkettung mit den bestehenden Firewalls, durch Auslagerung der Sicherheitsdurchsetzung in die Cloud oder sogar durch die Bereitstellung grundlegender On-Board-Firewall und IPS-Sicherheit  (Intrusion Protection System) als Teil der Lösung. Leider bieten all diese Ansätze entweder keine ausreichende Sicherheit oder widersprechen der kritischen Anforderung einer zentralen Verwaltung des gesamten Netzwerks.

Um diese Mängel zu beheben, entstand in den Jahren 2017 und 2018 eine neue Art von SD-WAN, das als Secure SD-WAN firmiert. Diese neuen Lösungen vereinen alle Vorteile einer vollständigen SD-WAN-Vernetzung mit Firewall-Sicherheit, einschließlich einer umfassenden Anwendungskontrolle und -erkennung sowie der Möglichkeit, cloudbasiert einen erweiterten Schutz vor Bedrohungen zu nutzen. Zudem umfassen diese Lösungen eine zentrale Verwaltung für alle Netzwerk-, Routing- und Sicherheitseinstellungen, was die WAN-Verwaltung deutlich vereinfacht.

Ein entscheidender Aspekt eines sicheren SD-WAN ist die Entkopplung der Daten-ebene von der Kontroll- und der Verwaltungsebene. Dies vereinfacht das Netzwerk-Management, ermöglicht eine dynamische Pfadsteuerung und minimiert den Aufwand für die Verwaltung einzelner Gateways und Router. Eine zentrale Verwaltung des SD-WANs kontrolliert das gesamte Netzwerk, unabhängig von seiner Verteilung. Im Falle eines Verstoßes gegen Richtlinien lassen sich mögliche Angriffsvektoren begrenzen sowie granulare Regeln für Benutzer und Anwendungen festlegen, ohne die Dienstgüte (Quality of Service, QoS) zu beeinträchtigen. Zudem erhöht eine End-to-End-Verschlüsselung die Sicherheit noch weiter.

Für alle heute üblichen SaaS-Anwendungsfälle müssen hochleistungsfähige SD-WANs, wie erwähnt, einen lokalen, direkten Internet-Breakout an jedem Zweigstellen-Standort haben. Dies wiederum setzt voraus, dass jeder lokale Breakout mindestens so gut abgesichert ist wie bislang der Breakout am Hauptstandort. Zentral verwaltete Funktionen sorgen für die Durchsetzung von Security für direkte Internet-Breakouts an jeder Stelle des WANs. Die enge Integration von Security- und SD-WAN-Funktionen kann anwendungsorientierte Sicherheitsrichtlinien erzwingen. So lässt sich je nach Anwendung jederzeit der am besten verfügbare Uplink nutzen. Eine vorhersehbare SaaS-Anwendungs-Performance ist damit zu einem Bruchteil der Kosten zu haben, die kontinuierliches Backhauling an den zentralen Internet-Breakout verursachen würde.
Normalerweise befassen sich dedizierte SD-WAN-Geräte nur mit dem Netzwerk-Routing und erfordern separate Firewalls, um die Netzwerksicherheit zu gewährleisten. Die Verwaltung eines SD-WANs kann komplex sein. Viele SD-WAN-Lösungen benötigen Tage für die Bereitstellung und schaffen Schwachstellen, wenn sie fehlerhaft konfiguriert sind. Eine effektive Firewall-Technik ist in der Lage, zahlreiche Sicherheitsfunktionen mit SD-WAN-Unterstützung zu kombinieren. Sobald die Firewall ein Datenpaket für die Überprüfung öffnet, finden alle anderen Mechanismen zur Überwachung der Sicherheit wie IPS/IDS oder Antivirenprogramme Anwendung auf das Paket oder den Datenstrom aufeinanderfolgender Pakete. Die Sicherheitsüberprüfung erfolgt im Single-Pass-Modus, ohne dass ein separater Proxy zu schalten wäre. Das sorgt für sichere Pfade über mehrere WAN-Verbindungen und minimiert den Verwaltungsaufwand. Load-Balancing verteilt verschlüsselte VPN-Tunnel gleichzeitig auf mehrere WAN-Verbindungen.

Sicherheitsfragen an SD-WAN-Anbieter

Um SD-WAN-Lösungen auszuschließen, denen es an kritischen Sicherheitsfunktionen fehlt, sollten vorab die folgenden Punkte geklärt sein:

  • Enthält die SD-WAN-Lösung validierte (etwa NSS-Labs- oder ICSA-Enterprise-zertifizierte) Sicherheitsstufen für den direkten Internet-Breakout?
  • Kann die Lösung kritischen Datenverkehr schützen, indem sie weniger wichtigen Datenverkehr permanent dynamisch auf andere verfügbare Uplinks umschichtet, also eine dynamische Bandbreitenmessung vornimmt?
  • Sind die vollständigen Security-Routing- und Netzwerkfunktionen in allen Appliances, VM-Images und Cloud-Instanzen verfügbar?
  • Gibt es eine Zero-Touch-Bereitstellung, oder ist die Offenlegung jeglicher Art von Zugangsdaten gegenüber dem Anbieter erforderlich?
Seite 1 von 2

1. SD-WAN plus Security
2. Cloud First

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen