WAN 3.0: Sicher, dezentral und hochperformant

Fast täglich kursieren Meldungen über erfolgreiche Hackerangriffe. Opfer sind Organisationen jeder Größe und Branche. Teilweise kommt ihr Geschäft über Tage komplett zum Erliegen, da aufgrund der zentral aufgebauten IT-Infrastruktur zur Vorsicht komplette IT-Systeme isoliert werden müssen. Erst wenn genau feststeht, was hinter dem Angriff steht und welche Anwendungen tatsächlich wie betroffen sind, können die „sauberen“ Systeme wieder eingebunden werden. Die Folgen für die Unternehmen sind fatal. Allein der deutschen Wirtschaft entsteht laut Bitkom-Studien ein jährlicher Schaden von mehr als 200 Milliarden Euro.

Die Angst geht um, dass durch das hybride Arbeiten in Büro und Homeoffice, den Zugriff auf Cloud-Services unterschiedlicher Provider und die Vernetzung von Geräten in der Produktion, die Risiken steigen, gehackt zu werden. Ein Grund für das erhöhte Sicherheitsrisiko sind die klassischen, zentral aufgebauten WAN-Strukturen. Bisher wurde jedem innerhalb des Netzwerkes – sei es innerhalb des Unternehmensstandorts oder über einen Tunnel von unterwegs – der Zugriff auf das Internet sowie auf Applikationen in der Cloud über das Rechenzentrum gewährt. In einem solchen Netzwerk galt es bisher aus Sicht der IT-Sicherheit die Zugänge zu zentralen Rechenzentren zu schützen. Cloud-Dienste und das Internet waren in den Homeoffices – und oft auch kleineren Standorten – nur über einen zentralen Übergang erreichbar. Und im Fall des Falles schaltete man eben alles ab.

Doch die vermehrte Nutzung von Cloud-Diensten, das ortsunabhängige Arbeiten oder die vernetzte Produktion zwingen allein aus Performance-Gründen zum Übergang zu dezentralen Netzwerkstrukturen. Insbesondere bei Echtzeitanwendungen sind sehr kurze Latenzzeiten unabdingbar. Eine Lösung muss heute sowohl Security- als auch Performance- Anforderungen erfüllen – und zugleich verhindern, dass bei einem Angriff ganze Betriebe lahmgelegt werden. Ein Ansatz ist, jeden einzelnen Endpunkt – von den Desktops über dieSmartphones, den Maschinen in der Produktion bis hin zu vernetzten Kameras – zu identifizieren und alle Zugriffe zu screenen. So monitoren Unternehmen ohne Einschränkung der Performance, ob und wo ein Hacker versucht, Schadcode in die Systeme zu schleusen. Wird ein auffälliger Vorgang entdeckt, lassen sich schnell einzelne Endpunkte sperren und die Auswirkungen auf das gesamte Unternehmen auf ein Minimum einschränken.

Die Telekom bietet nun gemeinsam mit Teridion und weiteren Partnern, wie Zscaler, mit „Premium Zero Trust Exchange“ eine Lösung, die auf dem Zero Trust Network Access (ZTNA) basierenden Netzwerkansatz beruht. ZTNA funktioniert nach dem Prinzip, dass kein Zugriff – ob innerhalb oder außerhalb des Unternehmensnetzwerks – vertrauenswürdig ist, solange seine Identität nicht überprüft wurde. Dies bedeutet, dass nur autorisierte Benutzer auf die benötigten Ressourcen zugreifen können, unabhängig von ihrem Standort. Zusätzlich verschlüsselt ZTNA den gesamten Netzwerkverkehr zwischen dem Benutzer und der Anwendung oder den Daten. Dadurch wird verhindert, dass die Daten von Unbefugten abgefangen und gelesen werden können. Und ZTNA kontrolliert, auf welche Anwendungen die Benutzer zugreifen dürfen. Dies verhindert, dass sie nicht autorisierte oder bösartige Anwendungen nutzen.

Premium Zero Trust Exchange kombiniert ZTNA mit Premium Internet Underlay (PIU), das mit dedizierten Internetverbindungen optimale Performance garantiert, und einer globalen Cloud-Hub-Infrastruktur. Für die notwendige Performance sorgt das PIU der Telekom. PIU entschärft die Nachteile des Internets als Transportplattform für den Geschäftsverkehr, der durch geringere und schwankende Leistung ohne Performance-SLAs – insbesondere bei Langstreckenverbindungen – gekennzeichnet ist.

Für die Sicherheit der Zugriffe sorgt beispielsweise Zscaler und folgt dabei dem Zero Trust-Prinzip. Zero Trust Exchange ist eine Cloud-native Cybersicherheitsplattform. Gemäß dem Prinzip der minimalen Rechtevergabe werden Zugriffsberechtigungen auf Einzelfallbasis unter Berücksichtigung von User-Identität und Kontextdaten – Standort, Gerät, angeforderte Anwendung, Daten-/Inhaltstyp – gewährt. Ein weiterer Vorteil: Die Lösung sichert auch den OT/M2M-Verkehr, da sich eine kleine ZTNA-Appliance von Zscaler hinter jedem Gerät platzieren lässt, das nun in der Lage ist, das Gerät zu authentifizieren, und den sicheren OT-Datenverkehr ermöglicht.

Die Telekom ermöglicht mit PIU, welches Teridion Liquid Network als Komponente nutzt, eine zuverlässig schnelle, globale WAN-as-a-Service-Konnektivität. Sie stellt den Nutzern jeweils den optimalen Datenpfad durch das Internet zur Verfügung, so dass definierte SLAs auch mithilfe von KI-Algorithmen eingehalten werden können. Teridion arbeitet dafür mit 25 verschiedenen Cloud-Anbietern zusammen und verteilt sein Netzwerk auf weltweit hunderte virtuelle Zugangspunkte, die mit Hilfe von Algorithmen und KI-Fähigkeiten ein optimiertes Routing des Datenverkehrs rund um den Globus ermöglicht. Kombiniert mit dem Backbone, Hardware, Management und den Leitungen von Telekom, bietet Premium Internet Underlay eine unübertroffene und weltweit verfügbare Gesamtlösung.

Die Deutsche Telekom stellt, abhängig von den Standort-Anforderungen, für die Konnektivität der letzten Meile eine Universal Edge-Box zur Verfügung, die den Datenverkehr von der Anwendung an Teridion routet. Diese Magenta-Box virtualisiert unterschiedlichste Netzwerkdienste in einem einzigen Gerät, das sich leicht installieren und betreiben lässt. Diese Premium-Internet-Lösung garantiert, dass vereinbarte Performance-SLAs eingehalten werden können. Die Telekom gehört zu den ersten Anbietern, die diesen "Enhanced Internet"-Dienst anbietet.

Mit dieser Kombination aus dezentraler WAN-Strategie und Zero Trust-Prinzip steht Unternehmen erstmals eine Lösung zur Verfügung, die Sicherheit und Performance so kombiniert, dass sie für die Herausforderungen der digitalen Transformation gewappnet sind. Wobei optional zusätzlich eine flexible Universal Edge genutzt werden kann, bei der jeweils die vertraglich vereinbarte Rechenleistung über die CPU-Kerne bereitgestellt wird. Auf der Digital X am 20./21. September in Köln können die Besucher erstmals erleben, wie die Lösung funktioniert.

Peter Arbitter ist Senior Vice President Portfolio- & Productmanagement bei der Deutschen Telekom und Kenner der Unternehmensnetze und Cloud Computing.