Die Netzwerksicherheit wandert in die Cloud

Die Rolle von SD-WANs

von - 11.11.2020
Ein Schlüsselbegriff, der im Zusammenhang mit SASE im wieder auftaucht, sind Software-defined WANs (SD-WANs). Solche Weitverkehrsnetze bestehen aus einer virtualisierten Overlay-Ebene, die über unterschiedliche physische WAN-Verbindungen gelegt wird: klassische Weitverkehrsverbindungen auf Basis des Multi-Protocol-Label-Switching-Protokolls (MPLS), Breitband-Internet-Links sowie Mobilfunk­verbindungen. Je nach Verfügbarkeit und Qualität kombiniert ein SD-WAN solche Links zu virtuellen Übermittlungskanälen.
Für Carsten Hoffmann, Manager Sales Engineering bei Forcepoint in München, ist daher ein SD-WAN ein legitimer Bestandteil einer SASE-Strategie: „Immer mehr Unternehmen verbinden ihre mobilen und Remote-Mitarbeiter sowie ihre Niederlassungen via SD-WAN direkt mit dem Internet und Cloud-Anwendungen. Das tun sie, um einen Umweg des Datenflusses über das zentrale Rechenzentrum zu vermeiden, der zu schwacher Performance, hohen Latenzen, Verbindungsabbrüchen und auch hohen Kosten führt.“
Der Nachteil dieses Ansatzes: Dabei umgehen Anwender auch die Security-Gateways, die zentral im Unternehmens­rechenzentrum installiert sind. „Indem SASE die Security in die Cloud bringt, löst es dieses Problem. Die Unternehmen müssen also nicht ihr Corporate WAN umbauen, um SASE zu nutzen; sondern sie sollten SASE nutzen, weil sie ihr Corporate WAN umbauen“, betont Hoffmann. Denn es zeichnet sich deutlich ab, dass herkömmliche Unternehmensnetze nach dem Nabe-Speiche-Muster (das Unternehmens-Datacenter als Nabe, Außenstellen und Remote-Mitarbeiter als Speichen) durch flexiblere Modelle wie SD-WANs abgelöst werden.
Carsten Hoffmann
Carsten Hoffmann
Manager Sales Engineering bei Forcepoint
www.forcepoint.com/de
Foto: Forcepoint
„Immer mehr Unternehmen verbinden ihre mobilen und Remote-Mitarbeiter sowie ihre Niederlassungen via SD-WAN direkt mit dem Internet und Cloud-Anwendungen. Das vermeidet den Umweg des Datenflusses über das zentrale Rechenzentrum.“

Remote-Access und Cloud-Apps

Einig sind sich IT-Fachleute über die Hauptaufgabe von Security Access Service Edge: „Sie besteht darin, jeden Mitarbeiter mit der gewünschten Anwendung zu verbinden, und zwar auf sichere Art und mit Hilfe einer einheitlichen Form von ‚Connectivity‘, egal ob im Büro, unterwegs oder zu Hause“, erläutert beispielsweise Nathan Howe, Director of Transformation Strategy beim IT-Security-Unternehmen Zscaler. (siehe auch nebenstehendes Interview). Der Zugang zu Daten und Anwendungen, etwa in einer Cloud, sollte außerdem automatisch auf die passende Weise konfiguriert werden.
In der Praxis heißt das beispielsweise, dass sich der Nutzer eines Notebooks oder Tablets nicht mehr darum kümmern muss, ob er die Sicherheitsvorgaben seines Arbeitgebers einhält, wenn er im Zug oder Homeoffice geschäftliche E-Mails checkt oder auf eine SAP-Anwendung in der Cloud zugreift. Die Sicherheitseinstellungen seines Endgeräts passt die SASE-Plattform automatisch an. „Ein Nutzer muss sich beispielsweise keine Gedanken mehr darüber machen, ob er ein Virtual Private Network starten muss oder nicht“, so Carsten Hoffmann.
Trotz dieser Sicherheitsvorkehrungen ist es wichtig, dass die Privatsphäre des Nutzers unangetastet bleibt, sagt Tom Davison, Technical Director EMEA beim IT-Sicherheits­spe­zialisten Lookout Mobile Security: „Als IT- oder Security-Spezialist muss ich nicht wissen, welche App ein Nutzer gerade auf sein Smartphone, Tablet oder Notebook heruntergeladen hat. Für mich ist dagegen wichtig, ob das System dadurch zu einem Sicherheitsrisiko wird, wenn es auf Geschäftsdaten oder entsprechende Anwendungen zugreift.“ In diesem Fall könne SASE den Zugang unterbinden, bis das Problem gelöst sei.
Auswahlkriterien für SASE-Lösungen
Der SASE-Ansatz lässt den Anbietern großen Spielraum beim Design entsprechender Lösungen. Es gibt jedoch einige zentrale Faktoren, auf die Interessenten bei der Auswahl von SASE-Angeboten achten sollten.
Die Zahl und die weltweite Verteilung der Zugangspunkte: Je näher solche PoPs (Points of Presence) beim Endnutzer platziert sind, desto geringer fallen Verzögerungszeiten (Latency) aus. Außerdem ist es aus Sicherheitsgründen besser, wenn der Datenverkehr schnellstmöglich in eine SASE-Infrastruktur ein­gespeist wird und nicht über unsichere Internetverbindungen läuft.
Überbrückung der letzten Meile: Es sollte sichergestellt sein, dass auch beim Transfer der Daten zwischen dem PoP und dem Unternehmensstandort keine hohen Latenzzeiten oder Unterbrechungen der Verbindung auftreten. Erreichen lässt sich das beispielsweise mithilfe von SD-WANs, die nötigenfalls auf alternative Verbindungen wie 4G-/5G-Links umschalten.
Konvergenz oder Service-Chaining: Manche Anbieter verzichten auf eine „echte“ Integration der Komponenten einer SASE-Lösung und koppeln stattdessen virtualisierte Sicherheitssys­teme unterschiedlicher Anbieter (Chaining). Das kann die Performance beeinträchtigen und das Management aufwendig und kompliziert machen.
Netzwerkmanagement: Der SASE-Provider sollte eine zentrale Managementkonsole anbieten, über die der Nutzer sämtliche Sicherheits- und Netzwerkkomponenten verwalten kann. Das gilt auch für Regelwerke (Policies) und Vorgaben bezüglich der Quality of Service, Latenzzeiten und Paketverlustraten. Wichtig ist ­darüber hinaus, dass sich der Zugang zur Konsole sowie zu Managementfunktionen je nach Benutzergruppe steuern lässt (Policies).
Unterstützte Edge-Systeme: Der Nutzer sollte prüfen, ob die SASE-Lösung alle gewünschten Systeme und Standorte am Netzwerkrand (Edge) unterstützt, von Mobilgeräten über Workstations bis zu „Clientless“-Systemen. Gartner plädiert außerdem dafür, auch die Eignung der SASE-Plattform für Anwendungsfälle im Bereich Internet of Things (IoT) zu prüfen.
Schutz sensibler Daten: Eine SASE-Lösung sollte selbstständig erkennen, ob eine Anwendung auf sensible Daten zugreift, und das Schutzniveau entsprechend anpassen. Startet zum Beispiel ein nicht autorisierter Download vertraulicher Geschäftsdaten oder von Entwicklungsunterlagen, sollte das System dies unterbinden können. Die Lösung muss somit Nutzern die Möglichkeit geben, Datenbestände zu klassifizieren und für den Zugriff da­rauf Regeln zu definieren. Wichtig ist zudem, dass Daten beim Transport über das Netzwerk geschützt sind, aber auch dann, wenn sie auf Endgeräten oder IT-Systemen gespeichert sind.
Sicherheitsfunktionen: Laut Gartner sollte eine SASE-Infrastruktur unter anderem einen Schutz vor Schad-Software, Cloud-Phishing-Angriffen und dem Zugriff Unberechtigter
(Zero-Trust Access Control) bieten. Auch DNS-Sicherheitsfunk­tionen, ein Secure-Web-Gateway sowie eine Intrusion Preven­tion, ein Cloud Access Security Broker (CASB) und Firewalls (cloudbasiert) zählen zur Standardausstattung. Welche Funktionen der Anwender letztlich ordert, hängt von seinen individuellen Anforderungen ab. Hilfreich ist daher, wenn der SASE-Provider einen modularen Ansatz verfolgt und dem Anwender nach dem Baukastenprinzip Funktionen anbietet.
Seite
  1. Teil: Die Netzwerksicherheit wandert in die Cloud
  2. Teil: Die Rolle von SD-WANs
  3. Teil: Vorteile für die IT
  4. Teil: Die Anbieterlandschaft
  5. Teil: Im Gespräch mit Nathan Howe von Zscaler
Verwandte Themen

Mehr zum Thema