IoT-Infrastruktur

Bessere Sicherheitsarchitekturen durch softwarebasierte WANs

| Autor / Redakteur: David Hughes / Redaktion IoT

Unternehmen müssen sich mit der Absicherung von WAN-Verbindungen beschäftigen.
Unternehmen müssen sich mit der Absicherung von WAN-Verbindungen beschäftigen. (www.pixabay.com)

Software-Defined WANs ermöglichen es, sichere Infrastrukturen für den Transport von IoT-Daten und den Zugang zu Standardanwendungen aufzubauen. Eine Schlüsselrolle spielen dabei SD-WAN-Komponenten am Rand des Netzes, dem WAN Edge.

Unternehmensweite Weitverkehrsnetze (Wide Area Networks) spielen im Bereich Internet of Things (IoT) eine wichtige Rolle. Über WANs werden beispielsweise die Daten von IoT-Komponenten an Edge-Devices wie Gateways übermittelt. Außerdem dienen Weitverkehrsstrecken zum Transport von IoT-Daten in ein Unternehmens- oder Cloud-Rechenzentrum und zu IT-Systemen in einer Niederlassung. Daher müssen sich Unternehmen, die IoT einsetzen, mit der Absicherung von WAN-Verbindungen auseinandersetzen.

Aber nicht nur aus diesem Grund. Denn mittlerweile nimmt in Unternehmen der Internet-Datenverkehr drastisch zu, vor allem in Niederlassungen. Das ist auf die verstärkte Nutzung von Software aus der Cloud (Software as a Service, SaaS) zurückzuführen. Das Problem dabei: Bislang mussten Unternehmen Kompromisse eingehen, um solchen Daten zu schützen. Die eine Option bestand darin, den gesamten Internet-Traffic über ein MPLS-WAN (Multi-Protocol Label Switching) zu einer zentralen Firewall im Unternehmensrechenzentrum zu leiten. Dort wurden Datenpakete analysiert. Die zweite Möglichkeit war, in jeder Außenstelle Firewall-Systeme zu installieren.

SD-WAN-Edge vereinfacht Schutz von Verbindungen

Heute haben IT-Abteilungen eine dritte Möglichkeit. WAN-Edge-Systeme in Verbindung mit Software-Defined WANs erlauben es, Datentransfers abhängig von der jeweiligen Applikation zu schützen. Das erfolgt mithilfe von Regelwerken (Policies), die Netzwerk-Administratoren konfigurieren. Solche Policies können beispielsweise folgende Regeln vorgeben:

    • Gast-WLANs und vertrauenswürdige SaaS-Anwendungen dürfen direkt über einen lokalen Zugang auf das Internet zugreifen.
    • Applikationen für den persönlichen Gebrauch werden zu einer cloudbasierten Firewall (Web-Services-Gateway) umgeleitet.
    • Nur unbekannte oder verdächtige Daten werden in das Unternehmensrechenzentrum übermittelt und dort untersucht.

Dies ist nur ein Beispiel, wie sich Netzwerk-Policies implementieren lassen. Der wahre Nutzen von Internet-Zugängen ("Breakouts"), die mit einem SD-WAN orchestriert werden, ist ein anderer: Ein Unternehmen kann im Detail Regeln definieren, die aus Geschäftssicht Sinn machen. Netzwerkverwalter können festlegen, dass nur suspekter Datenverkehr einer eingehenden Untersuchung durch ein kostspieliges UTM-System (Unified Threat Management) unterzogen wird. Es ist nicht notwendig, in jeder Außenstelle, die einen lokalen Internet-Zugang nutzt, solche IT-Sicherheitslösungen zu installieren. Das heißt niedrigere Kosten.

Zudem haben Netzwerkspezialisten die Option, parallel IT-Security-Systeme unterschiedlicher Anbieter einzusetzen. So muss nicht zwangsläufig jede Niederlassung mit Lösungen desselben Herstellers ausgestattet werden. Das verringert die Abhängigkeit von einzelnen Anbietern.

Mit einem SD-WAN lassen sich für unterschiedliche Datenarten und Anwendungen separate "Overlays" einrichten. Sie orientieren sich an Faktoren wie Geschäftsanforderungen und dem Schutzbedarf von Daten und Applikationen. (Quelle: Silver Peak)

Mikrosegmentierung von Datenverkehr

Ein weiterer Pluspunkt eines SD-WAN ist, dass es eine feinkörnige Segmentierung des Datenverkehrs erlaubt. Das gilt für den gesamten Transportvorgang über ein Weitverkehrsnetz, vor der Quelle bis zum Ziel, etwa einer Niederlassung. Diese Mikrosegmentierung beziehungsweise ein "Zero-Trust Networking" kommt in zunehmendem Maß in Rechenzentren zum Einsatz. Statt jede Virtual Machine mit jeder anderen VM "sprechen zu lassen", legt Mikrosegmentierung fest, welche VM miteinander kommunizieren dürfen. Das erfolgt auf Basis von Regeln. Der Vorteil ist, dass sich dadurch der Schaden begrenzen lässt, wenn beispielsweise eine Virtual Machine mit Malware infiziert wurde.

Auf vergleichbare Weise werden Unternehmen und Organisationen künftig SD-WAN-Lösungen einsetzen, um in Niederlassungen den Datenverkehr in Segmente aufzuteilen. Solche Mikrosegmente sind beispielsweise IoT-Daten, Kreditkarten-Informationen, interne Web-Applikationen und externe Anwendungen.

Ein Vorteil eines softwarebasierten WAN ist, dass sich diese Trennung durchgängig aufrechterhalten lässt, also auf der gesamten WAN-Strecke. Hinzu kommt, dass Netzwerk-Administratoren die Mikrosegmentierung zentral orchestrieren können. Dies bedeutet, dass Unternehmen mithilfe einer segmentierten SD-WAN-Architektur die Effekte von Sicherheitslecks und Cyber-Attacken isolieren können. Ein erfolgreicher Angriff auf eine Business-Anwendung führt beispielsweise nicht automatisch dazu, dass auch IoT-Daten und entsprechende Komponenten gefährdet werden. Die vorhandenen IT-Sicherheitssysteme werden somit um weitere Security-Maßnahmen auf der Netzwerkebene ergänzt.

Einigen SD-WAN-Lösungen erkennen bereits beim Eintreffen der ersten Datenpakete, von welcher Applikation sie stammen und wie mit ihnen zu verfahren ist. (Quelle: Silver Peak)

Konsistentes Sicherheitsniveau

Neben Policies und Mikrosegmentierung bietet ein SD-WAN eine dritte Option, um die IT-Sicherheit in Niederlassungen zu verbessern: durch ein konsistentes Sicherheitsniveau in allen Außenstellen. In einem herkömmlichen Netzwerk nutzen Administratoren häufig Konsole und Kommandozeile (Command Line Interface), um gewissermaßen im Handbetrieb die Router und Firewalls an jedem Standort zu konfigurieren.

Mit der Zeit führt dies dazu, die Systeme kaum merkliche Unterschiede in ihren Konfigurationseinstellungen aufweisen. Doch das kann negative Folgen haben, etwa in Form von Sicherheitslöchern und Performance-Probleme. Solche Effekte müssen wiederum von Hand beseitigt werden. Das kostet Zeit und erhöht die Belastung der IT-Abteilung.

Anders ist die Situation, wenn eine fortschrittliche SD-WAN-Lösung zum Zuge kommt. In diesem Fall ist es nicht erforderlich, jedes Endgerät separat "anzufassen". Regelwerke, die auf den jeweiligen Einsatzzweck und Geschäftsnutzen ausgerichtet sind, werden auf der Netzwerk-Ebene definiert und umgesetzt – durch eine zentrale Orchestrierungs-Instanz. Dadurch sind stets alle Netzwerkkomponenten auf "einer Linie", sprich verfügen über dieselben Konfigurationseinstellungen und Patches.

Sicherheit heißt nicht "viele UTM-Features"

Abschließend lässt sich festhalten: Wie sicher ein SD-WAN ist, bemisst sich nicht an der Zahl der Funktionen, die ein UTM-System bereitstellt oder den Exploits, die ein SD-WAN-System blockiert. Es geht vielmehr um folgende Punkte:

    • In welchem Umfang es eine SD-WAN-Lösung erlaubt, die passende Kombination von Sicherheitsservices vor Ort, aus einer Cloud und aus dem Unternehmens-Rechenzentrum bereitzustellen. Die Grundlage bilden die individuellen Anforderungen der Anwendungen und des Unternehmens.
    • Ob ein SD-WAN mithilfe von Policies eine Segmentierung des Datenverkehrs erlaubt. Diese Segmentierung sollte sich im gesamten Netzwerk umsetzen lassen.
    • Wie gut sich mit einem SD-WAN-System Netzwerk- und Sicherheitsvorgaben konsistent im Wide Area Network umsetzen lassen.

Noch ein Tipp zum Abschluss: Wer ein SD-WAN implementieren möchte, sollte prüfen, mit welchen IT-Sicherheitsunternehmen der SD-WAN-Anbieter zusammenarbeitet. Beruhigend ist, wenn die Liste namhafte Firmen enthält, insbesondere solche, die auch Produkte für die Absicherung von IoT-Umgebungen anbieten. Denn im Zusammenspiel bieten softwaredefinierte WAN-Lösungen und IT-Security-Komponenten einen optimalen Schutz.

 

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.