Sichere Infrastruktur Mit SD-WAN zu mehr Sicherheit in Unternehmen

Autor / Redakteur: David Hughes* / Hendrik Härter

Die Corona-Pandemie hat die Arbeitswelt durcheinander gewirbelt. Schnell mussten sich Unternehmen auf die neue Digitalisierung einstellen: Cloud, digitale Transformation und Work from Anywhere. SD-WAN spielt hier seine Vorteile aus.

Firmen zum Thema

Sichere Infrastruktur in Unternehmen: Mit einer intelligenten SD-WAN-Edge lässt sich die digitale Transformation umsetzen.
Sichere Infrastruktur in Unternehmen: Mit einer intelligenten SD-WAN-Edge lässt sich die digitale Transformation umsetzen.
(Bild: Mudassar Iqbal / Pixabay )

Wenn Unternehmen den vollen Nutzen aus der Cloud und der digitalen Transformation ziehen wollen und gleichzeitig Konzepte wie „Work from Anywhere“ in ihrem Geschäftsalltag umsetzen, so sind zwei Dinge notwendig: Sie müssen erstens ihr Wide Area Network (WAN) transformieren und damit ihre Sicherheitsarchitektur anpassen. Hat sich das Marketing-Getöse um SASE (Secure Access Service Edge) gelegt, steht den Unternehmen für 2021 eine strategische Aufgabe bereit: Sie müssen zweitens einen Weg finden, um eine bestehende Sicherheitsanwendung in den eigenen Rechenzentren auf eine Cloud-basierte SASE-Architektur umstellen. Dabei müssen sich sich auf die Absicherung des Perimeters konzentrieren. Also dem Übergang zwischen Firmen- und öffentlichen Netz.

Dafür notwendig ist eine intelligente SD-WAN-Edge-Anwendung. Sie kombiniert integrierte Sicherheitsfunktionen am Rand (Edge) des Netzwerks mit einer automatisierten Orchestrierung und Steuerung von IT-Sicherheitsservices führender Anbieter, die über die Cloud bereitgestellt werden. Unternehmen bevorzugen dabei eine herstellerneutrale Edge-Lösung, die ihre bereits bestehende Sicherheitsarchitektur unterstützt. Gleichzeitig ermöglicht sie, SASE einzusetzen. Wichtig für Entscheider im Unternehmen ist, dass mit der jeweiligen Lösung die IT-Sicherheit bewältigt wird. Denn die Gefahren des Internet der Dinge (IoT) sind hoch.

Steigende Zahl der IoT-Geräte

Mit der digitalen Transformation steigt die Zahl der vernetzten IoT-Geräte. Damit verbunden sind allerdings auch neue Sicherheitsrisiken. Ein Zero-Trust-Framework ist deshalb unverzichtbar: Es schränkt die Konnektivität von IoT-Komponenten auf das Nötigste ein. Das wiederum begrenzt das Bedrohungspotenzial und verhindert, dass sich Angreifer nach einem Datenleck durch ein Unternehmensnetz vorarbeiten (laterale Bewegungen).

Ein Zero-Trust-Zugang für Nutzer und Anwendungen lässt sich mithilfe von Agents an den Endpunkten des Netzwerks einrichten. Das funktioniert jedoch nicht bei Endgeräten wie Druckern, intelligenten Kassensystemen, Überwachungskameras und Sensoren. Daher muss eine neue WAN-Edge-Lösung hier granular das Netz segmentieren, was auf Basis der erkannten Geräte erfolgt. Für jede Kategorie von IoT-Endpoints muss eine solche Lösung separate Security Policies umsetzen können. Eine weitere Anforderung ist, dass der WAN Edge über ausreichende integrierte Sicherheitsfunktionen verfügt, um East-West-Traffic zwischen Netzwerksegmenten zu unterstützen.

Edge vereint SD-WAN, SD-Branch und SASE

Der neue Edge ist nicht nur der Dreh- und Angelpunkt für die Transformation des WAN und von Security-Ansätzen. Er steht zudem im Zentrum von drei architektonischen Veränderungen. Die erste betrifft das Software-Defined WAN: Es stellt eine Konnektivität bereit, die auf die Cloud ausgerichtet ist. Außerdem bietet ein SD-WAN verschiedene Steuerungsfunktionen, die sich an den geschäftlichen Anforderungen orientieren. Zweitens stellt SASE einen einfachen und direkten Weg bereit, um Nutzern den Zugang zu Geschäftsapplikationen zu ermöglichen. Der dritte Punkt: SD-Branch wird immer wichtiger, um die Netzwerke in Niederlassungen zu vereinfachen, insbesondere vor dem Hintergrund der wachsenden Nutzung von IoT.

SD-Branch ermöglicht es Unternehmen, konsistente, auf Rollen basierende Regeln (Policies) zu verwenden. Diese Policies verknüpfen Identität, Gerät und Anwendungen. Das Ergebnis sind erweiterte Kontrollfunktionen. Sie reichen von den Edge-Systemen in drahtlosen und drahtgebundenen Netzen über WAN Edge Appliances bis hin zum Wide Area Network. Die Verbindung von SD-WAN, SD-Branch und SASE kommt der Sicherheit zugute und erhöht die Effizienz der Betriebsabläufe.

Weniger Kompromisse bei Sicherheit und Nutzererfahrung

Die aktuelle Pandemie hat Unternehmen dazu gezwungen, sich möglichst schnell an die neue Situation anzupassen. Häufig implementierten sie deshalb möglichst zweckmäßige Remote-Work-Anwendungen. Meist bestanden sie aus einer Kombination von VDI-Komponenten (Virtual Desktop Infrastructure), einem VPN-Zugang und Netzwerksystemen, die sich einfach implementieren und über die Cloud verwalten ließen. Als Beispiel seien Remote Access Points genannt. Mittlerweile ist klar, dass die Pandemie die Art und Weise unserer täglichen Arbeit nachhaltig verändert. Wie wir arbeiten und Geschäfte tätigen.

Unternehmen werden 2021 überprüfen, was sie in den vergangenen Monaten gelernt haben und ihre Remote-Work-Strategien analysieren. Das Ziel ist, eine längerfristige Perspektive für solche Arbeitsumgebungen zu entwickeln. Ein wichtiger Punkt dabei ist, Kompromisse in Bezug auf die Sicherheit und Nutzererfahrung zu eliminieren. Das Ziel ist, den Mitarbeitern dieselbe, hochwertige User Experience zu bieten, egal, ob sie zu Hause, unterwegs oder im Firmenbüro arbeiten.

5G und die Wirless-WAN-Technik

Funkgestützte (Wireless-)WAN-Zugangstechniken lassen sich universell einsetzen und einfach implementieren. Allerdings hat 4G/LTE-Mobilfunk mehrere Nachteile: den hohen Preis und die geringe Bandbreite im Vergleich zu leitungsgebundenen Zugängen. Das hat die Einsatzfelder auf Szenarien begrenzt, in denen herkömmlichen Netzwerke nicht verfügbar sind und eine kurze Implementierungszeit gefordert ist. Das ist beispielsweise auf Baustellen und in Pop-up-Shops der Fall. Außerdem kommt 4G/LTE als Backup-Verbindung zum Zug, wenn andere Leitungen ausgefallen sind.

5G steht in immer mehr Regionen zur Verfügung. Die Technik bietet eine bessere Performance und höhere Wirtschaftlichkeit als primäre Netzwerkverbindung. Um sogenanntes Work-from-Home zu unterstützen, werden Unternehmen ihre SD-WAN-Fabrics bis ins Homeoffice ausdehnen. Zu diesem Zweck kombinieren sie 5G mit DSL-Breitbandservices, um zeitkritische Anwendungen wie Sprach- und Videokommunikation in hoher Qualität bereitzustellen. Außerdem lässt sich auf diese Weise die Verfügbarkeit und Resilienz des Netzwerks und der Anwendungen deutlich erhöhen.

Mittlerweile steht mit Low Earth Orbit (LEO) eine weitere Technik bereit, über die sich per Satellit Breitbandservices zur Verfügung stellen lassen. Es ist zu erwarten, dass 2021 ein neues Rennen beginnt: zwischen 5G und LEO. Die Betreiber von Breitband-Internetdiensten auf Basis von LEO versprechen eine komplette Abdeckung aller Erdregionen. Das ist für Unternehmen von Vorteil, die an abgelegenen Standorten eine Internet-Verbindung benötigen. Daher werden LEO-Breitband-Links die Connectivity-Optionen von SD-WANs erweitern.

Bedarf an einer dynamischer Netzwerksegmentierung

Eine Netzwerksegmentierung ist unverzichtbar, um Sicherheitslecks einzudämmen. Bislang trennen die meisten Firmen ihren Netzwerkverkehr mithilfe von Virtual LANs (VLANs) und dem Virtual-Routing-and-Forwarding-Verfahren (VRF). Dadurch können sie beispielsweise den Datenverkehr von Gast-WLANs, Geschäftsanwendungen, Kassensystemen und IoT-Komponenten separieren.

Doch nun steigt der Bedarf an einer noch feingliedrigeren Segmentierung, und zwar je nach Typ des entsprechenden IoT-Geräts. Durch die Digitalisierung nimmt die Verbreitung von IoT-Komponenten stark zu. Außerdem besteht das Risiko, dass sich Angreifer von einer Klasse kompromittierter IoT-Geräte zu einer anderen Kategorie vorarbeiten können, die laterale Bewegung.

Durch die noch feinere Segmentierung steigt in einer Außenstelle die Zahl der erforderlichen Netzwerksegmente deutlich an – von einer einstelligen Zahl auf 50 Netzabschnitte oder mehr. Das bedeutet mehr VLANs, Subnetze und VRF-Instanzen – und damit eine höhere Komplexität und eine exponentielle Zunahme des Administrationsaufwands. Daher werden 2021 deutlich mehr Unternehmen eine Architektur für eine dynamische Netzwerksegmentierung einsetzen. Mit solchen Anwendungen ist es möglich, virtuelle Netzwerksegmente auf Grundlage der Rolle eines Endusers, des Endgerätetyps und des Sicherheitsstatus eines Endpoints einzurichten. Dadurch lassen sich je nach Bedarf zehn oder sogar Hunderte von Segmenten erstellen, und das ohne VLANs oder Subnetze.

Diese Entwicklung nimmt am Netzwerkrand (Edge), in Außenstellen und im Campus-Bereich ihren Anfang. Die granulare Netzwerksegmentierung wird sich anschließend im gesamten WAN durchsetzen. Die Grundlage dafür sind SD-WAN- und SD-Branch-Implementierungen. Das Resultat ist eine umfassend orchestrierte, dynamische Edge-to-Edge-Segmentierung, die dann ihr volles Potenzial entfalten kann.

Netzwerk orientiert sich an der Geschäftsstrategie

Immer mehr Unternehmen profitieren vom Einsatz von Automatisierungstechniken und Künstlicher Intelligenz (KI) am WAN-Edge. Das gilt vor allem, wenn das Anwendungs-Management optimiert wird. Gute SD-WAN-Edge-Plattformen orientieren sich an der Geschäftsstrategie eines Unternehmens. Sie verwenden einen Top-Down-Ansatz, um Netzwerkressourcen bereitzustellen. Das ist zudem abgestimmt auf die wechselnden geschäftlichen Anforderungen des Unternehmens. Dank verbesserter Bedrohungsanalyse (Threat Analysis) und automatisierte Diagnosefunktionen ist das Netzwerk heute sicherer und unempfindlicher gegenüber Störungen der zugrunde liegenden Netzbedingungen und gegen Bedrohungen.

Daher vertrauen Netzwerkfachleute in immer stärkerem Maße auf die Selbstfahrfunktionen des Netzwerks. Das spart Zeit bei der Netzwerkadministration und die Spezialisten können sich verstärkt auf die Weiterentwicklung der Geschäftsstrategie des Unternehmens konzentrieren.

Das Software-definierte Unternehmen entsteht

Bei Software-Defined WANs haben Automatisierung und KI dazu beigetragen, einen deutlich besseren Weg für die Implementierung von WANs zu finden. Dieselben softwarebasierten Prinzipien kommen nun in Rechenzentren und Campus-LANs zum Einsatz. Diese Software-Defined-Silos werden 2021 zu einer breiter aufgestellten, softwarebasierten Enterprise-Architektur zusammenwachsen. Erste Schritte in diese Richtung waren bei SD-Branch zu beobachten. Dieser Ansatz vereinigt ein SD-LAN, SD-WAN und Sicherheitslösungen für Außenstellen unter einem Orchestrierungs-Framework.

Mit den Meta-Daten von virtuellen LANs (VXLANs) lässt sich ein dynamisches Konzept für die Sicherheitssegmentierung eines lokalen Netzwerks über das WAN bis hin zum Rechenzentrum und die Cloud ausweiten. Am meisten profitieren Unternehmen, wenn eine durchgängige (End-to-End-)Automatisierung, KI-Funktionen und eine auf Rollen basierende Richtlinienkontrolle alle Bereiche mit einbezieht: entfernte Standorte, das Campus-Netze, Rechenzentren und Cloud-Umgebungen. Das schlägt sich einer deutlich höheren Effizienz und Agilität des Unternehmens nieder.

* David Hughes ist CEO und gründete 2004 Silver Peak. Das Unternehmen hat sich auf die Märkte SD-WAN und WAN-Edge-Infrastruktur spezialisiert.

(ID:47299224)