Foto-Ruhrgebiet - stock.adobe.co
Schutz des SD-WANs: Die nächste Herausforderung im Netzwerk
Der Einsatz von SD-WAN in Unternehmen wird populärer. Doch es gibt viele Hersteller, Angebote und Bereitstellungstypen. Und dann ist da auch noch das Thema Sicherheit.
Mit zunehmender Etablierung der Technologie sind die Argumente für ein softwaredefiniertes Wide Area Network (SD-WAN) immer mehr Unternehmen bekannt, auch wenn sich nach wie vor unzählige verschiedene Netzwerkkonfigurationen mit dem Begriff SD-WAN schmücken.
Wenn Unternehmen von der herkömmlichen, wahrscheinlich auf MPLS (Multiprotocol Label Switching) basierenden Konnektivität zwischen Außenstellen und Rechenzentrum zum direkten Internetzugang und zur SD-WAN-Technologie wechseln, lautet die entscheidende Frage: Wie geht man mit den Sicherheitsrisiken um? Vor allem die zahlreichen, über das Internet verteilten Dienstabhängigkeiten müssen sichtbar gemacht werden.
Alexander Anoufriev ist CISO der Network-Intelligence-Cloud-Plattform ThousandEyes. Nach seiner Aussage gilt der Wechsel zu SD-WAN oft als einfacher Ausweg aus den inhärenten Unwägbarkeiten der Internetübertragung, weil es mithilfe von Kennzahlen wie Gesamtlatenz feste Regeln ausführt.
„Sicher versehen diese Kennzahlen ein SD-WAN mit einem gewissen ‚Internetbewusstsein‘ und versetzen es in die Lage, Entscheidungen auf Grundlage der Pfad-Performance zu treffen. Doch dürfen wir darüber hinaus nicht vergessen, dass SD-WANs nicht das Internet kontrollieren“, so Anoufriev. „Wenn etwas schief geht, kann uns das SD-WAN weder sagen, was das Problem ist, noch wer verantwortlich ist.“
„Es kann uns nicht sagen, ob ein vorgeschalteter ISP (Internet Service Provider) Pakete verwirft oder Ihre Nutzer durch Hijacking des Border Gateway Protocols (BGP) in Gefahr sind. Es kann Ihnen nicht einmal mitteilen, ob Ihre Performance den Bereichsnormen entspricht.“
Da ist durchaus etwas dran. Man denke zudem an all die externen Abhängigkeiten, die benötigt werden, um Anwendungen und Services zu erreichen. Dazu zählen BGP-Routing, verschiedene Internetanbieter (ISP), DNS-Service, Cloud-Sicherheits-Proxys, Content Delivery Networks (CDN), DDoS-Schutz und vieles mehr – Sie müssen also Einblick in jede Station eines Netzwerkpfads haben und benötigen detaillierte Kennzahlen zu Verlust, Latenz und Jitter.
„Sich als Quelle für Internettransparenz allein auf SD-WAN zu verlassen, ist, wie als verwende man eine Sonnenbrille als einzigen Sonnenschutz“, so Anoufriev. „Ein gewisser Schutz ist da und wirkt sich zweifellos auf Ihre Sicht aus. Doch wenn Sie sich ungeschützt aus dem Schatten Ihres Rechenzentrums oder Ihrer Niederlassung begeben, werden Sie sich ganz schön verbrennen.“
SD-WAN as a Service
Dass ein Mitarbeiter einer Netzwerksicherheits-Cloud-Plattform wie Anoufriev die Notwendigkeit einer laufenden SD-WAN-Überwachung beschwört, mag nicht verwunderlich sein. Aber mit einem hat er Recht: Sicherheitstechnisch gesehen, liegt bei vielen SD-WANs einiges im Argen.
Laut Jan Hein Bakkers, verantwortlich für Netzwerkmarktforschung bei der Analystengruppe IDC, darf man die Unausgereiftheit eines fragmentierten Marktumfelds nicht außer Acht lassen.
„Es gibt so viele Produkte, Angebote und Akteure – Marke Eigenbau, Managed Services verschiedener Telekommunikationsanbieter, SD-WAN-Start-ups, Netzwerkunternehmen, die sich in dem Bereich betätigen, und so weiter“, erklärt er. „Das Angebot ist definitiv nicht bei allen gleich und es gibt keinen SD-WAN-Standard.“
„Ich würde sogar so weit gehen, zu sagen, dass es auf dem Gebiet keinerlei Interoperabilität und Standardisierung gibt. Das muss den Käufern bewusst sein. Daher sollten sie sich auch die Mühe machen, sich intensiv damit auseinanderzusetzen, woran sie sich binden, wenn sie eine Wahl treffen. Denn alle haben einen anderen Weg zur Lösung des üblichen Problemfelds aus Netzwerkzuverlässigkeit, Performance und Bandbreite.“
Diese unterschiedlichen Herangehensweisen im SD-WAN-Marktumfeld sollten also auf jeden Fall berücksichtigt werden und in das Sicherheitskonzept des CISO oder CIO eines Unternehmens einfließen.
Sicherheitsansatz
Nicht zu vergessen ist auch, dass ein Teil des SD-WAN-Markts stark auf den Sicherheitsaspekt ausgerichtet ist und ein gewissermaßen sicheres SD-WAN as a Service verspricht. Das Verkaufsargument dabei ist, dass Netzwerke durch die Zunahme von Cloud-Services komplexer geworden sind und Sicherheitsmaßnahmen zum Schutz des Internet-Traffics benötigen.
Akteure wie Cato Networks, Zscaler, VeloCloud von VMware und das SD-WAN von Cisco bieten auf die eine oder andere Weise alle ihre eigene Version dieses Sicherheitsansatzes an. Für manche Netzwerkkäufer könnte eines dieser Angebote durchaus eine einfache Lösung für ein ansonsten verzwicktes Problem bedeuten.
Beim Zscaler-Angebot beispielsweise wird zwar noch ein SD-WAN-Partner gebraucht, jedoch macht es die Migration von einer traditionellen zu einer Cloud-fähigen Architektur durch sichere lokale Internet-Breakouts für Außenstellen einfach.
„Der ins Internet gehende Traffic wird einfach an Zscaler geroutet und schon können Sie den gesamten Traffic inspizieren – alle Ports und Protokolle, einschließlich SSL“, sagt der Hersteller. „Über eine einzige Konsole lassen sich Zugangs- und Sicherheitsregeln für alle Standorte definieren und sofort umsetzen.“
Um ein weiteres Beispiel zu nennen: Cato Networks argumentiert, dass die Kapazität eines MPLS-WANs zwar erweiterbar sei, indem per SD-WAN Internetübertragungen hinzugenommen werden und der Internet-Traffic in den Außenstellen ausgelagert wird. Die Anforderungen an die Netzwerksicherheit würden beim Zugang zu Internet und Cloud-Ressourcen aber nicht berücksichtigt.
Catos Ansatz für mehr Sicherheit ist „ein vollständig konvergentes, globales SD-WAN mit integrierter Netzwerksicherheit, bereitgestellt als Cloud-Service“.
„Die Netzwerkinfrastruktur, die dies möglich macht, ist das SD-WAN Edge Device, und die Kernfunktionen wie regelbasiertes Routing und transportunabhängiges Overlay werden erweitert, um die Probleme des herkömmlichen SD-WANs zu lösen.“
Es ist kompliziert
Doch sind diese End-to-End-SD-WAN-Cloud-Angebote mit eingebetteter Sicherheit natürlich nur ein Teilaspekt des Ganzen – etwas, das die meisten CISOs besser nicht vergessen sollten.
Dazu Donna Johnson, Vizepräsidentin Produktmarketing bei der 4G-Netzwerkfirma Cradlepoint: „Was bei SD-WAN schlecht gelaufen ist: Die Einfachheit eines SD-WAN-Einschubs wurde deutlich übertrieben.“
„Bei einigen mag dies stimmen, aber es gibt sehr viel zu bedenken, und viele Unternehmen wissen ja nicht einmal bei den Anwendungen, die sie bereits haben, richtig Bescheid. Für eher traditionelle SD-WAN-Bereitstellungen spielt das durchaus eine Rolle.“
Was die Sicherheit angeht, weist Johnson darauf hin, dass SD-WAN-Projekte von den Netzwerk- und Sicherheitsabteilungen stets gemeinsam zu koordinieren sind.
„Beispielsweise kann sich herausstellen, dass eine Firewall-Regel das SD-WAN ausbremst. Und viele Unternehmen verstehen ihre eigenen Router-Einrichtungen nicht, weil diese nach mehreren Jahren der Netzwerkänderungen und -ergänzungen sehr kompliziert werden können.“
Das Netzwerk schützen
Welche sonstigen Arten von SD-WAN-Sicherheit könnten sich interessierte Unternehmen noch ansehen?
Paul Dawes ist Chief Executive von Mode, einer Firma mit einem im SD-WAN-Markt ganz speziellen Angebot: Ein globales Overlay für Netzwerke auf Betreiber-Niveau wie Microsoft Azure, das ein hochleistungsfähiges privates Cloud-Netzwerk gewährleistet. Er empfiehlt, zunächst zu entscheiden, welche Art von SD-WAN-Konzept infrage kommt.
„Entscheiden Sie sich für eine eher traditionelle Netzwerkvariante mit Firewalls und Web-Gateways, die jedoch mittels Software mehr Kontrolle und strategische Transparenz bietet? Oder interessiert Sie eher ein Outsourcing-Modell wie bei Zscaler und Konsorten? Diese beiden Optionen sind zwar nur zwei von vielen, doch entscheidend ist, dass hinsichtlich der Architektur und des Aufwands, der nötig ist, damit das neue WAN seinen Zweck erfüllt und sicher ist, Welten zwischen ihnen liegen.“
Bei Mode selbst liegt der Schwerpunkt auf der Middle-Mile des Netzwerks. Laut Dawes sei das Angebot des Unternehmens sicherheitstechnisch relevant, da es eine dritte Möglichkeit biete – einen privaten Kernbackbone, der eine Alternative zu MPLS und zum Internet darstellt und Verschlüsselung und Dienstgüte bietet.
„Die große Frage bei Sicherheit und Netzwerkarchitektur lautet, ob man eine Ende-zu-Ende-Verschlüsselung des Traffics gewährleisten kann. Sind Ihre Schlüssel an irgendeiner Stelle zugänglich? Wenn es um die Verschlüsselung geht, muss man dem Betreiber vertrauen können.“
Die Einstellung zum Thema Sicherheit hängt auch stark vom Kontext ab. Wo ein Großkonzern (oder ein Unternehmen in einem streng regulierten Bereich) einen CISO beschäftigt, der Sicherheitsaudits durchführt und systematisch nach Schwachstellen fragt – wie etwa entschlüsseltem Traffic – fehlt in vielen anderen Organisationen eine derart genaue Kontrolle und es gibt keine roten Linien, die nicht überschritten werden dürfen.
Aber genug der Theorie. Schauen wir uns einige Unternehmen an, die SD-WAN gerade in der Praxis einführen.
SD-WAN und die internationale Anwaltskanzlei
Mode hat eine SD-WAN-Bereitstellung für eine große, weltweit vertretene Anwaltskanzlei durchgeführt. Die Kanzlei unterhält ein fortschrittliches Dokumentenmanagementsystem, beschäftigt hochkarätige Mitarbeiter und hat anspruchsvolle Kunden – und braucht daher ein entsprechend zuverlässiges und sicheres Netzwerk mit 15-GBit/s-Backbone und Ende-zu-Ende-Verschlüsselung.
„Ihr Qualitätsanspruch ist auch bei SD-WAN derselbe“, so Dawes. „In dem Fall hatte sich die Kanzlei gegen die Cloud-basierten SD-WAN-Sicherheitsoptionen entschieden. Die Funktionsweise der Verschlüsselung in diesem Kontext, bei der Daten in einer fremden Infrastruktur entschlüsselt werden, passte nicht zu ihren Anforderungen.“
Stattdessen entschied man sich für Modes privaten Backbone in Kombination mit einer Orchestrierung über SD-WAN.
„Nachdem der CISO unser Private-Core-Angebot richtig verstanden hatte, ging alles ganz schnell“, erzählt er. „Wir müssen zeigen, wie wir mit DDoS oder einem kompromittierten POP [Point of Presence] umgehen. Doch für die Kanzlei bedeutet die Kombination aus SD-WAN und privatem Core, dass der Traffic selbst im schlimmsten Fall lediglich über das Internet geroutet wird.“
Wie bei den meisten SD-WAN-Bereitstellungen gehört zum Sicherheitskonzept unbedingt auch ein phasenweiser Rollout mit Tests vor einer breiteren Einführung.
„Was bei SD-WAN sehr schön ist: Aufgrund der Orchestrierung ist es möglich, Änderungen selektiv zu implementieren“, erklärt Dawes. „Für Großunternehmen ist das sehr wichtig. Und auch die Bandbreitenzunahme lässt sich mit der Zeit dynamisch verwalten.“
Die SD-WAN-Bereitstellung bei Everyday Loans
Auch Tony Sheehan hat seine Erfahrungen mit SD-WAN und Sicherheit. Er ist Technologie- und Infrastrukturmanager bei Everyday Loans, einem britischen Kreditanbieter für Menschen mit schlechter Bonität.
„Das Unternehmen besteht seit zwölf Jahren, verwendet Citrix und operiert nach dem Filialmodell, hat also einen Geschäftssitz und 40 Außenstellen“, so Sheehan. „Hauptgrund für den Wechsel zu SD-WAN war der Wunsch nach Zuverlässigkeit und mehr Bandbreite, auch wenn der Bedarf in den Filialen nicht riesig ist. Pro Standort sind es nur ein paar Benutzer.“
Bisher arbeitete das Unternehmen mit MPLS über EFM-Kupferkabel. Die Anwendungen wurden aus einem zentralen Rechenzentrum heraus bereitgestellt. Als vor etwa anderthalb Jahren ein Upgrade anstand, hat sich das Cloud-basierte SD-WAN von Cato Networks nach Betrachtung des Dienstes als passende Option erwiesen.
„Wir sind ein eher einfaches Geschäft und wollten daher eine einfache Bereitstellung. Auch das Sicherheitsdilemma einiger anderer spielt bei uns keine Rolle. Zudem sind wir überzeugte Citrix-User, und ein unkomplizierter Wechsel ohne große Investitionen erschien uns sehr attraktiv. Der IT-Netzwerkintegrator LAN3 hat uns durch alle Etappen begleitet und uns den Wechsel leicht gemacht.“
Die Filialen von Everyday Loans befinden sich in den Stadtzentren, wo die zuverlässigste Option theoretisch Glasfaser ist. Die sei aber laut Sheehan nicht überall verfügbar.
Er erklärt: „Unsere Kupferverbindungen reichen für unsere Zwecke aus und werden durch einen 4G-Router gestützt. Cato sorgt mit seinem Cato Socket SD-WAN-Gerät für das sichere Tunneling in die Cato Cloud.“ „Die Cloud-Rechenzentren werden via Tunnel von der Cato Cloud in das VPN-Gateway integriert, das keinen Agenten braucht.”
Hinsichtlich der Sicherheit bestehe laut Sheehan bei der Internetverbindung zu den Filialen eventuell ein höheres Angriffsrisiko, doch sorgten Catos Services wie Firewall-as-a-Service und weitere Sicherheitsfunktionen für den nötigen Schutz.
„Früher hatten wir ein eher traditionelles Sicherheitskonzept. Alles ging zurück in die Rechenzentren und blieb in einem streng abgesicherten Bereich“, erklärt er. „Das ist zwar immer noch so, durch die SD-WAN-Einrichtung sind aber verschiedene Parameter hinzugekommen, die die Cato-Services abschirmen können.“
Nun arbeiten die Filialen mit Web-Schnittstellen, Office365 und anderen Cloud-Anwendungen, die entweder über private Verbindungen mit dem Rechenzentrum verknüpft sind oder geschützte Internet-Breakouts verwenden.
„Vom traditionellen, rechenzentrumsbasierten Modell sind wir zu einem Multi-Breakout-Netzwerk mit einheitlicher Admin-Oberfläche übergegangen“, so Sheehan. „Es funktioniert gut, auch wenn wir noch nicht so lange damit arbeiten. Da wir immer mehr auf die Cloud setzen, haben wir ein Sicherheitsaudit gestartet, um neue Baselines zu etablieren und einige neue Risiken besser zu verstehen. Zudem setzen wir Analysen ein, um unsere Verbindungszuverlässigkeit nachzuverfolgen.“
Was die Verschlüsselung angeht, so vertraut Sheehan darauf, dass Cato zwischen den einzelnen Punkten verschlüsselt, mit Standard-Tunneling zwischen den Standorten und Internet-Breakout gemäß der Browseranfrage.
„Bislang bin ich sehr zufrieden“, sagt Sheehan. „Wir sind kein Fintech-Unternehmen, sondern ein eher traditioneller Finanzdienstleister. Deshalb hat eine einfach zu verwaltende Infrastruktur immer noch Vorrang.“
„Wir wollen kein Admin-Team beschäftigen, um ein 100-Punkt-Netzwerk zu betreiben. Eine einfache Administration und Bereitstellung ist daher genau das Richtige für uns“, erklärt er. „Zudem haben wir uns vorgenommen, die neuen Funktionen zur Netzwerkanalyse ab jetzt besser zu nutzen.“
