NSaaS: Ultimative Sicherheit für die Netzwerkinfrastruktur?
Network Security as a Service (NSaaS) kann wichtiger Bestandteil einer Sicherheitsstrategie für die Netzwerkinfrastruktur sein. Erfahren Sie, worauf es dabei ankommt.
NSaaS-Tools (Network Security as a Service) sind der neue Trend in der Unternehmens-IT. Obwohl diese Services zahlreiche Vorteile bieten (etwa durch reduzierte Investitionskosten und einen geringeren internen Wartungsaufwand), kann die Migration von Sicherheitsdiensten zu einem Cloud-basierten Modell unerwartete Resultate produzieren, falls keine sorgfältige Evaluierung stattfindet. Wer überlegt, lokale (On-Premises) Netzwerksicherheits-Tools gegen ein neues Sicherheitsmodell für die Netzwerkinfrastruktur einzutauschen, sollte sich vorab darüber im Klaren sein, wie diese Migration sein Netzwerk beeinflussen kann.
Es ist erst zehn Jahre her, dass der Markt für Cloud Computing in Schwung kam. Eine gängige Meinung über Cloud-Services war, dass zwar Anwendungen und Client-Server-Ressourcen wahrscheinlich in einem Cloud-basierten Modell aufgehen, traditionelles Networking und Netzwerksicherheits-Tools aber wohl lokal bleiben würden. Diese Prognose war zum größten Teil richtig.
Doch jetzt erleben wir, dass immer mehr IT-Abteilungen nicht mehr den enormen Aufwand betreiben wollen, physische Geräte zur Netzwerksicherheit On-Premises zu verwalten. Zum Glück gibt es eine Reihe von Sicherheitsanbietern, die nur darauf warten, ihre Lösungen für die Absicherung Ihrer Netzwerkinfrastruktur an den Mann zu bringen. Die Liste der Services umfasst neuere Netzwerksicherheits-Tools, zum Beispiel erweiterte Malware-Erkennung, Data Loss Prevention (DLP) und Threat Intelligence Analytics.
Umbruch bei herkömmlichen Appliances
Ebenfalls zunehmend populär wird die Abkehr von traditionellen Edge Appliances für die Netzwerksicherheit, etwa Intrusion Prevention Systems (IPS) und Next-Generation Firewalls (NGFW). An ihre Stelle würde entweder eine lokal bereitgestellte virtuelle Appliance treten, die per Cloud verwaltet wird, oder eine komplette, über die Cloud bereitgestellte Edge-Sicherheitsplattform, die ohne On-Premises-Hardware oder -Software auskommt.
Beispielsweise nutzen Produkte zur Analyse der Netzwerktelemetrie von Firmen wie Cisco, Symantec und Palo Alto alle eine Kombination aus Threat-Intelligence-Teams, globalem Netzwerk-Monitoring und erweiterter Security Intelligence, um Bedrohungen in nahezu Echtzeit zu identifizieren und zu beseitigen. All dies wird eigenständig in der Cloud durchgeführt. Der Unternehmenskunde profitiert von den Vorteilen in Form von Updates, Zugriffsregeln und anderen Maßnahmen, die von der Cloud aus per Push-Verfahren automatisch in das Unternehmensnetzwerk gelangen.
Es ist ein enormes Maß an Vertrauen notwendig, um jede Art von Netzwerksicherheits-Service zu einem Cloud-Provider auszulagern.
Das ist ein Paradebeispiel dafür, wie NSaaS in einem derart massiven Umfang genutzt werden kann, dass kein traditionelles Unternehmen dies in Eigenregie durchführen könnte.
Edge-Geräte und die Sicherheit der Netzwerkinfrastruktur
Am anderen Ende des Spektrums gibt es Netzwerk-Edge-Geräte, die den Sicherheitsperimeter des Netzwerks umfassen. Dazu gehören in der Regel Firewall- und IPS-Appliances. Bei diesen Typen von Netzwerksicherheits-Services, die ein- und ausgehende Daten in einem abgesicherten LAN schützen, ist es üblicherweise sehr sinnvoll, die Sicherheits-Appliance weiter direkt im Unternehmensnetzwerk zu hosten.
Trotzdem werden virtuelle Appliances – im Gegensatz zu physischen Appliances – immer häufiger am Edge bereitgestellt. Außerdem ermöglichen NSaaS-Provider es Administratoren, die sich um die Sicherheit der Netzwerkinfrastruktur kümmern, Firewall- oder IPS-Appliances unter Verwendung der Public Cloud zu verwalten. Dazu gehören nicht nur Konfigurationseinstellungen, sondern auch Firmware-Updates und Funktionsverbesserungen, die sich vollständig automatisieren lassen.
In anderen Anwendungsfällen können NGFWs und IPS-Appliances komplett in die Cloud verschoben werden, ohne dass die Notwendigkeit für irgendeine Art von On-Premises-Appliance besteht – sei es physisch oder virtuell. Das ist ideal für Organisationen mit einem großen Anteil von Nutzern, die von zuhause aus arbeiten, oder für Unternehmen mit einer großen Zahl von kleinen Remote-Standorten. Aufgrund der Art, wie Traffic ins und aus dem Internet fließt, dürfte es allerdings für Firmen, die sich nach wie vor große Zentralen mit Hunderten oder Tausenden von Nutzern leisten, kaum kostengünstig sein.
Wenn der gesamte Internet-Traffic zuerst zu einer gehosteten Cloud-Firewall geroutet wird, besteht dadurch die Gefahr von zusätzlicher Netzwerklatenz und unnötigen Flaschenhälsen. Anstatt das öffentliche Internet zu nutzen, könnte man stattdessen dedizierte WAN-Links zum NSaaS-Provider verwenden. Sollte dies aber Ihre einzige Option gegen Latenz- oder Durchsatzprobleme sein, fahren Sie fast immer besser mit einem traditionellen, lokalen Bereitstellungsmodell für die Edge-Sicherheit.
Fazit
Abschließend sei noch darauf hingewiesen, dass ein enormes Maß an Vertrauen notwendig ist, um jede Art von Netzwerksicherheits-Service zu einem Cloud-Provider auszulagern. Bedenken Sie den Umstand, dass für das geistige Eigentum und die digitale Existenz Ihres Unternehmens ein externer Dritter verantwortlich sein wird. Deshalb muss jede Partnerschaft mit einem Cloud-Security-Provider offen und transparent sein.
Wenn Sie Ihre Sicherheitsstrategie für die Netzwerkinfrastruktur dem falschen Cloud-Provider anvertrauen, riskieren Sie nicht nur Ihren Job als IT-Entscheider, sondern es stehen auch die Jobs im gesamten Unternehmen auf dem Spiel. Machen Sie also Ihre Hausaufgaben, stellen Sie die richtigen Fragen, und achten Sie darauf, dass der von Ihnen gewählte Partner jemand ist, dem Sie sowohl jetzt als auch in ferner Zukunft vertrauen können.
Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!
