SD-WAN-Sicherheit: Drei wichtige Überlegungen und Funktionen

Device Onboarding, Control-Plane- und Data-Plane-Sicherheit sind drei elementare Punkte der SD-WAN Security, die es bei der Auswahl eines SD-WAN-Anbieters zu berücksichtigen gilt.

Vielleicht mehr als in jedem anderen Bereich Ihres Netzwerks muss eine Strategie für Software-defined WAN (SD-WAN) Networking und Sicherheit zu gleichen Teilen gerecht werden.

Per Definition verbindet sich ein SD-WAN mit und läuft über externe, häufig öffentliche Netzwerke, die Ziel vieler Bedrohungen sein können. Außerdem dienen die Niederlassungsnetzwerke wahrscheinlich vielen verschiedenen Zwecken – und dieser Traffic läuft über das SD-WAN. Vermutlich wickelt jeder Standort kritische Geschäftsanwendungen ab, gewährt Zugriff auf Cloud-Dienste, verwaltet normales Web-Browsing und empfängt von Besuchern und Gästen erzeugten Internet-Traffic. Jeder dieser Traffic-Ströme stellt andere Sicherheitsanforderungen, und Unternehmen müssen auch die SD-WAN-Infrastruktur selbst absichern.

Sicherheit ist ein essenzieller Aspekt von SD-WAN. Doch wenn Firmen beginnen, sich mit Fragen der SD-WAN-Sicherheit zu befassen, ernten sie oft erstaunte Blicke. Es dürfte kaum überraschen, dass viele Anbieter Sicherheitsaspekte lieber im Rahmen ihrer umfassenderen Vision für eine Cloud-Architektur behandeln. Das ist auch zu erwarten, weil Anbieter es oft einfacher finden, Kunden zum Kauf einer Top-down-Vision zu bewegen als Bottom-up-Funktionen zu verkaufen. Aber eine Vision wird Ihr Unternehmensnetzwerk nicht schützen – Funktionen hingegen schon.

Zwar wird ein einzelner Artikel keine komplette Anleitung für Sicherheitsfragen rund um SD-WAN Security liefern, kann aber für eine gute Ausgangsbasis sorgen. Beginnen wir mit Schritten, um die SD-WAN-Infrastruktur abzusichern.

Onboarding

Jahrelang war es oberstes Anliegen der IT, einen schnellen und einfachen Prozess sicherzustellen, wenn dem Netzwerk ein Switch oder Router hinzugefügt wurde. Viele von uns gingen grundsätzlich davon aus, dass jemand mit physischem Zugriff auf den Verteilerschrank sowie die LAN- und WAN-Verbindungen berechtigt war, das Netzwerkgerät hinzuzufügen. Das ist heutzutage nicht mehr zwangsläufig so.

Die Komponenten für die Netzwerkinfrastruktur könnten sich in einem Shared Space oder im Rack eines Service-Providers befinden, das heißt an Orten, für die Sie weder die physische Sicherheit noch die Zugangsvoraussetzungen kennen. Sie wollen also ein sicheres Device Onboarding für Ihr SD-WAN gewährleisten. Das Letzte, was Sie brauchen, ist ein Rogue-Gerät, das sich als legitimer Bestandteil Ihres Netzwerks tarnt und Zugriff auf den gesamten über ihn laufenden Traffic hat.

Ein weiterer Aspekt der SD-WAN-Sicherheit besteht darin, sicherzustellen, dass Ihr Anbieter neue Infrastrukturgeräte blockiert, so dass sie sich erst dann mit Ihrem Netzwerk verbinden können, nachdem sie authentifiziert sind. (Hinweis der Redaktion: Darunter fällt nicht das Blockieren von Anwendergeräten wie Telefonen und Laptops. Das übernimmt ein Captive Portal.)

Da Security-Anbieter immer versuchen, Hackern einen Schritt voraus zu sein, unterliegen Verschlüsselungs-Verfahren permanenten Änderungen.

Die Authentifizierung kann per Registrierungscode, Seriennummer oder über einen anderen Security Token erfolgen. Falls Sie ein dynamisches Netzwerk mit häufigen Änderungen der Infrastruktur planen, sollten Sie darauf achten, dass die Authentifizierungsmethode nicht zu logistischen Problemen führt.

Sicherheit der Data Plane

Die Data Plane dürfte wohl der Bereich sein, der einem beim Thema SD-WAN-Sicherheit automatisch in den Sinn kommt. Die Data Plane überträgt den User Traffic, der verschlüsselt werden muss. Die Verschlüsselungsmethoden können Secure Sockets Layer (SSL), Transport Layer Security (TLS) oder IPsec-VPN-Tunnel umfassen.

Denken Sie aber daran, dass die Verschlüsselung der Data Plane nicht einfach nur ein Listenpunkt zum Abhaken ist. Anbieter implementieren unterschiedliche Methoden für Verschlüsselung und Schlüsselaustausch. Kürzere Intervalle bei der Schlüsselrotation sind per se sicherer, weil sie die Zeit reduzieren, die einem Hacker zur Verfügung steht, um einen Schlüssel zu nutzen.

Beim Gespräch mit Anbietern fand die Tolly Group heraus, dass mindestens ein Anbieter die Schlüssel ungefähr alle 10 Minuten wechselt. Andere Provider wiesen darauf hin, dass sie eine weitergehende Security per Diffie-Hellman-Schlüsselaustausch bieten würden, wodurch User geheime Schlüssel über unsichere Kanäle teilen können. Da Security-Anbieter immer versuchen, Hackern einen Schritt voraus zu sein, unterliegen Verschlüsselungsverfahren permanenten Änderungen.

Sicherheit der Control Plane

Ein ebenso wichtiger – aber manchmal übersehener – Aspekt der SD-WAN-Sicherheit ist die Control-Plane-Sicherheit. Das ist der Kommunikationsweg zwischen den Kontrollelementen Ihres Netzwerks – also jenen Komponenten, die sich in den Routern und Switching-Geräten befinden, die Ihr SD-WAN beinhalten.

Auch dieser Traffic muss verschlüsselt werden, so dass ein Angreifer die Management- und Konfigurationsfunktionen Ihres SD-WANs weder abfangen noch hacken oder kompromittieren kann. Die meisten, wenn auch nicht alle Anbieter verschlüsseln die Control Plane. Achten Sie daher darauf, dass Ihr Provider dies macht.

Nachdem Sie sich mit diesen SD-WAN-Sicherheitsfragen beschäftigt haben, sollten Sie über eine grundlegende Firewall-Funktionalität als Teil Ihres SD-WANs nachdenken – vielleicht wollen Sie sogar mehr Features, etwa Malware-Schutz und andere Funktionen auf höherer Ebene. Auch ein Blick auf die Mikrosegmente Ihres Netzwerks lohnt sich, wobei Sie mindestens die Trennung von unternehmensinternem und Gast-Traffic berücksichtigen sollten. Darüber hinaus empfiehlt es sich, Sicherheitsstrategien zu implementieren, die für den Traffic geeignet sind, der auf jedem Segment läuft.

Nächste Schritte

SD-WAN: Die Vorteile für Filialnetzwerke

Gratis-eBook: Ratgeber SD-WAN

Gratis-eBook: Managed-SD-WAN stressfrei einsetzen

Erfahren Sie mehr über Software-defined Networking

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close