Durch die digitale Transformation verlagert sich das Unternehmensnetzwerk zunehmend in die Cloud. Anwendungen und Daten werden nicht mehr lokal im firmeneigenen Rechenzentrum vorgehalten, sondern beispielsweise via AWS oder Azure in der Cloud. Unternehmen reagieren so auf dynamische Märkte und den steigenden Wettbewerbsdruck und wollen sich damit mehr Flexibilität und Agilität zurückerobern. Hinzu kommt der Wunsch nach mobilen Arbeitsplätzen, insbesondere wenn Teams über mehrere Standorte verteilt sind. Diese sollten auch in Zweigstellen, am Heimarbeitsplatz oder von unterwegs aus zu jeder Zeit und ohne Latenz auf ihre Anwendungen in der Cloud zugreifen können. Um sich erfolgreich diesen Herausforderungen zu stellen, müssen Unternehmen ihre althergebrachten Strukturen hinsichtlich der Datenvorhaltung, der Netzwerkarchitektur und der IT-Sicherheit überdenken. Im Hinblick auf Cloud-First-Umgebungen (siehe Beitrag: „Wie muss ein Netzwerk für eine Cloud First-Umgebung aufgebaut sein?“ und die Einführung von SD-WAN müssen Unternehmen auch die Branch-Office-Security neu gestalten.
Wo vor Jahren die komplette Kommunikation innerhalb des Unternehmensnetzwerkes stattfand, Daten zentral auf wenigen Servern im Netzwerk gespeichert wurden und Security-Appliances am Unternehmensperimeter ausreichend waren, zeichnet sich heute ein völlig anderes Bild. In einer IT-Welt, die von der Cloud und von mobilen Mitarbeitern geprägt ist, ist das Internet zum neuen Unternehmensnetzwerk avanciert. Denn in der heutigen Arbeitsumgebung ist bereits bis zu 70 Prozent des Netzwerkverkehrs für das Internet bestimmt. Sei es zum generellen Surfen und Suchen im Web, für den Zugriff auf SaaS oder die Public- sowie die Private-Cloud.
Ein Treiber für den Anstieg des Internet-basierten Datenverkehrs stellt Office-365 dar. Die Einführung der Cloud-basierten Office-Suite von Microsoft stellt diesbezüglich die Killer-App dar, der das herkömmliche Konzept in die Knie zwingt. Die Flut an Daten vom Anwender von allen Standorten über MPLS durch die Unternehmenszentrale und deren Sicherheitsinfrastruktur zu schicken vor dem Ausbrechen ins Internet und wieder zurück lässt das Traffic-Aufkommen in die Höhe schnellen. Darauf aufbauend kämpfen viele Unternehmen damit, wie sich die Anforderungen an den modernen Arbeitsalltag effizient durch neue Netzwerkkonzepte unterstützen lassen.
Eine dezentrale Organisationsstruktur mit mobilen Mitarbeitern und vielen Niederlassungen sowie Cloud-basierten Anwendungen bereitet den IT-Abteilungen Kopfzerbrechen. Denn wenn all diese Faktoren in einem Unternehmen aufeinandertreffen, geraten traditionelle Netzwerk- und Sicherheitskonzepte ins Wanken. Zu aufwändig gestaltet sich das traditionelle Backhauling des Datenverkehrs in die Unternehmenszentrale und über die dort vorgehaltene Hardware-Sicherheitsinfrastruktur, um den Traffic auf Schadcode zu prüfen. Allerdings würden bei lokaler Vorhaltung der Sicherheits-Hardware in jeder Niederlassung der Verwaltungsauswand eines solchen Appliance-Konzepts ins Unermessliche steigen und die Kosten aus dem Ruder laufen. Also stellt der Hardware-basierte Security-Ansatz nicht die ideale Voraussetzung für eine gelungene Digitalisierung dar.
Wie können also die folgenden geänderten Traffic-Patterns
– die Anbindung aller Zweigstellen und Niederlassungen eines Unternehmens ohne den Administrationsaufwand zu steigern,
– das Eindämmen ausufernder MPLS-Kosten durch die Zunahme des Internet-basierten Netzwerkdatenverkehrs,
– der schnelle und abgesicherte Zugriff auf Anwendungen, die in verschiedensten Datenzentren gehostet sind und die Kombination von intern und extern in der Cloud vorgehaltenen Applikationen berücksichtigt,
– die zunehmende Mobilität der Mitarbeiter verlangt den sicheren Zugriff von außerhalb des Unternehmens, von unterwegs aus oder von Mitarbeitern im Home-Office,
durch eine moderne Infrastruktur abgedeckt werden?
SD-WAN als Lösungsansatz für schnellen Zugriff
Neue Strukturen sind erforderlich, die den schnellen und sicheren Zugriff auf Daten und Anwendungen im Netzwerk und zeitgleich in der Cloud ermöglichen. Ein Lösungsweg ist die Implementierung von Software-Defined-Wide-Area-Networks (SD-WANs). Dadurch wird der Internet-Traffic Software-defined per Router über lokale Breakouts von jeder Niederlassung direkt ins Internet geschickt, ohne dass dafür weitere Hardware an den Standorten nötig ist. Mit einem solchen Ansatz ist ein schneller Rollout verbunden und geringerer Verwaltungsaufwand zugunsten von höherer Flexibilität. Ein SD-WAN kann einfacher und dynamischer entscheiden, wo welcher Datenverkehr hinfließt und wie er priorisiert wird. Aufgrund dieser Vorteile ist die Nachfrage groß nach einem solchen Ansatz groß.
Die Umsetzung lokaler Internet-Übergänge steht also im Mittelpunkt der Einführung einer solchen Lösung. In einem ersten Schritt wird über einen SD-WAN-Ansatz der schnelle Zugriff auf die Daten in der Cloud von jedem Standort aus möglich. Die Kosten des ausufernden MPLS-Traffics durch gesteigertes Bandbreitenaufkommen können dadurch effizient eingedämmt werden. Ein essenzieller Aspekt bleibt bei einem solchen Konzept allerdings unberücksichtigt: die Sicherheit der Datenströme in Richtung Internet. Um die Vorteile des SD-WAN Konzepts und der Cloud nicht ad absurdum zu führen, müssen lokale Internet-Breakouts eines Software-Defined-Perimeters einhergehen mit lokaler Sicherheitsinfrastruktur an jedem Standort. Setzen Unternehmen nun aufgrund der Agilität und Flexibilität durch die Cloud auf den schnellen Zugriff auf ihre Daten in Azure oder AWS, wollen sie sich damit einhergehend keinen neuen Verwaltungsaufwand an jedem Standort für Sicherheits-Hardware einhandeln. Da die Umlenkung des Datenverkehrs in die Zentrale zum Sicherheitscheck auf Malware durch den SD-WAN-Ansatz entfällt, tut ein neues Sicherheitskonzept not.
Sicherheit für lokale Internet-Breakouts
Eine Alternative stellt eine Cloud-basierte Firewall-Lösung dar, die Proxy-Funktionalität und DLP an jedem Standort zur Verfügung stellt. Damit wird für die erforderliche Sicherheit der lokalen Internet-Breakouts gesorgt, ohne dass der Administrationsaufwand steigt. Der gesamte Stapel an Security-Hardware wird dabei ersetzt durch Internet-Sicherheit und Zugriffskontrolle als SecaaS. Kauf, Wartung, Upgrades von Appliance entfallen somit. Niederlassungen und Zweigstellen können sehr einfach durch Umleitung des Datenverkehrs durch die Cloud-Security-Plattform abgesichert werden. Da Security-Updates in der Wolke erfolgen, ist die Sicherheitsinfrastruktur an jedem Standort permanent auf dem aktuellsten Stand, ohne dass manuelle Interaktion notwendig ist.
Es gibt sogar bereits eine Kooperation zwischen Riverbed und Zscaler, die SD-WAN-Funktionalität mit einer Cloud-Security-Plattform über eine API-Schnittstelle integriert. Die Konfiguration der Lösung erfolgt durch diese API-Integration automatisch, was für Unternehmen wiederum mit weniger Aufwand in der Implementierungsphase einhergeht. Besonders Unternehmen mit vielen Standorten profitieren davon, da beispielsweise Tunnel nicht mehr manuell definiert werden müssen. Durch eine solche Kombination der Lösungen rechnet sich SD-WAN durch MPLS-Kostenreduktion und die Vorteile der neu gewonnenen Flexibilität wird nicht gleich wieder durch die Sicherheitsanforderungen zunichte gemacht. Der Mitarbeiter kommt schnell und sicher an sein Ziel, ohne dass die Kosten steigen. Die digitale Transformation wird durch die Kombination beider Angebote zur Realität, ohne Kompromisse in punkto Sicherheit einzugehen.
#Netzpalaver #Zscaler
