Wie muss ein Netzwerk für eine „Cloud First“-Umgebung aufgebaut sein?

CloudificationIm Zuge von digitalen Transformationsprojekten klagen Unternehmen immer wieder über Performanz-Einbußen und erhöhte WAN-Kosten nach der Einführung von Cloud-Anwendungen. Oft ließen sich diese Probleme umgehen, wenn die Netzwerkarchitektur im Zuge der ersten Überlegungen zur Einführung von Cloud-Projekten bereits berücksichtigt werden würde. Denn nur mit der passenden Netzwerkarchitektur profitieren Unternehmen tatsächlich von den Vorteilen der Cloudifizierung. Wie lassen sich also die Anforderungen an die Netzwerkarchitektur mit dem heutigen Arbeitsalltag in der Cloud in Einklang bringen?

Vor rund einer Dekade noch verwalteten Unternehmen ihre Daten und Anwendungen in einem zentralen Rechenzentrum, auf das die Mitarbeiter von ihrem Büro-PC aus zugriffen. Firmenweit wurde für den Zugriff eine „Hub and Spoke“-Architektur genutzt, die alle Zweigstellen und Niederlassungen eines Unternehmens per MPLS-Netzwerk mit einem zentralen Rechenzentrum verband. Alle Datenströme wurden also dementsprechend über die Zentrale geleitet.

Typischerweise bauten Unternehmen ihre Netzwerkarchitektur mit drei zentralen Rechenzentren in den wichtigsten Kontinenten ihrer Geschäftstätigkeit auf. Eine solche Netzwerkarchitektur war zu einer Zeit sinnvoll, als der Datenverkehr ins Internet lediglich etwa 10 Prozent des gesamten Netzwerk-Traffics ausmachte. Anwendungen für HR, CAD, oder SAP wurden intern vorgehalten. Der Zugriff auf das Internet erfolgte typischerweise über ein bis drei Internetübergänge, meist mit einem Internet-Breakout in EMEA, einem in Südostasien und einem in Nordamerika. Diese Übergänge an den Standorten der Rechenzentren-Hubs waren primär mithilfe einer Standard-Firewall (Port-Firewall) gesichert und der Internet-Verkehr wurde meist mit einfachem URL-Filter, als auch mit klassischen signaturbasierten Anti-Virus-Lösungen gesichert.

Im Jahr 2018 treffen wir immer noch auf solche Netzwerkarchitekturen mit zentralen Rechenzentren. Allerdings hat sich der Arbeitsalltag drastisch verändert: Mittlerweile geht durchschnittlich 40 Prozent des Datenaufkommens ins Internet, Tendenz steigend. Auf der Tagesordnung stehen heute Cloud-basierte Anwendungen als Mission-Critical – die Mitarbeiter müssen mit geringster Latenz auf Salesforce, Workday und Office-365 in der Wolke zugreifen können. Hinzu kommt, dass Mitarbeiter ihren Arbeitsalltag zunehmend mobil organisieren. Sie greifen von unterwegs aus per VPN-Anbindung über das MPLS-Netzwerk auf ihre Anwendungen zu. Diese Applikationen werden längst nicht mehr im eigenen Netzwerk gehostet. Das Backhauling dieser enormen Datenströme wird aufwendiger und teuer angesichts des Volumens, das auf dem Weg ins Internet oder zum Cloud-Dienst zuerst zur Zentrale geschickt werden muss, dort die Sicherheitsarchitektur durchläuft um dann erst an den entsprechenden Dienst weitergeleitet zu werden.

Zur Komplexität des Datenverkehrs kommt noch eine weitere Stufe hinzu, wenn Unternehmen auf Private-Cloud-Services oder hybride Dienste setzen und einen Teil ihrer Anwendungen zu Azure oder AWS verlagern. Zu den internen Rechenzentren kommen damit noch externe Rechenzentren hinzu. Der Weg dorthin hat sich für die Mitarbeiter in den meisten Fällen nicht geändert. Er führt nach wie vor von den Niederlassungen über MPLS ins zentrale Rechenzentrum und von dort aus ist die Standleitung zum Cloud-Service aufgebaut. Für mobile Mitarbeiter gilt es Remote-Access-VPNs zu öffnen, Daten über MPLS im Internet, Rechenzentrum oder Cloud-Dienstleister anzufordern und den gleichen Weg zurückzunehmen. Kein Wunder, dass angesichts eines solchen Umwegs die Performanz, Kosteneinsparungen und Mitarbeiterzufriedenheit auf der Strecke bleiben. Ein solcher Zugriff auf die Daten geht nicht nur mit hohen Kosten, sondern auch mit Latenz einher, so dass die eigentlichen Vorteile der Cloudifizierung für das Unternehmen auf der Strecke bleiben.

 

Hub- und Spoke-Netzwerkarchitekturen sind nicht mehr zeitgemäß

Unternehmen müssen sich die Frage stellen, wie sie die Netzwerkinfrastruktur an die neuen Anforderungen anpassen können. Da viele Applikationen heute nicht mehr im Rechenzentrum liegen, sondern extern vorgehalten werden, sind drei zentrale Internetzugänge nicht mehr zeitgemäß. Gefragt ist eine Strategie, die es Remote-Mitarbeitern oder Mitarbeiter in allen Niederlassungen auf dem schnellsten Weg zur benötigten Anwendungen bringt, ohne den Umweg über das Unternehmensnetz zu nehmen.

Bei ihren Überlegungen zum Aufbau eines Cloud-first-optimierten Netzwerks müssen Unternehmen die folgenden Aspekte berücksichtigen. In einem zweiteiligen Fachbeitrag werden die Bereiche der Netzwerk-Transformation abgehandelt:
1). Wie muss ein Netzwerk für eine „Cloud First“-Umgebung aufgebaut sein?
2.) SD-WAN – der schnelle Weg in die Cloud, aber auch sicher?

 

1 .)  Netzwerk für eine „Cloud First“-Umgebung

Eine strategische Grundüberlegung vor der Einführung von Cloud-Anwendungen muss lauten, den Anstieg der Bandbreite mit der WAN-Infrastruktur in Einklang zu bringen. Unternehmen können in ein Upgrade der MPLS-Bandbreite investieren, um dem steigenden Traffic Stand zu halten. Alternativ bietet sich eine Überarbeitung des Netzwerk-Designs an mit dem Aufbau lokaler Internet-Zugänge an allen Standorten des Unternehmens. Damit kann der Datenverkehr von jeder Niederlassung direkt ins Internet geschickt werden.

Solche lokalen Übergänge entlasten den MPLS-Datenverkehr zur Unternehmenszentrale, gehen aber mit erhöhtem Aufwand an die Sicherheitsinfrastruktur einher. Setzt ein Unternehmen auf Appliances für die Sicherheit am Internet-Übergang, müssen Boxen für einen Internet-Proxy, Advanced-Threat-Protection, DLP, Next-Generation-Firewalls und Web-Application-Control-Funktionalitäten bereitgestellt werden. Bei redundanter Auslegung geht ein solches Modell mit teuren Anschaffungskosten, langwierigem Rollout und aufwendigem Betrieb einher und zerstört damit jeden Business-Case der Cloudifizierung.

Ruft man sich nun die digitale Transformation mit der Verlagerung der Applikationen in die Cloud als Triebfeder für neue Netzwerkarchitekturen vor Augen wird deutlich, dass das Aufrüsten an Hardware an jedem Standort kontraproduktiv ist. Die Vorteile der Cloud mit Effizienzgewinn und gewonnener Agilität würden unterlaufen werden. Als Lösungsansatz aus diesem Dilemma in einer Cloud-First Umgebung bietet sich die Cloud selbst an.

Wird die nötige Sicherheitsinfrastruktur für lokale Internet-Breakouts in der Cloud vorgehalten, entfällt der Ressourcen-fressende Verwaltungsaufwand vor Ort. Eine solche Sicherheitsinstanz über eine Cloud-Security-Plattform wird vom Cloud-Provider vorgehalten und verwaltet und damit auf dem aktuellsten Stand gehalten. Das aufwendige Patch-Management durch die IT-Abteilung an jedem Unternehmensstandort entfällt, so dass kritische Sicherheitslücken, die im Zuge der Ausbringung manueller Updates entstehen können, entfallen.

Kommt ein hochintegrierter Plattform-basierter Sicherheitsansatz zum Tragen, lassen sich darüber Funktionalitäten für Web-Security, Advanced-Threat-Protection mit Verhaltensanalyse sowie Firewall und Bandbreitenmanagement aus einer Hand abdecken. Im Unterschied zu Hardware-Appliances verschiedenster Sicherheitsanbieter werden die Logs in einer Sicherheitsplattform schnell und automatisch korreliert – zu Gunsten erhöhter Sicherheit für das Unternehmen. Jeder Standort und auch mobile Mitarbeiter werden auf dem Weg ins und vom Internet über die Sicherheitsinstanz in der Wolke abgesichert, die jederzeit auf dem aktuellsten Stand gehalten wird. Im Remote-Office sind lediglich ein lokaler Internet-Zugang, sowie ein Router erforderlich. Alternativ zum Router kann eine SD-WAN-Lösung in Erwägung gezogen werden, ein Lösungsansatz der im Beitrag „SD-WAN als Technologie“ behandelt wird.
Durch ein Re-Design der Netzwerkarchitektur mit lokalen Internet-Übergängen können Mitarbeiter schnell und sicher auf dem kürzesten Weg auf die erforderlichen Inhalte für den Arbeitsalltag zugreifen, ohne Umweg über die Unternehmenszentrale. Die Anwender profitieren von der Performanz des lokalen Internet-Übergangs. Dieser direkte Weg spart nicht nur deutlich MPLS-Kosten, sondern reduziert auch den Ressourcenaufwand für komplexe IT-Administration an jedem Standort. Der Grundstock für eine Cloud-First Netzwerkumgebung ist damit gelegt.

Info: Teil 2: SD-WAN – der schnelle Weg in die Cloud, aber auch sicher?

#Netzpalaver #Zscaler

 

zscaler-Netzpalaver-Verweis