Die Zeiten sind vorbei, als alle Programme innerhalb des Perimeters eines Unternehmens lagen und aus Sicherheitsgründen auch dort liegen mussten. Software-as-a-Service (SaaS) gewinnt mit Diensten wie Office-365, Amazon-AWS oder Microsoft-Azure rasant an Beliebtheit. Doch wie lässt sich das flexible und mobile Arbeiten erreichen, wenn Unternehmen im Bereich der IT-Infrastruktur auf traditionelle Wege vertrauen, die nicht mit der hohen Mobilität im Einklang stehen?
Unternehmen nutzen verschiedene Cloud-Ansätze. Da sind zum einen Web-basierte Dienste über das öffentliche Internet: Software-as-a-Service, die auf einer dezentralen Cloud liegt und über eine Webseite erreichbar ist, wie Office-365, oder Salesforce. Zum anderen nutzen Unternehmen bestimmte Services, die nur für eine bestimmte Gruppe über die Wolke verfügbar gemacht werden, sogenannte Private-Cloud-Services (PCS). Diese sind nur über das interne Netzwerk des Unternehmens zugänglich, wie bei AWS und Azure. Der Umweg über das Firmennetzwerk gewährleistet dabei die IT-Sicherheit der verfügbaren Daten und Anwendungen.
Der traditionelle Weg über MPLS-Standleitungen ist zu limitiert
Wie können die Mitarbeiter auf diese Services zugreifen? Typischerweise erfolgt der Zugriff über ein MPLS-Netzwerk: Vom jeweiligen Standort auf ein Hub-Datacenter und weiter ins Internet zur Cloud. Oder, im Fall von PCS, verbinden sich Nutzer mit einem lokalen Rechenzentrum, das eine MPLS-Standleitung zum Hauptrechenzentrum des Unternehmens besitzt, und von dort wird die Anfrage zum Cloud Service-Anbieter, beispielsweise AWS oder Azure, weitergeleitet. Das sind die traditionellen Wege, die gut funktioniert haben, so lange alle Verbindungen im Unternehmensnetzwerk ausgeführt wurden. Wenn Mitarbeiter sich aber vom nächsten, erreichbaren Internetanschluss einwählen wollen, dann gerät das System ins Wanken. Die Kosten für die MPLS-Leistung zur Bewältigung des Traffics steigen exponentiell. Darüber hinaus sind die Anpassungen an lokale Gegebenheiten und Gesetze zeitintensiv, die Performance meist schlecht und am Ende also die Benutzererfahrung ungenügend.
Cloud-Access-Redesign für kurze Wege
Erforderlich ist ein Cloud-Access-Redesign, das den performanten Zugang zu den Applikationen regelt und die individuelle Vergabe von Zugriffsrechten ermöglicht. Der Weg, den ein Mitarbeiter beim Zugriff auf Daten und Anwendungen nehmen möchte, ist immer der kürzeste und einfachste, egal, ob aus der Unternehmenszentrale, vom Home-Office oder unterwegs. Darum lautet die Herausforderung an die moderne IT-Infrastruktur der Unternehmen: Wie bringe ich diese Anforderungen in Einklang mit den Sicherheitslösungen und der Compliance?
Der Netzwerk-Traffic muss entlastet und Zugriffsrechte individuell definiert werden. Darüber hinaus wird ein Routing des Traffic-Flows benötigt, um optimalen Zugriff auf Cloud-Services zu bieten und die Benutzer auf dem schnellsten Weg zur gewünschten Cloud-App zu leiten. Geschwindigkeit beim Zugriff ist dabei relevanter denn je. Unternehmen sollten deshalb bei einem Cloud-Service-Access-Redesign die folgenden Faktoren berücksichtigen:
- Visibility: Welche Cloud-Services sind im Unternehmen verfügbar? Hier eignet sich ein Cloud-Access-Security-Broker (CASB) als Kontrolleinheit, die zwischen dem Internet-Breakout und der Cloud gemäß den Zugriffsrechten die Verbindung vermittelt. Das erspart den Umweg über die lokalen Rechenzentren, erhöht die Performance durch den direkten Zugang und spart die Kosten für die teuren MPLS-Standleitungen an sämtlichen Standorten weltweit.
- Klassifizierung der Applikationen, die das Unternehmen seinen Mitarbeitern tatsächlich zur Verfügung stellen möchte.
- Granulare Zugriffsrechte: Möglichkeit, bestimmte Funktionen zu kontrollieren, beispielsweise das Herunterladen von Daten von Box oder Google-Drive erlauben, aber den Upload (granular) verbieten.
- Data-Loss-Prevention (DLP): Unternehmen müssen das ungewollte Abfließen vertraulicher Informationen verhindern. Eine Mischung aus Proxy, CASB und DLP bietet sich dazu an.
- Bandbreitenmanagement: Sicherstellen, dass User auf geschäftskritische Anwendungen mit der nötigen Geschwindigkeit zugreifen können. Priorisierung der Bandbreite für wichtige Anwendungen stellt deren Performanz sicher, so dass beispielsweise Office-365 Vorrang vor Youtube erhält.
Mehr Nutzerfreundlichkeit und kleinere Stapel teurer Hardware-Appliances
Der schnelle und sinnvolle Weg in die Cloud ist der lokale Zugang zum Internet. Hierfür implementieren Unternehmen lokale Internet-Breakouts im Zuge einer SD-WAN Strategie. In die Überlegung muss allerdings die IT-Sicherheit einfließen. SD-WAN geht nicht automatisch mit Sicherheit an jedem Standort einher. Ein Lösungsansatz: Mit Hilfe von Cloud-basierter IT-Sicherheit müssen Unternehmen nicht mehr an jedem Standort die Sicherheitsarchitektur des Hauptsitzes nachahmen. Statt teure Hardware-Module zu stapeln, verschiebt sich die Sicherheit dorthin, wo sie gebraucht wird – in die Cloud. Dies reduziert zudem Anschaffungs- und MPLS-Kosten, beschleunigt den Roll-Out und vereinfacht die Administration.
Am Ende eines echten Cloud-Service-Access „Redesigns“ werden somit Standleitungen überflüssig. Mitarbeiter erhalten den einfachsten und schnellsten Zugriff auf ihre Anwendungen. Die Unternehmen profitieren von höherer Performance und Anwenderfreundlichkeit. Sie können in Zeiten der digitalen Transformation ihre Mitarbeiter an den weltweiten Standorten zufriedenstellen und die Vorteile von Cloud-Services hinsichtlich deren Flexibilität wirklich nutzen.
Von Mathias Widler, Regional Vice President & General Manager Central EMEA bei Zscaler
#Netzpalaver #Zscaler