Network-as-a-Service – das flexible Netzwerk

Network-as-a-Service, kurz NaaS, ist ein Modell, das die Konzepte der Vernetzung aufgreift und sie „als Service“ bereitstellt. Sozusagen ein einfacher Zugriff auf die notwendigen Netzwerk-Tools und -Prozesse von einem zentralen Standort aus der Cloud heraus.

Die Unternehmen sind daran gewöhnt, die für die Kommunikation notwendigen Infrastrukturen und Geräte kontinuierlich auszuwechseln und darüber hinaus die für den Datenaustausch notwendigen Ressourcen ständig zu managen.

Ein aus der Cloud bereitgestellter Network-as-a-Service kann den IT-Teams in den Unternehmen dabei helfen, diese wichtigen Aufgaben besser zu bewältigen. Hier lassen sich nicht nur die jeweiligen Netzstrukturen planen, umsetzen und optimieren, sondern auch an zentraler Stelle sichere Zugriffsrichtlinien festlegen und Konfigurations- und Wartungsarbeiten durchführen.

Das Netzwerk wird somit zu einer reinen Dienstleistung, für die man genauso bezahlt wie für Wasser, Strom oder Heizung. Da das Netzwerk virtuell ist, bleibt seine ganze Komplexität verborgen.

 

Warum benötigen Unternehmen ein Netzwerk als Service?

Die Unternehmen benötigen ein Network-as-a-Service, weil es eine einfache, sichere und kostengünstigere Alternative zur Verwaltung von Netzwerken mit herkömmlichen Lösungen darstellt.

Da die Vorbehalte gegenüber der Cloud in den Unternehmen immer weiter schwindet und sich die IT immer mehr in die Cloud verschiebt, ist es nicht verwunderlich, dass neben den Angeboten Software-as-a-Service (SaaS), Infrastructure-as-a-Service (IaaS) und Platform-as-a-Service (PaaS) auch die Netzinfrastrukturen virtualisiert aus der Cloud bereitgestellt werden. Die meisten Mitarbeiter in den Unternehmen nutzen im Durchschnitt vier Cloud-Anwendungen in ihrer täglichen Arbeitsroutine.

Die Rechnungslegung, das Customer-Relationship-Management (CRM), das Enterprise-Resource-Planning (ERP) und andere wichtige Geschäftsideen werden bei den meisten Unternehmen inzwischen aus der Cloud bezogen. Diese Trends verdeutlichen, dass es wenig Sinn macht, und darüber hinaus auch noch sehr teuer ist, weiterhin die traditionellen Netzwerk-Tools zur Wartung und Pflege der Cloud-Kommunikation zu nutzen. Der traditionelle Weg zur Bereitstellung von Netzwerken vergeudet Kapital und Zeit und hinterlässt immer noch Lücken im Netzwerk, in die Hacker eindringen können.

Durch die Integration von Cloud-Angeboten in das Netzwerk eines Unternehmens verringert sich die Sichtbarkeit für die IT-Abteilung auf die verfügbaren Ressourcen. Dementsprechend zieht Lücke ein mehr an Arbeit nach sich, um die möglichen Angriffsflächen auf die über die Netze übermittelten Informationen zu verringern. Daher funktionieren auch die klassischen Angebote der Virtual-Private-Networks (VPNs) nicht mehr. Die klassischen VPNs erfordern den Einsatz von Hardware und eine manuelle Konfiguration und sind in vielen Fällen nicht in der Lage, benutzerspezifische Zugriffsrichtlinien für bestimmte Teile des Netzwerks bereitzustellen oder zusätzliche Sicherheitstools zu unterstützen.

 

Cloud-Network as a Service versus VPN

Network-as-a-Service ist kein neues Konzept, sondern wurde durch die Entwicklung der Cloud-Dienste in anderen Bereichen direkt beeinflusst. Die Verbreitung von NaaS-Lösungen wird derzeit jedoch von den gleichen Bedenken behindert, die auch die Verbreitung anderer Cloud-basierter Dienste beeinträchtigt haben. Im Speziellen sind das die Fragen nach der Fähigkeit des Anbieters, eine Hochverfügbarkeit (High-Availability, HA) und  bestimmte Service-Level-Agreements (SLAs) zu gewährleisten. Auch Compliance-Probleme werden in Zusammenhang mit der Datenhoheit und einem möglichen Vendor-Lock-In immer wieder genannt.

Network-as-a-Service (NaaS) ist ein Geschäftsmodell mit dem Netzwerkdienste virtuell über das Internet bereitgestellt werden. Die NaaS-Dienste können als Pay-per-Use oder im Abo mit dem NaaS-Provider abgerechnet werden. Um die NaaS-Dienste nutzen zu können, benötigt der Kunde lediglich einen Computer mit Internetzugang und einen Zugang zum NaaS-Provider.

Kommen wir noch einmal auf die VPNs zurück. VPNs galten über eine lange Zeit als die ultimative Lösung zur Absicherung der Datenströme im Internet. VPNs gelten immer noch als teuer, kompliziert und das IT-Personal in den Unternehmen hat ihre liebe Mühe, die Konfigurationen und Wartung an die Erfordernisse moderner Cloud-Hybrid-Netzwerke anzupassen. Sicherheitslücken und Ausfallzeiten sind die Resultate dieser Lösungen, denn vielen VPNs fehlt es an der Fähigkeit, flexibel auf Bedrohungen des Netzes zu reagieren. Angriffe finden nicht mehr nur auf lokale Ressourcen und Endpunkte statt, sondern über die Cloud und die Geräte entfernter Mitarbeiter.

Ein normales VPN bietet keine Sichtbarkeit, keine Kontrolle und keine umfassende Überwachung um Angriffe auf die Daten zu verhindern. Die Verschlüsselung eines Network-as-a-Services ist die einzige Gemeinsamkeit mit einem klassischen VPN. Der Datenverkehr wird bei der Übermittlung über ein NaaS ebenfalls verschlüsselt, allerdings steht hierfür eine größere Auswahl an TLS-Protokollen zur Verfügung.

Wichtiger Aspekt moderner Netzwerke ist die Idee, dass ein Network-as-a-Service die Möglichkeit bietet, benutzerdefinierte Netzwerke bereitzustellen und die Sicherheits- und Zugriffsrichtlinienfunktionen von einer Cloud-Plattform aus  zu  integrieren. Dies bringt eine Reihe von Vorteilen mit sich. An erster Stelle steht die Möglichkeit, eine sofort funktionierende VPN-ähnliche Lösung zu erhalten, ohne dabei die Verantwortung für die Wartung oder das Management übernehmen zu müssen.

Für viele Unternehmen, die nur diese eine Funktion benötigen, ist dies bereits ausreichend. Entscheidend für alle NaaS ist jedoch auch, dass Unternehmen, die diese Services nutzen, ihre Netzwerke in winzige Segmente aufteilen können. Jedes dieser Segmente verfügt über eine eigene Zugriffsrichtlinie für die Benutzer auf der Grundlage ihrer Rolle, ihres Geräts, ihres Standorts und mehr.

Da die Network-as-a-Services aus der Cloud angeboten werden, können zusätzliche Sicherheitsfunktionen bereitgestellt werden, die das Netzwerk zusätzlich schützen: Dinge wie beispielsweise eine Multi-Faktor-Authentifizierung, WiFi-Sicherheit, DNS-Filterung und andere.

 

Wie funktioniert Network-as-a-Service?

Wie wird eine Network-as-a-Service-Plattform eingerichtet, und wie wird diese genutzt? Es ist wie bei den anderen „As a Service“-Lösungen, der Kunde (in den meisten Fällen die IT-Abteilung eines Unternehmens) meldet sich über einen Webbrowser bei einem NaaS-Panel an und beginnt mit der Einrichtung des Netzwerks: Man positioniert die Gateways in bestimmten Regionen in der Nähe der Büros, Zweigstellen und Mitarbeitern (in den Home-Offices) und baut danach verschlüsselte Tunnel zwischen den Zielpunkten und den Ressourcen in der Cloud oder der lokalen Umgebungen auf.

Als Nächstes folgen das Onboarding von Benutzern und die Erstellung von Gruppen, die auf bestimmte Teile des von der IT-Abteilung festgelegten Netzwerks zugreifen können. Nachdem diese grundlegenden Definitionen abgeschlossen sind, werden die individuellen Berechtigungen auf der Grundlage der spezifischen Anmeldedaten, der Position der Geräte, der IP-Adressen und anderer granularer Merkmale zugewiesen.

Was die Architektur betrifft, so besteht eine Network-as-a-Service-Lösung aus drei Teilen: dem Client, dem Controller und den bereits erwähnten Gateways.

Benutzer oder Mitarbeiter, die eine Verbindung zu den Ressourcen des Unternehmens herstellen möchten (z. B. SaaS-Dienste wie Salesforce oder AWS oder lokaler Speicher), müssen vor der Verbindung den NaaS-Client auf ihrem Gerät aktivieren.

Der Controller bewertet jeden Benutzer anhand der Token, die dieser vom Client erhält und der ihm signalisiert, welche Teile des Netzwerks dieser Nutzer betreten darf.

Der Datenverkehr zwischen den Benutzergeräten und den Gateways oder Ressourcen, auf die diese Geräte zuzugreifen versuchen, wird verschlüsselt.

Die IT-Abteilung kann über ihr NaaS-Cloud-Panel jederzeit spezifische Zugriffsrichtlinien erstellen und die Verwendung von neuen Sicherheitsmaßnahmen bei den Benutzern durchsetzen.

Alle Ereignisse im Netzwerk werden dabei protokolliert, so dass sich leicht feststellen lässt, was gerade passiert oder was passiert ist, und die Verwendung von Überwachungsfunktionen sorgen dafür, dass die IT-Abteilung in den Unternehmen auf verdächtige Aktivitäten schnell aufmerksam gemacht werden.

 

Was sind die Vorteile von Network-as-a-Service?

Die modernen Netzwerke müssen die Unternehmen dabei unterstützen, schneller zu reagieren und flexibler auf immer komplexere Herausforderungen zu reagieren. Das Hinzufügen neuer Netzwerkfunktionen ist jedoch häufig kostspielig und zeitaufwändig. Das liegt daran, dass die heutigen Netzwerke auf einem Patchwork aus verschiedenen Boxen basieren, die demselben hardwarezentrierten Modell folgen, das erstmals in den 1990er Jahren realisiert wurde. Dies beeinträchtigt die Leistung und schafft zusätzliche Arbeit, Kosten und Risiken für das Unternehmen. Mit Network-as-a-Service ändert sich die Netzwerkwelt und bietet folgende Vorteilen:

  • Cloud-natives NaaS: Stellen Sie neue Anwendungen und Dienste schnell bereit und senken Sie gleichzeitig die Kosten für ältere Infrastrukturen. Ermöglicht die Integration von Netzwerk- und Sicherheitsfunktionen direkt in den Cloud-basierten SaaS-Anwendungen.
  • Sicherheitsfunktionalität: In Abhängigkeit von den jeweiligen Anforderungen können durch NaaS-Lösungen zusätzliche Sicherheitstools dynamisch umgesetzt. werden Hierzu gehören beispielsweise ein gesicherter Zugriff auf Microsoft-365-Anwendungen und Azure-Daten-Workloads, eine serviceorientierte Struktur, die insbesondere für AWS-Bereitstellungen konsistente Richtlinien und eine Verschlüsselung auf Anwendungsbasis bereitstellt, eine Multi-Faktor-Authentifizierung, eine automatische WiFi-Sicherheit, eine DNS-Filterung und vieles mehr.
  • SD-WAN: Das NaaS-Konzept nutzt konsequent die Möglichkeiten des Software-Defined-WAN (SD-WAN). Es kann sich für Kleinbetriebe und solche, die keine große IT-Abteilung aufbauen wollen, als äußerst vorteilhaft erweisen, weil die Firmen keine großen Investitionen in Hardware und Personal tätigen müssen und nur für solche Dienste bezahlen, die sie letztendlich auch nutzen.
  • Vollständige Netzwerktransparenz: Bei der Verhinderung von Sicherheitsverletzungen geht es um mehr als nur um die Verteidigungsmaßnahmen rund um das Netzwerk. Mit benutzerbasierten Richtlinien und einfacher Protokollierung und Überwachung lässt sich leicht feststellen, wo und wie eine Gefährdung entsteht.
  • Globales Daten-Backbone: Verringern Sie die Netzwerklatenz, indem wichtige Netzwerkressourcen näher an den Orten platziert werden, an denen diese von den Mitarbeitern eines Unternehmens benötigt werden – sowohl vor Ort als auch an entfernten Standorten.
  • Niedrigere IT-Kosten: Eine NaaS erspart Hardware, Konfiguration und Wartung des Netzwerks. Das Unternehmens-IT Team kann die Netzressourcen und alle Aspekte der Netzwerksicherheit über ein einziges Control-Panel verwalten.
  • Zero-Trust Remote-Arbeit: Remote-Arbeit wird es auch in Zukunft geben, und es gibt keine bessere Möglichkeit, Remote-Mitarbeiter zu unterstützen und zu sichern als durch ein Cloud-natives NaaS. Die individuell aktivierbaren Zugriffsrichtlinien mit minimalen Rechten und zusätzlichen Sicherheitsfunktionen begrenzen die Gefährdung und den Missbrauch erheblich.

Von Mathias Hein, Consultant