SD-WAN Teil 3: Wir vergleichen verschiedene SD-WAN Security-Architekturen für Unternehmen
Bei der Planung zur Einführung eines SD-WANs gehört die Neuausrichtung der Netzwerk-Security, oder zumindest deren Überprüfung, mit auf die Liste der Projektziele. Ein SD-WAN ermöglicht mehrere Security-Architekturen. Auch bei der Umsetzung eines Zero Trust Security-Modells ist SD-WAN nützlich. Neben der Chance, die Netzwerk-Security auf ein höheres Level zu heben, birgt ein SD-WAN natürlich auch Risiken. Eine Änderung der SD-WAN Security-Architekturen bedingt in der Regel ein neues Betriebsmodell und es entsteht eine andere Kostenstruktur.
Welche SD-WAN Security-Architekturen sind möglich?
Ein SD-WAN unterstützt auf Grundlage seiner hochentwickelten Routingfähigkeiten verschiedene Architekturen, wie die Netzwerk-Security aufgesetzt werden kann. Auch eine Mischung verschiedener SD-WAN Security-Architekturen ist möglich.
1. Zentralisierte Security:
Der gesamte Datenverkehr, der das Unternehmensnetzwerk verlässt, wird über ein zentrales Security-Gateway, das ein vollständiges Set an Security-Funktionen bereitstellt, geleitet. Dieser klassische, gut managebare Ansatz aus den vergangenen Jahrzehnten ist ineffizient in Verbindung mit modernen SaaS-Applikationen, denn er erschwert die Einbindung mobiler Arbeitskräfte. Für regionale, geografisch kompakte Unternehmensnetze kommt eine zentralisierte Security allerdings weiterhin in Frage.
2. Regionalisierte Security:
Regionale „Communication Hubs“, vorzugsweise in Carrier-neutralen Colocation Data Centers, ausgestattet mit NG-Firewall und vollständigem Security-Stack. An die Communication Hubs werden die Unternehmensstandorte angeschlossen, um sowohl nach intern die eigenen Data Center und Unternehmensstandorte, sowie nach extern das Internet und die Clouds zu erreichen. Die Communication Hubs werden untereinander mit hoher Bandbreite und niedriger Latenz zu einem hochperformanten Core-Netzwerk verbunden. Bei der Analyse auf Eignung einer regionalen Security-Architektur müssen
- die geografische Lage bzw. Bündelung der Standorte
- unterschiedliche Sprachanforderungen
- sowie spezielle, lokale Netzwerk-Security Anforderungen des Unternehmens
kritisch betrachtet werden.
3. Verteilte Security:
An jedem Unternehmensstandort befindet sich eine Firewall, die einen lokalen Internet-Breakout ermöglicht. Split-Tunneling auf den SD-WAN Edge-Devices ermöglicht die Aufteilung des externen und internen Datenverkehrs. Das Offloading des Internet-Traffics am Standort reduziert die Last auf dem WAN und damit einen Teil der Mehrkosten für die lokale Firewall. Optimal sind beim verteilten Ansatz
- die mögliche Granularität in der Umsetzung der Netzwerk-Security Anforderungen
- die Performance im Zugriff auf Cloud-Anwendungen
Die Nachteile eines verteilten Ansatzes sind
- das Vorhalten eines kompletten Netzwerk-Security Stacks an jedem Standort erhöht die Kosten gegenüber einem regionalisierten Ansatz.
- der Aufwand für das Management vieler zusätzlicher Instanzen von gegebenenfalls unterschiedlichen Herstellern ist kritisch zu beleuchten.
4. Cloud-based Security:
Der externe Traffic wird zu einem Cloud Security-Gateway geroutet. Cloud-based Security entspricht in wesentlichen Eigenschaften dem regionalisierten Security-Ansatz, wird aber auf einem überschaubaren Markt meist als Dienstleistung angeboten.
Cloud-based Security Dienstleister bieten
- hochentwickelte, qualitativ und quantitativ skalierbare Lösungen
- einfache zu managen
- gute Anbindungen an Cloud- und SaaS-Anbieter
Nachteilig können sich folgende Eigenschaften auswirken:
- Standardisierung und Paketierung der einzelnen Services erschweren individuelle Anpassungen
- Sprachanpassung
- Geografische Lage der Cloud-Standorte
5. Software-defined Security:
Virtualisierte Security-Instanzen werden auf universellen Edge-Devices (uCPEs) mit SD-WAN Instanzen gekoppelt. Dies erfolgt per Service Function Chaining (SFC) verschiedener Virtueller Network Functions (VNFs).
Auf der Haben-Seite von Software-defined Security stehen positive Eigenschaften wie:
- Schnelles Aufsetzen einer VNF möglich
- Virtuelle Instanzen können auch in der IaaS-Cloud (AWS, Azure, Google) installiert werden. Dies ermöglicht die Einbindung von Cloud-Workloads in das Security-Konzept.
Kritisch zu sehen ist:
- Das Network Service Function Chaining ist noch von Problemen mit Skalierbarkeit, Redundanz und suboptimaler Ressourcenausnutzung behaftet.
- Die Klärung der operativen Zuständigkeiten für die uCPEs zwischen eigener IT und verschiedenen Dienstleistern, sowie die logische und physikalische Zugriffsregelung.
Welche Chancen und Risiken birgt SD-WAN für die Netzwerk-Security?
SD-WAN bringt gegenüber klassischem WAN Eigenschaften ins Spiel, die im Zusammenhang mit Netzwerk-Security von wesentlicher Bedeutung sind:
- “Eingebaute” Netzwerk-Security Features auf den Edge-Devices:
Sehr wichtig ist es für Unternehmen, im Vorfeld zu verstehen, über welche Netzwerk-Security Features eine SD-WAN Lösung verfügt und welcher Security-Level damit erreicht werden kann. In vielen Fällen muss die SD-WAN Lösung um Security-Funktionen auf höheren Layern ergänzt werden, um die Security-Policy des Unternehmens umsetzen zu können. - Erkennung von Applikationen und Application-based Routing:
Weil ein erheblicher Teil des Datentraffics (heute ca. 50%, Tendenz steigend) bereits verschlüsselt ist, muss eine SD-WAN Lösung in der Lage sein, zumindest die Anwendung im SSL-Traffic zu erkennen – und das schnell und effizient. Nicht alle Anwendungen müssen über eine NG-Firewall mit vollständigem Netzwerk-Security Stack aufwändig inspiziert werden.
Eine mögliche Differenzierung von SD-WAN Lösungen ergibt sich aus der Herausforderung, in dem verschlüsselten Traffic rechtzeitig (mit dem ersten Paket) die Applikation zu erkennen und granulare Routingentscheidungen für den Internet Breakout zu treffen, zum Beispiel:
- „vertrauenswürdiger“ SaaS-Traffic (Office365, Salesforce) direkt ins Internet
- Applikationen ohne direkten Bezug zur Arbeit (Facebook, Twitter, Youtube) zu einem Cloud-based Security Gateway wie z. B. Zscaler
- Unbekannter, verdächtiger oder schädlicher Traffic zur regionalen oder zentralen NG-Firewall
- Definition und Management von Netzwerk-Richtlinien an zentraler Stelle:
Einer der Haupt-Treiber für SD-WAN ist die Vereinheitlichung und Zentralisierung des Managements über WAN und Cloud. Dies sollte jedoch auch für die Netzwerk-Security gelten und hier gibt es noch erhebliche Unterschiede in den Angeboten. Ein Vorteil, den klassische NG-Firewall Anbieter erkannt haben und in aktuellen SD-WAN Produkten adressieren. Mit Einführung eines SD-WANs ergibt sich die Chance, die Netzwerk- und die Security-Operations besser zu verzahnen oder ganz zu vereinheitlichen.
Zero Trust Security-Modell
Mikrosegmentierung oder Zero Trust Networking entwickelt sich schnell zu einer Best Practice im Rechenzentrum. Mit Zero Trust existiert ein Modell, das sich fundamental von der klassischen, am Perimeter orientierten Praxis, unterscheidet. Zero Trust unterstützt moderne Unternehmen, deren Ressourcen zunehmend verteilt sind und sich auch außerhalb des Unternehmens-Perimeters befinden können. Dabei werden jegliche „vertraute“ Zonen eliminiert. Die Auswirkungen eines erfolgreichen Angriffs werden durch die Mikrosegmentierung minimiert.
Ein SD-WAN kann hier die Sicherheitslage eines Unternehmens verbessern, indem es die Traffic-Segmentierung über das WAN und in die Niederlassung ausdehnt. So ist zu erwarten, dass z. B. Filialisten SD-WAN nutzen werden, um den Datenverkehr über das WAN in verschiedene Segmente zu unterteilen: für PCI-Kreditkartenanwendungen, IoT, interne und externe Anwendungen.
Voraussetzung für ein Zero Trust Konzept ist, dass die Transaktionsabläufe, wie auf die zu schützende Oberfläche des Unternehmens (Daten, Applikationen, Assets, Services) zugegriffen wird, einmal dokumentiert sind. SD-WAN Edge-Devices können dann den Applikations-Datenverkehr, der sich über das Netzwerk bewegt, an die richtigen Instanzen für eine ordnungsgemäße Kontrolle zuzuführen.
Bei der Durchsetzung einer Zero Trust Policy, welche Ressourcen wie auf andere zugreifen dürfen, vermag eine geeignete SD-WAN Lösung mit granularen Anwendungsrichtlinien dabei helfen, dass nur bekannter, zulässiger Datenverkehr oder legitime Anwendungskommunikation möglich ist.
Sie haben Fragen zur Netzwerk-Security und welche SD-WAN Security-Architekturen sich für Ihr Firmennetzwerk eignen? Dann kontaktieren Sie uns. Wir helfen Ihnen gerne weiter und beraten Sie neutral und unabhängig.