MPC

MPC Newsletter | +49 6221 90514-100

Termin buchen
  • Consulting
    • Strategieberatung
    • Benchmarking / Kostenoptimierung
    • Technisches Design / Redesign
    • Ausschreibungsmanagement
  • Services
    • Vertragsmanagement
    • Mobile LifeCycle Management
      • MDM
  • Solutions
    • Telefonie
      • Voice-Over-IP
        • Sip Trunk
        • Teams-Telefonie
        • Cloud Telefonanlage
      • TK-Systeme / Unified Communications
    • Daten
      • Internetzugang
        • Standleitung
        • Glasfaser
        • SDSL
        • Richtfunk
      • Standortvernetzung
        • SD-WAN
        • MPLS
        • VPLS
        • Ethernet Connect
        • Dark Fiber
    • Mobilfunk
      • Mobile Kommunikation
        • Mobilfunk Vergleich
        • Mobile Device Management
        • Mobilfunkmanagement
        • Firmenhandy mieten
        • 5G
    • IT
      • Cloud- / RZ- Services
        • Rechenzentrum
      • IT-Security
        • SASE
        • ZTNA
        • DDoS
  • Über uns
  • Aktuelles
  • Referenzen
  • Karriere
  • Partner
  • Kontakt

Was ist SD-WAN-Security?

30. Juni 2021 von mpcservice

Eine Definition:

Was ist SD-WAN-Security?Die SD-WAN-Security basiert im Wesentlichen auf dem Einsatz von IP-Security (IPsec), VPN-Tunneln, Next-Generation-Firewalls (NGFWs) und der Mikrosegmentierung des Applikationsverkehrs.

Netzwerkadministratoren verwalten und orchestrieren diese Security-Elemente zentral über Software bzw. über zentrale Management-/Orchestrator-Systeme, die einen detaillierten Einblick in das Netzwerk gewähren.

Die Kombination aus WAN-Virtualisierung und der zunehmenden Verlagerung von Anwendungen in Cloud-Plattformen, hat den Umfang der Unternehmens-Netzwerke erweitert. Dies macht es erforderlich, dass Security-Funktionalität sowohl in der Unternehmenszentrale als auch in den Zweigstellen und in den Cloud-Instanzen vorhanden ist.

Netz-Security-Funktionen müssen virtualisiert werden, um mit den sich entwickelnden Sicherheitsbedrohungen Schritt zu halten und um die Kosten für die Aktualisierung und Aufrüstung von Security-Elementen zu kontrollieren. Durch die Verwendung von virtuellen Maschinen bei der SD-WAN-Security können Software-Updates auf der vorhandenen Hardware installiert werden. Es ist dann nicht mehr nötig, für jedes Update neue Hardware zu installieren. Das spart Zeit und Geld.

Viele SD-WAN-Anbieter bieten inzwischen zusätzlich zu SD-WAN eine neuere, sichere Netzwerktechnologie an: die sog. „Secure Access Service Edge“ (SASE). SD-WAN und SASE basieren beide auf den Prinzipien der Virtualisierung und der Verwendung mehrerer Verbindungstypen. Der Unterschied liegt bei SASE aber in der Dezentralisierung des Netzwerks. Anstelle der für SD-WAN typischen Hub-and-Spoke-Topologie verbindet SASE die Benutzer – unabhängig von ihrem Standort – sicher mit dem nächstgelegenen Netzwerk-Point of Presence (PoP), an dem dann sowohl Security- als auch Netzwerk-Funktionen ausgeführt werden.

Grundlagen von SD-WAN-Security: IPsec und VPNs

IPsec-basierte VPNs sind nahezu universell für alle SD-WANs. Da ein SD-WAN neben privaten MPLS-Verbindungen auch das öffentliche Internet nutzt, ist ein VPN oder IPsec-Tunnel erforderlich. Auf diese Weise wird sichergestellt, dass der Verkehr zwischen Sender und Empfänger nicht gestört wird.

Dies geschieht durch:

  • Authentifizierung des Absenders, des Empfängers und der gesendeten Pakete
  • Verwendung von Verschlüsselungs-Keys, die bereits von den Hosts, die die Daten senden und empfangen, gemeinsam genutzt werden, oder Verwendung von Verschlüsselung mit öffentlichen und privaten Verschlüsselungs-Keys
  • Sicherstellen, dass die Pakete nicht manipuliert wurden, durch Verwendung des Encapsulating Security Payload (ESP)-Protokolls
  • Bestätigung, dass die Herkunft der Pakete vertrauenswürdig ist, indem sich ein Authentifizierungs-Header (AH) den IP-Header ansieht

Visibility / Monitoring-Tools

Ein großer Vorteil von SD-WANs im Vergleich zu herkömmlichen WANs ist die Transparenz, die SD-WAN im Netzwerk bietet. Netzwerkadministratoren (oder für den WAN-Betrieb zuständige Netzbetreiber und Managed Service Provider) können das Netzwerk zentral verwalten und orchestrieren sowie den Datenverkehr auf Inkonsistenzen überwachen. Mit dieser Funktionalität stellen Netzwerkadministratoren bzw. die Service-Provider sicher, dass Anwendungen mit ausreichender Performance ausgeführt werden. Außerdem können sie Netzwerkprobleme beheben und sicherstellen, dass beteiligte Security-Elemente und definierte -richtlinien korrekt ausgeführt werden.

Der Grad der Transparenz ist allerdings abhängig vom SD-WAN-Anbieter bzw. der eingesetzten SD-WAN Lösung. Während einige SD-WAN Lösungen bis runter auf die Benutzer-/Geräteebene gehen, gehen andere dagegen nur bis zur Anwendungsebene. Aufgrund der Informationen, die das SD-WAN vom Benutzer, Gerät oder von der Anwendung sammelt, weiß man, ob der Datenverkehr aus einer vertrauenswürdigen oder weniger vertrauenswürdigen Quelle stammt.

Die Sichtbarkeit (Visibility) des Netzwerkverkehrs auf Anwendungsebene liefert Details darüber, welche Anwendungen die Bandbreite nutzen, wie viele Ressourcen sie beanspruchen und wie gut sie arbeiten/performen. Aufgrund der Transparenz kann man Sicherheitsrichtlinien festlegen, auf welche Anwendungen oder IP-Adressen einzelne Benutzer Zugriff haben.

Zusätzlich sind fast alle weiteren Security-Funktionen eines SD-WANs abhängig von der Sichtbarkeit bzw. Transparenz des Netzwerks. Denn die Software kann nur mit dem Datenverkehr interagieren, den sie auch erkennt. Dagegen sind Next Generation Firewalls (NGFWs) nicht von der Sichtbarkeit des Netzwerks abhängig, da sie den gesamten Datenverkehr analysieren, der sie durchläuft.

Die Sichtbarkeit auf Geräteebene geht über das alleinige Anzeigen von Anwendungsdaten, die den Datenverkehr erzeugen, hinaus. Das Gleiche trifft auch auf das Gerät zu, auf welchem die Anwendung läuft, sowie auf die Person, welche das Gerät verwendet – sofern identifiziert werden kann, welcher Benutzer welches Gerät verwendet. Die Sichtbarkeit auf Geräteebene bietet eine größere Granularität der Sicherheitsrichtlinien, die auf das Netzwerk anwendbar sind. Auf diese Weise können Benutzer gruppiert werden sowie ihre Zugriffsebene auf das Netzwerk und das, was sie im Netzwerk tun, bestimmt werden.

NGFW für SD-WAN-Security

Schlüsselelement der SD-WAN-Security ist eine Next Generation Firewall (NGFW). Eine NGFW wird sowohl in Zweigstellen als auch in der Zentrale eingesetzt. Sie ist eine virtualisierte und verbesserte Version der herkömmlichen hardwarebasierten Firewalls.

Eine NGFW führt mehrere virtuelle Netzwerkfunktionen (VNFs) aus, z. B. Application Awareness, Intrusion Detection und Prevention, URL- und Web-Content-Filterung, Malware-Erkennung und Virenschutz. NGFWs und die von ihnen ausgeführten virtuellen Netzwerkfunktionen können sowohl vor Ort als auch in der Cloud betrieben werden.

Mikrosegmentierung

Der Datenverkehr von verschiedenen Anwendungen kann in einem SD-WAN – basierend auf den Eigenschaften des Datenverkehrs und den Netzwerkrichtlinien, die für das SD-WAN festgelegt wurden – segmentiert werden. Segmentierung ist die Erstellung von virtuellen Netzwerken innerhalb des virtualisierten Netzwerk-Overlays des SD-WANs. Auf diese Weise wird eine Trennung des Datenverkehrs von verschiedenen Anwendungen oder Anwendungsgruppen möglich. Dadurch wird ein Angriffsvektor eliminiert oder zumindest begrenzt und Sicherheitsrichtlinien und Quality of Service können viel granularer angewendet werden. Auf einzelne Segmente können unterschiedliche Richtlinien angewendet werden.

Die Mikrosegmentierung ist in der Lage, den Datenverkehr bis hinunter zur Arbeitslast zu segmentieren. Datenverkehr, der von einem weniger sicheren Ort kommt, kann nicht mit sensiblen Informationen interagieren, da sehr spezifische Arten von Datenverkehr voneinander getrennt werden.

Wichtigste Erkenntnisse zur SD-WAN-Security

Um den Datenverkehr zu sichern, der über eine öffentliche Internetverbindung gesendet wird, nutzen SD-WANs Verschlüsselung und VPNs. Umfangreiche Visibility und Transparenz über ein SD-WAN hilft, das Netzwerk sicher zu halten, da im Detail erkennbar ist, wo eine Schwachstelle liegt. Anstelle von traditionellen hardwarebasierten Firewalls verwenden SD-WANs virtualisierte Next-Generation-Firewalls. Außerdem läuft der Datenverkehr von verschiedenen Anwendungen über separate Mikrosegmente eines SD-WANs. Auf diese Weise kann ein Angriff nicht den gesamten Anwendungsverkehr kompromittieren.

Sie haben Fragen zur Sicherheit der Standortvernetzung Ihres Unternehmens? Wir beraten Sie mit unserem umfassenden Know-how unabhängig und kompetent. Nehmen Sie hier Kontakt mit uns auf.

Kategorie: Aktuelles

Weitere Artikel, die Sie interessieren könnten

Aktueller Stand Glasfaserausbau 2025

15. Mai 2025

Wie weit ist der Glasfaserausbau in Deutschland? Der Glasfaserausbau 2025 in Deutschland ist geprägt von immer mehr Dynamik. Laut BREKO lag die Glasfaserausbauquote Ende 2024 bei 48,8 Prozent, was
mehr  

Business Backup Internetverbindung

9. April 2025

Ihr Schutz vor Ausfallzeiten – Die Lebensversicherung für Ihre Geschäftsprozesse In der heutigen digitalisierten Geschäftswelt ist eine stabile Internetverbindung für Unternehmen jeder Größe
mehr  

MPC Service

MPC ist der Experte für Connectivity – für Dienste und Produkte von Netzbetreibern und für die Anbindung an Providernetze. Festnetz, Mobilfunk, Internet oder Standortvernetzung z.B. via SD-WAN - wir kennen alle Anbieter, Produkte und Preise. Wir vergleichen, beraten und verhandeln hart. Wir unterstützen Sie regional, national und international. Mit 30 Jahren Markterfahrung!

Kontakt

MPC Service GmbH
Hans-Bunte-Str. 4
D-69123 Heidelberg

Tel.: +49 6221 90514-100
info@mpcservice.com

Social Media

  • Newsletter
  • Datenschutz
  • Impressum
  • Sitemap

Gerne gelesen

  • Standleitung Preise
  • DeutschlandLAN Connect IP
  • MPLS Kosten – zahlen Sie zu viel?
  • Glasfaser Berlin
  • Richtfunk Internet
Kontaktieren Sie uns +49 6221 90514-100 info@mpcservice.com