Eine Definition:
Die SD-WAN-Security basiert im Wesentlichen auf dem Einsatz von IP-Security (IPsec), VPN-Tunneln, Next-Generation-Firewalls (NGFWs) und der Mikrosegmentierung des Applikationsverkehrs.
Netzwerkadministratoren verwalten und orchestrieren diese Security-Elemente zentral über Software bzw. über zentrale Management-/Orchestrator-Systeme, die einen detaillierten Einblick in das Netzwerk gewähren.
Die Kombination aus WAN-Virtualisierung und der zunehmenden Verlagerung von Anwendungen in Cloud-Plattformen, hat den Umfang der Unternehmens-Netzwerke erweitert. Dies macht es erforderlich, dass Security-Funktionalität sowohl in der Unternehmenszentrale als auch in den Zweigstellen und in den Cloud-Instanzen vorhanden ist.
Netz-Security-Funktionen müssen virtualisiert werden, um mit den sich entwickelnden Sicherheitsbedrohungen Schritt zu halten und um die Kosten für die Aktualisierung und Aufrüstung von Security-Elementen zu kontrollieren. Durch die Verwendung von virtuellen Maschinen bei der SD-WAN-Security können Software-Updates auf der vorhandenen Hardware installiert werden. Es ist dann nicht mehr nötig, für jedes Update neue Hardware zu installieren. Das spart Zeit und Geld.
Viele SD-WAN-Anbieter bieten inzwischen zusätzlich zu SD-WAN eine neuere, sichere Netzwerktechnologie an: die sog. „Secure Access Service Edge“ (SASE). SD-WAN und SASE basieren beide auf den Prinzipien der Virtualisierung und der Verwendung mehrerer Verbindungstypen. Der Unterschied liegt bei SASE aber in der Dezentralisierung des Netzwerks. Anstelle der für SD-WAN typischen Hub-and-Spoke-Topologie verbindet SASE die Benutzer – unabhängig von ihrem Standort – sicher mit dem nächstgelegenen Netzwerk-Point of Presence (PoP), an dem dann sowohl Security- als auch Netzwerk-Funktionen ausgeführt werden.
Grundlagen von SD-WAN-Security: IPsec und VPNs
IPsec-basierte VPNs sind nahezu universell für alle SD-WANs. Da ein SD-WAN neben privaten MPLS-Verbindungen auch das öffentliche Internet nutzt, ist ein VPN oder IPsec-Tunnel erforderlich. Auf diese Weise wird sichergestellt, dass der Verkehr zwischen Sender und Empfänger nicht gestört wird.
Dies geschieht durch:
- Authentifizierung des Absenders, des Empfängers und der gesendeten Pakete
- Verwendung von Verschlüsselungs-Keys, die bereits von den Hosts, die die Daten senden und empfangen, gemeinsam genutzt werden, oder Verwendung von Verschlüsselung mit öffentlichen und privaten Verschlüsselungs-Keys
- Sicherstellen, dass die Pakete nicht manipuliert wurden, durch Verwendung des Encapsulating Security Payload (ESP)-Protokolls
- Bestätigung, dass die Herkunft der Pakete vertrauenswürdig ist, indem sich ein Authentifizierungs-Header (AH) den IP-Header ansieht
Visibility / Monitoring-Tools
Ein großer Vorteil von SD-WANs im Vergleich zu herkömmlichen WANs ist die Transparenz, die SD-WAN im Netzwerk bietet. Netzwerkadministratoren (oder für den WAN-Betrieb zuständige Netzbetreiber und Managed Service Provider) können das Netzwerk zentral verwalten und orchestrieren sowie den Datenverkehr auf Inkonsistenzen überwachen. Mit dieser Funktionalität stellen Netzwerkadministratoren bzw. die Service-Provider sicher, dass Anwendungen mit ausreichender Performance ausgeführt werden. Außerdem können sie Netzwerkprobleme beheben und sicherstellen, dass beteiligte Security-Elemente und definierte -richtlinien korrekt ausgeführt werden.
Der Grad der Transparenz ist allerdings abhängig vom SD-WAN-Anbieter bzw. der eingesetzten SD-WAN Lösung. Während einige SD-WAN Lösungen bis runter auf die Benutzer-/Geräteebene gehen, gehen andere dagegen nur bis zur Anwendungsebene. Aufgrund der Informationen, die das SD-WAN vom Benutzer, Gerät oder von der Anwendung sammelt, weiß man, ob der Datenverkehr aus einer vertrauenswürdigen oder weniger vertrauenswürdigen Quelle stammt.
Die Sichtbarkeit (Visibility) des Netzwerkverkehrs auf Anwendungsebene liefert Details darüber, welche Anwendungen die Bandbreite nutzen, wie viele Ressourcen sie beanspruchen und wie gut sie arbeiten/performen. Aufgrund der Transparenz kann man Sicherheitsrichtlinien festlegen, auf welche Anwendungen oder IP-Adressen einzelne Benutzer Zugriff haben.
Zusätzlich sind fast alle weiteren Security-Funktionen eines SD-WANs abhängig von der Sichtbarkeit bzw. Transparenz des Netzwerks. Denn die Software kann nur mit dem Datenverkehr interagieren, den sie auch erkennt. Dagegen sind Next Generation Firewalls (NGFWs) nicht von der Sichtbarkeit des Netzwerks abhängig, da sie den gesamten Datenverkehr analysieren, der sie durchläuft.
Die Sichtbarkeit auf Geräteebene geht über das alleinige Anzeigen von Anwendungsdaten, die den Datenverkehr erzeugen, hinaus. Das Gleiche trifft auch auf das Gerät zu, auf welchem die Anwendung läuft, sowie auf die Person, welche das Gerät verwendet – sofern identifiziert werden kann, welcher Benutzer welches Gerät verwendet. Die Sichtbarkeit auf Geräteebene bietet eine größere Granularität der Sicherheitsrichtlinien, die auf das Netzwerk anwendbar sind. Auf diese Weise können Benutzer gruppiert werden sowie ihre Zugriffsebene auf das Netzwerk und das, was sie im Netzwerk tun, bestimmt werden.
NGFW für SD-WAN-Security
Schlüsselelement der SD-WAN-Security ist eine Next Generation Firewall (NGFW). Eine NGFW wird sowohl in Zweigstellen als auch in der Zentrale eingesetzt. Sie ist eine virtualisierte und verbesserte Version der herkömmlichen hardwarebasierten Firewalls.
Eine NGFW führt mehrere virtuelle Netzwerkfunktionen (VNFs) aus, z. B. Application Awareness, Intrusion Detection und Prevention, URL- und Web-Content-Filterung, Malware-Erkennung und Virenschutz. NGFWs und die von ihnen ausgeführten virtuellen Netzwerkfunktionen können sowohl vor Ort als auch in der Cloud betrieben werden.
Mikrosegmentierung
Der Datenverkehr von verschiedenen Anwendungen kann in einem SD-WAN – basierend auf den Eigenschaften des Datenverkehrs und den Netzwerkrichtlinien, die für das SD-WAN festgelegt wurden – segmentiert werden. Segmentierung ist die Erstellung von virtuellen Netzwerken innerhalb des virtualisierten Netzwerk-Overlays des SD-WANs. Auf diese Weise wird eine Trennung des Datenverkehrs von verschiedenen Anwendungen oder Anwendungsgruppen möglich. Dadurch wird ein Angriffsvektor eliminiert oder zumindest begrenzt und Sicherheitsrichtlinien und Quality of Service können viel granularer angewendet werden. Auf einzelne Segmente können unterschiedliche Richtlinien angewendet werden.
Die Mikrosegmentierung ist in der Lage, den Datenverkehr bis hinunter zur Arbeitslast zu segmentieren. Datenverkehr, der von einem weniger sicheren Ort kommt, kann nicht mit sensiblen Informationen interagieren, da sehr spezifische Arten von Datenverkehr voneinander getrennt werden.
Wichtigste Erkenntnisse zur SD-WAN-Security
Um den Datenverkehr zu sichern, der über eine öffentliche Internetverbindung gesendet wird, nutzen SD-WANs Verschlüsselung und VPNs. Umfangreiche Visibility und Transparenz über ein SD-WAN hilft, das Netzwerk sicher zu halten, da im Detail erkennbar ist, wo eine Schwachstelle liegt. Anstelle von traditionellen hardwarebasierten Firewalls verwenden SD-WANs virtualisierte Next-Generation-Firewalls. Außerdem läuft der Datenverkehr von verschiedenen Anwendungen über separate Mikrosegmente eines SD-WANs. Auf diese Weise kann ein Angriff nicht den gesamten Anwendungsverkehr kompromittieren.
Sie haben Fragen zur Sicherheit der Standortvernetzung Ihres Unternehmens? Wir beraten Sie mit unserem umfassenden Know-how unabhängig und kompetent. Nehmen Sie hier Kontakt mit uns auf.