SD-WAN-Komponenten
Marktvoraussetzung für ein sicheres SD-WAN
Als SD-WANs zum ersten Mal diskutiert wurden, lag der Schwerpunkt auf den potenziellen Kosteneinsparungen. Das ist zwar wichtig, aber das Erreichen dieses Ziels ist nur dann sinnvoll, wenn das WAN auch alle anderen erforderlichen Funktionen bereitstellt.
Die Funktionalitäten, die von WANs bereitgestellt werden müssen, thematisiert der „Leitfaden für WAN-Architektur und -Design 2018“. Darin werden die Ergebnisse einer Umfrage vorgestellt, in der den Befragten fünfzehn Faktoren vorgestellt und die drei wichtigsten davon ausgewählt wurden, die in den nächsten zwölf Monaten voraussichtlich die größten Auswirkungen auf ihr WAN haben würden. Die wichtigsten Faktoren sind in der obenstehenden Abbildung dargestellt: Wie zu erwarten, wurde die Kostenreduktion als der wichtigste Faktor ausgewählt. Die Ergebnisse des Leitfadens zeigen jedoch auch, dass in Sachen WAN weitere Funktionen gefordert werden, einschließlich des Zugriffs auf öffentliche Cloud-Computing-Dienste und der Erhöhung der Sicherheit. Der Leitfaden zeigt außerdem, dass sich die Unterstützung einer Reihe von Funktionen auf die Bewertung von SD-WAN-Lösungen durch IT-Organisationen im Unternehmensnetzwerk auswirkt. So wurden die Befragten ebenfalls gebeten, ihr Interesse an der Akquisition von SD-WAN-Lösungen anzugeben, die die L4-L7-Funktionalität unterstützen. Mit großem Abstand war die häufigste Antwort, dass die von ihnen gewählte Lösung eine breite Palette von Sicherheits- und Optimierungsfunktionen unterstützen muss.
Komponenten eines sicheren SD-WANs
Die Bereitstellung traditioneller Sicherheitsfunktionen auf viel einfachere und effizientere Weise ist Teil der Herausforderung und Teil der mit einem SD-WAN verbundenen Möglichkeit. Zum Beispiel ist es in einem herkömmlichen WAN technisch möglich, detaillierte Sicherheitsrichtlinien manuell zu schreiben und zu verwalten. Die Menge an Zeit und Arbeit, die dieser Ansatz erfordert, bedeutet jedoch, dass es nur für die kleinsten Netzwerke machbar ist. In einem sicheren SD-WAN muss es für Netzwerkadministratoren einfach sein, granulare Sicherheitsrichtlinien zentral zu definieren und zu orchestrieren sowie sichere End-to-End-Zonen für jede Kombination von Benutzern, Anwendungsgruppen und virtuellen Overlays zu konfigurieren und zu verwalten.
Als Reaktion auf die ständig zunehmende Komplexität von Sicherheitsangriffen versuchen viele Organisationen sowohl eine mikrosegmentierte Netzwerksicherheitsarchitektur als auch ein Zero-Trust-Modell zu übernehmen, bei dem sie alles inner- oder außerhalb ihrer Netzwerke verifizieren, bevor sie Zugriff gewähren. Die Implementierung der Netzwerksegmentierung in einem LAN erfolgt problemlos über VLANs. In einem herkömmlichen, Router-zentrierten WAN war die Segmentierung jedoch eine manuell aufwändige Aufgabe, bei der Geräte für andere Geräte die Verwendung von arkanen CLIs erforderten. In einem sicheren SD-WAN muss es Netzwerkadministratoren möglich sein, granulare zonenbasierte Sicherheitsrichtlinien schnell und einfach zu orchestrieren und zu verwalten, Anwendungen zu Zonen zu segmentieren und zuzuweisen und End-to-End-Zonen über LAN und WAN zu segmentieren. Um die Kontrolle zu verbessern und die Verfügbarkeit zu erhöhen, müssen Netzwerkadministratoren in der Lage sein, eine Transporttopologie und Failover-Richtlinien für jede Zone zu definieren.
Auf dem Markt sind zahlreiche Sicherheitsfunktionen verfügbar, darunter Firewalls der nächsten Generation, Intrusion Detection und Prevention, Web-Gateways, Anti-Malware, Authentifizierung und Autorisierung, Threat Intelligence und Verhaltensanalysen. In der aktuellen Umgebung kann diese Funktionalität an verschiedenen Orten integriert werden. In einigen Fällen wird die Sicherheitsfunktionalität beispielsweise vor Ort, in einer großen und wachsenden Anzahl von Instanzen wiederum extern implementiert – entweder in der Cloud, im regionalen Hub oder Rechenzentrum eines Unternehmens. Die Tatsache, dass Sicherheitsfunktionen an verschiedenen Orten installiert werden können, bedeutet, dass Netzwerkunternehmen eine SD-WAN-Lösung wählen sollten, die Anwendungs- und Webdatenverkehr nur anhand des ersten Pakets des Datenflusses identifizieren und klassifizieren und den Datenverkehr basierend auf zentral definierten Sicherheitsrichtlinien automatisch steuern kann.
Es ist nicht zu erwarten, dass ein SD-WAN-Anbieter alle notwendigen Sicherheitsfunktionen bereitstellt. Ein besserer Ansatz besteht darin, nach Anbietern zu suchen, die wiederum mit Sicherheitspartnern kooperieren, die die gesamte Palette führender Sicherheitsfunktionen bereitstellen. Eine große Auswahl an Partnern ist jedoch nur dann effektiv, wenn die SD-WAN-Lösung die standardbasierte IPsec-WAN-Konnektivität unterstützt, die für die Integration in cloudbasierte Sicherheitsdienste erforderlich ist. Die Lösung muss außerdem einen nahtlosen Weg zur Servicekette bieten, um alle geeigneten Sicherheitsfunktionen unabhängig davon zu implementieren, wo diese Funktionalität implementiert ist.
Schlussfolgerungen
Alle Unternehmen – unabhängig davon, ob sie einen Cloud-First-Ansatz gewählt haben oder nicht – nutzen verstärkt Cloud-Services. Diese Tatsache, kombiniert mit der großen und wachsenden Bedeutung von Sicherheit, bedeutet, dass Unternehmen, die SD-WAN-Lösungen evaluieren, die Fähigkeit dieser Lösung in Betracht ziehen müssen, sowohl effektiven Zugriff auf Cloud-Ressourcen als auch effektive Sicherheit bereitzustellen. Zum Beispiel muss die SD-WAN-Lösung Funktionen wie End-to-End-Mikrosegmentierung unterstützen.
Da es für einen SD-WAN-Anbieter nicht möglich ist, alle erforderlichen Sicherheitsfunktionen bereitzustellen, ist eine Schlüsselkomponente einer sicheren SD-WAN-Lösung, dass die Lösung mit den unterschiedlichsten Sicherheitsanbietern kooperieren kann. Die Lösung muss außerdem in der Lage sein, Anwendungen auf der Grundlage von Sicherheitsrichtlinien zu identifizieren, zu klassifizieren und zu steuern und diese kompetent mit der Fähigkeit zu verbinden, entweder mit einer Sicherheitsinfrastruktur der nächsten Generation oder mit cloudbasierten Sicherheitsdiensten zu arbeiten.
Jim Metzler ist Networking Industry Analyst bei Silver Peak
Lesen Sie mehr zum Thema
