SD-WAN Security

Filial-Netze richtig absichern

28.08.2019
Von   
Nach 15 Jahren als Senior Regional Director Germany bei Fortinet hat Christian Vogt Anfang 2020 die Rolle des Vice President DACH übernommen. Er verfügt über langjährige Leadership-Erfahrung und Expertise im Umgang mit großen und strategischen Kunden und Partnern im Markt für Sicherheits- und Netzwerktechnologie sowie in der Telekommunikationsbranche. Er studierte Betriebswirtschaft in Deutschland und den USA und hatte vor seinem Eintritt bei Fortinet 2006 unter anderem Positionen bei Cable & Wireless Deutschland, Inktomi und Oracle inne.
Um Filialen besser an das Firmennetz anzubinden, setzen Unternehmen zunehmend auf SD-WAN. Allerdings sollte dabei die Sicherheit nicht vernachlässigt werden.
Mit der zunehmenden Vernetzung wächst auch im WAN-Bereich die potenzielle Angriffsfläche.
Mit der zunehmenden Vernetzung wächst auch im WAN-Bereich die potenzielle Angriffsfläche.
Foto: TAW4 - shutterstock.com

Früher waren Zweigstellen auf eine Multiprotocol-Label-Switching-Verbindung (MPLS) angewiesen, um Daten, Workflows und den gesamten Traffic zurück ins Unternehmens-Kernnetz zu übertragen. Statt sie über eine unzuverlässige WAN-Verbindung nachträglich mit der Zentrale zu verbinden, sollten Zweigstellen mittlerweile jedoch ein integraler Bestandteil des Netzes sein. Nur so können sie in der heutigen digitalen Wirtschaft wettbewerbsfähig bleiben. Die Lösung für Unternehmen oder Behörden mit verteilten Standorten heißt hier SD-WAN. In einem Software Defined Wide Area Network ist das Netzwerk-Management virtualisiert und von der Hardware entkoppelt.

Die neue Technologie ist jedoch mehr als eine Ersatzverbindung. Eine per SD-WAN versorgte Niederlassung kombiniert softwaredefinierte Vernetzung und Virtualisierung mit lokalem Zugriff auf Internet- und Cloud-Ressourcen sowie LAN- und WiFi-Funktionen für lokale Geräte. Eine effektive SD-WAN-Lösung unterstützt diese Funktionen mit flexiblen und zuverlässigen Verbindungen. Zudem erweitert sie fortschrittliche Routing-Funktionen und Lastverteilung über das vermaschte VPN-Overlay des Unternehmens hinweg. Das ermöglicht eine digitale Transformation im WAN-Bereich. Doch Unternehmen sollten über die Performance die Security nicht vernachlässigen.

Keine Kompromisse bei der Security

Mit der zunehmenden Vernetzung wächst auch im WAN-Bereich die potenzielle Angriffsfläche. Jedes neue Gerät, jede zusätzliche Applikation und Verbindung schafft neue Risken wie potenzielle Hacks, Datenverlust oder kompromittierte Informationen. Deshalb sollte eine gute Enterprise-SD-WAN-Lösung nicht nur die Leistungsanforderungen eines WAN erfüllen, sie muss auch Sicherheitsfragen beantworten.

Die meisten Lösungen kommen ohne durchdachte Security-Strategie auf den Markt. Im Idealfall passt sich diese dynamisch an die Ansprüche der digitalen Transformation an. Dieser Mangel führt dazu, dass viele Unternehmen versuchen, eine Ad-hoc-Sicherheitslösung für ihr SD-WAN mit den bereits vorhandenen Legacy-Sicherheits-Tools zu integrieren. Traditionelle Cybersecurity-Tools können jedoch häufig im Rahmen der gestiegenen Leistungsanforderungen digitaler Netzwerke und der Eigenschaften verteilter Netzwerkressourcen nicht effektiv genug arbeiten. Doch wenn Security-Werkzeuge nicht mit den zunehmenden Anforderungen an Geschwindigkeit und Bandbreite mithalten können, werden sie zum Flaschenhals. Eine integrierte Lösung verspricht beides: Leistung und Sicherheit.

Passende SD-WAN-Security für ein Unternehmen finden

In ihrem SD-WAN Intelligence Brief erklären die Cybersecurity-Experten von NSS Labs, warum die Integration der Security in eine SD-WAN-Lösung der richtige Ansatz ist, um erfolgreich ein WAN-Edge bereitzustellen. Um eine geeignete SD-WAN-Lösung zu finden, sollten laut NSS Labs zunächst vier Leitfragen geklärt werden:

  1. Wie ändert sich die Gefahrenlage im Unternehmen, wenn eine SD-WAN-Lösung zum Einsatz kommt?

  2. Wird die SD-WAN-Technologie den Anforderungen an den Bedrohungsschutz des Unternehmens gerecht?

  3. Ist die Anzahl der erkennbaren Bedrohungstypen begrenzt?

  4. Fallen Betriebskosten für das Implementieren der Anti-Threat-Funktionen an? Wenn ja, wie hoch sind sie?

Diese Fragen helfen Unternehmen bei der Auswahl einer SD-WAN-Lösung. So können sie von Beginn an Fragen der digitalen Transformation mit Security-Fragen zusammen abwägen. Zusätzlich können IT-Verantwortliche mittels einer Proof-of-Concept-Installation (PoC) die Security-Funktionen sowie die Evasions- und SSL-Inspektionsmöglichkeiten der Lösung prüfen. Das hilft ihnen dabei, eine fundierte Entscheidung zu treffen, ob das Produkt für ihren Anwendungszweck in den Zweigstellen geeignet ist.

Planvoll zur hochsicheren SD-WAN-Architektur

Letztlich bietet eine SD-WAN-Lösung mit nahtlos integrierter Security zahlreiche Vorteile. Dank Overlay-VPN und Best-of-Breed Sicherheitsfunktionen (NGFW, IPS, Antivirus, Web Security und Sandboxing), die über eine einzige Benutzeroberfläche verwaltet werden können, sorgen die fortschrittlichen WAN-Netzwerke für eine schnelle und weitestgehend automatisierte Bereitstellung sowie eine robuste Vernetzung.

Folgende Schritte können Unternehmen helfen dabei helfen, ein stabiles und sicheres SD-WAN-Netzwerk für ihre verteilten Unternehmensstandorte zu entwickeln:

  1. Sichere SD-WAN PoC-Projekte sollten einen vollständigen NGFW-Stack-Test beinhalten - unabhängig davon, ob eine integrierte oder eine Overlay-Lösung eingesetzt wird. Das stellt einen umfassenden Schutz und eine einfache Implementierung sicher.

  2. Business-Traffic ist zunehmend verschlüsselt, besonders, wenn er über öffentlich zugängliche Netzwerke läuft. Deshalb müssen Unternehmen die Leistung der SSL-Inspektion und die des mit IPsec verschlüsselten Datenverkehres prüfen. So verhindern sie, dass die Security zum Flaschenhals für kritische oder latenzempfindliche Anwendungen und Dienste wird.

  3. Hilfestellung und Auswahlmöglichkeiten können etwa Testreports wie der "SD-WAN Comparative Report" von NSS LAbs liefern.

Fazit

Unternehmen müssen die digitale Transformation umsetzen und dabei ihre Angriffsfläche so gering wie möglich halten. Hierfür müssen sie ihre Netzwerk- und Security-Systeme als eine integrierte, ganzheitliche Architektur betrachten. So sollte eine gute SD-WAN-Lösung nicht nur Flexibilität und leistungsstarke Funktionen für verteilte Unternehmens- oder Behördennetze bieten, sondern gleichzeitig das gesamte Netzwerk inklusive der Zweigstellen vor Malware, Cyber-Attacken und Co. schützen. Die Zusammenführung von Netzwerk- und Sicherheitsinformationen muss bei der digitalen Transformation oberste Priorität haben.