Mehr Bandbreite versus lokale Internet-Breakouts
Eine strategische Grundüberlegung vor der Einführung von Office 365 bedeutet also, den Anstieg der Bandbreite mit der WAN-Infrastruktur in Einklang zu bringen. Unternehmen können in ein Upgrade der MPLS-Bandbreite investieren, um dem steigenden Traffic Stand zu halten. Alternativ können sie den Datenverkehr in der jeweiligen Niederlassung direkt ins Internet schicken und an jedem Internet-Gateway für die notwendige Sicherheit sorgen. Das Dilemma für Unternehmen besteht darin, dass sie sich aufgrund der Kostenvorteile für eine Cloud-basierte Lösung entschieden haben, die keine Folgeinvestitionen nach sich ziehen sollte.
Ein Bandbreiten-Update zerstört den Business-Case für Office 365 ebenso wie die Anschaffung von Sicherheits-Hardware für jeden Standort. Setzt ein Unternehmen auf Appliances für die Sicherheit am Internet-Übergang, müssen Boxen für einen Internet Proxy, Advanced Threat Protection, Next Generation Firewalls und Web-Application Control-Funktionalitäten bereitgestellt werden. Bei redundanter Auslegung geht ein solches Modell mit teuren Anschaffungskosten, langwierigem Rollout und aufwendigem Betrieb einher.
Ein Lösungsansatz zur Vermeidung von Flaschenhälsen und erhöhten Kosten sind lokale Internet-Breakouts, die über die Cloud zur Verfügung gestellt werden. Wird die Sicherheit durch einen Security-Service bezogen, entfallen Anschaffungs- und Wartungskosten für die Hardware. Lokale Internet-Übergänge für die Niederlassungen und kleinen Standorte eines Unternehmens sorgen für reduzierten Traffic im MPLS-Netz zur Firmenzentrale. Lediglich ein Router und eine lokale Internet-Leitung sind nötig als Grundlage für die erforderliche Performanz beim Zugriff auf die Cloud. Die Entscheidung für eine lokale Anbindung in Kombination mit Cloud-basierter Sicherheit ist der Grundstein für einen schnellen Roll-Out von Cloud-Projekten. Perfekt kombinieren lässt sich dies mit dem Rollout einer SD-WAN Infrastruktur.
Sicherheitsanforderungen an die Cloud-Welt
Traditionelle Sicherheitsansätze liefern Schutz für die Mitarbeiter, die sich innerhalb des Unternehmensnetzes bewegen. In Zeiten steigender Mobilität der Anwender muss auch der sichere Zugriff von außerhalb des Unternehmensnetzes auf die Anwendungen im Rechenzentrum und in der Cloud gewährleistet sein. Hinzu kommt die Notwendigkeit, den Datenverkehr aller Cloud-Anwendungen zu überwachen. Das umfasst die Applikationen, die unter Einbezug der IT-Abteilung eingeführt wurden ebenso, wie die Vielzahl der Apps, die die Mitarbeiter ohne Kenntnis der IT-Abteilung nutzen. Diese privat genutzten Apps werden ohne Bewertung des damit einhergehenden Sicherheitsrisikos zum Beispiel auch zum Austausch von geschäftlichen Daten verwendet.
Die IT-Abteilung benötigt mithilfe eines an die Cloud angepassten Sicherheitskonzepts Einblick in alle Cloud-basierten Anwendungen, die im Unternehmen im Einsatz sind. Nur so ist eine Risikobewertung hinsichtlich unerwünschtem Verhalten möglich, wie es beispielsweise von mobilen Apps ausgeht, von denen Anwenderdaten ebenso wie Geräteinformationen oder standortbezogene Informationen abfließen. Die IT-Abteilung muss in der Lage sein, granulare Einstellungen zum Gebrauch von Cloud-basierten Applikationen vorzunehmen, beispielsweise ob der Daten-Up- und Download auf externe Speicheranwendungen wie Box oder Dropbox zugelassen ist. Da Mitarbeiter von unterschiedlichen Geräten wie Laptop, Tablet oder Smartphone und verschiedenen Lokationen auf Cloud-basierte Apps zugreifen, müssen unternehmensweite Policies auf jedem Gerät und von jedem Standort umgesetzt werden können.
Wie wird der Remote Access auf die Cloud organisiert?
Als letzte Herausforderung müssen Weichenstellungen für den sicheren Remote-Zugriff auf Cloud-Anwendungen erfolgen. Auch hier gilt es zu überlegen, ob mobile Anwender den gleichen Weg in die Wolke nehmen sollen wie seit 20 Jahren auf Anwendungen im Netzwerk. Via VPN erfolgt der Zugang zur Cloud-Anwendung über das Unternehmensnetz, unabhängig davon, ob es sich um eine Public Cloud oder eine Private Cloud Anwendung handelt und wo diese Anwendung gehosted wird. Liegt die Anwendung beispielsweise bei AWS, so baut der remote Anwender mittels VPN erst eine Verbindung ins Unternehmensnetz auf und von dort wird dann eine Verbindung zwischen dem Unternehmensnetz und AWS hergestellt.
Dieser Weg führt wieder zu den bereits beschriebenen Verzögerungen beim Zugriff, benötigt leistungsfähige Standleitungen und geht neben den damit verbunden Kosten auch mit hoher Komplexität für den Aufbau und Betrieb der Infrastruktur einher. Zu berücksichtigen ist ebenfalls die komplexe Konfiguration der Zugriffsrechte, vor allem wenn mehr als ein VPN-Tunnel zu einer Anwendung im Unternehmensnetz und zu einem externen Cloud-Anbieter zeitgleich aufgebaut werden müssen.
Auch hier tun Unternehmen gut daran, grundlegende Überlegungen in Betracht zu ziehen. Es muss entschieden werden, ob auf alle Anwendungen direkt zugegriffen werden darf, unabhängig vom Standort des Anwenders außerhalb des Unternehmensnetzes. Für den Remote Access sollte ein Weg gewählt werden, der einfach konfigurierbar und wenig fehleranfällig ist. Denn je komplexer die Konfiguration, desto größer ist das damit verbundene Sicherheitsrisiko. Im Idealfall wird keine Verbindung zum gesamten Netz geöffnet, sondern nur isolierter Zugang zur benötigten Anwendung gewährt. Von Vorteil ist es in einer Cloud-first-Umgebung für den Anwender, wenn zeitgleich auf unterschiedliche Cloud-Anwendungen zugegriffen werden kann.
Fazit
Bevor ein Unternehmen auf Cloud-basierte Anwendungen umstellt, ist es sinnvoll, zunächst das Netzwerk, die WAN-Infrastruktur, die IT-Security und den Remote Access auf die mit der Wolke einhergehenden Bedürfnisse vorzubereiten. Sind die Hausaufgaben zu den Grundanforderungen gemacht, wird nicht nur die Implementierung einer Cloud-Lösung beschleunigt, sondern auch die Anwenderakzeptanz gefördert und das Unternehmen profitiert tatsächlich von der Kosteneffizienz und Flexibilität, die mit der Wolke einhergehen sollte. Eine Cloud-first-Strategie darf nicht daran scheitern, dass die Grundvoraussetzungen in der Planungsphase vernachlässigt wurden.