SD-WAN und Security

Theorie und Praxis, wie kann man aktuell Security in modernen SD-WAN Infrastrukturen abbildet.

Das erwartet Sie hier:

Obwohl das Netzwerk eigentlich nur für die Übertragung der Daten verantwortlich ist – und hier unterscheiden sich MPLS, VPN und SD-WAN nicht – wird Security häufig damit in Verbindung gebracht.

Die erste Frage ist häufig: „Ist in einem SD-WAN Endgerät auch eine Firewall integriert?“

Security Welt Vorhängeschloss
tumisu@pixabay

Der Ist-Zustand in Unternehmen

Hier lohnt ein Blick auf die Angebote diverser Hersteller und man stellt schnell fest, jeder macht es anders.
SD-WAN Lösungen etablierter Firewall-Hersteller verfügen natürlich alle über eine leistungsfähige Firewall – über die Leistungsfähigkeit der SD-WAN Lösung hingegen lässt sich streiten. Angebote der ursprünglichen SD-WAN Startups (Viptela, Velocloud, Cloudgenix usw.) verfügen entweder über keine oder nur eine rudimentäre Firewall. Das begründen die Unternehmen damit, dass sich jede beliebige Firewall in Ihre SD-WAN Lösung integrieren lässt. Außerdem haben Firewall-Hersteller hier eine bessere Expertise.

Das nächste Problem ist eher praktischer Natur. Es gibt keine grünen Wiesen mehr, sprich jedes Unternehmen verfügt über irgendeine Art von Security. Hier geht die Spanne von selbstgebastelten Uralt-Firewalls bis hin zu aktuellen und zeitgemäßen UTM Firewalls in der Cloud. Oft wurden erst kürzlich neue Lizenzen angeschafft oder man möchte eine Firewall aus anderen Gründen weiter nutzen. In diesen Fällen muss eine Integration der Firewall in die Security der SD-WAN Lösung erfolgen. In größeren Unternehmen gibt es häufig sorgfältig erarbeitete Sicherheitskonzepte, die genau festlegen, wie Sicherheit in den Unternehmen zu implementieren ist.

Als wäre das nicht schon komplex genug, muss man zusätzlich das permanente Wachstum in einer sich sehr schnell entwickelnden IT-Welt berücksichtigen. Galt gestern noch ein zentraler Ansatz mit Sicherheit in der Zentrale des Unternehmens, kommen schon heute und vor allem in Zukunft immer mehr Themen Richtung Cloud und mobilen oder Homeoffice Benutzern hinzu. Dass dies völlig neue Anforderungen sind, die mit althergebrachten Mitteln kaum zu bewältigen sind, scheint offensichtlich und nicht weiter erklärungsbedürftig.

Das Konzept der zentralen Sicherheit mit einer einzigen zu pflegenden Firewall in der Unternehmenszentrale wird schon seit längerer Zeit stark aufgeweicht durch Cloudnutzung (Office365, Salesforce, SAP, etc.). Viele Unternehmen entschieden sich für lokale Internet Breakouts in den Niederlassungen.

Dadurch konnte zwar der Datenverkehr im Netz entlastet und die Anwendungsperformance gesteigert werden, aber in diesem Design muss eben auch jede Niederlassung über eine eigene Firewall verfügen. Hier kann nur angemerkt werden, dass zumindest eine zentrale Verwaltung für die Firewalls vor Ort möglich sein sollte.

Allerdings ist auch dieses Design schon wieder im Begriff durch einen völlig neuen Ansatz verdrängt zu werden. Getrieben durch vermehrten mobilen Einsatz, Homeoffice und IoT sind die bisherigen Lösungen leider nicht mehr in der Lage, alle Belange der Sicherheit vollständig abzubilden.

Im Jahre 2019 stellte Gartner ein Sicherheits-Designkonzept vor, das die eben geschilderten Anforderungen umsetzt. Unter dem Begriff SASE (Secure Access Service Engine) wurde ein Designvorschlag entwickelt, der die erforderliche Flexibilität für die aktuellen und zukünftigen Belange gewährleisten soll.

Auf der Ebene des Netzwerks müssen alle Komponenten (Unternehmensstandorte, mobile Geräte, IoT, Cloud und Internet-Services) in der Lage sein, miteinander zu kommunizieren. Über diese Netzwerke werden Services bereitgestellt, deren Zugriff über Identitäten abgebildet wird.

Zentrale Eigenschaften von SASE

  • Global SD-WAN Footprint
    Um maximale Performance zu ermöglichen, sollte das SD-WAN über einen Backbone verfügen, der Standorte mit kurzen Latenzen verbindet, Sicherheitslösungen an diesen Punkten abbilden kann und möglichst nicht in Kontakt zum Internet steht.
  • Distributed Inspection
    Es werden selbständige Security Engines verwendet, die je nach Bedarf hinzugeschaltet werden. Beispielsweise für Malware Scanning, Virenschutz, DDoS aber auch für die Einhaltung gesetzlicher Regelungen, Stichwort DSGVO.
  • Policy Enforcement
    Sicherheitsrichtlinien eines Unternehmens oder gesetzliche Bestimmungen werden erzwungenermaßen durchgesetzt.
  • Cloud-native Platform
    SASE Lösungen werden vollständig in der Cloud entwickelt und betrieben. An den Standorten werden CPE’s als Blackboxen installiert, die nach einer Basiskonfiguration nicht weiter beachtet werden müssen.
  • Identity Awareness
    Im Gegensatz zu bisherigen Lösungen, stellt SASE Services basierend auf der Identität, des Kontexts und der verwendeten Komponenten bereit.

SASE selbst wird als Cloud-Lösung bereitgestellt, über Backbones erfolgt die Kommunikation einzelner Komponenten. Der Traffic jeder einzelnen Komponente wird über ein SASE PoP geroutet, an dem die für diese, deren Identität und weiterer Attribute geltenden Sicherheitsregeln umgesetzt werden. Attribute können beispielsweise Tageszeiten oder Jobbeschreibungen sein. Weitere Attribute sind beliebig definierbar.

Zu den Kernpunkten gehören geringere Komplexität und Kosten, Verbesserung der Sicherheit, Steigerung der Performance und eine Vereinfachung der Administration.

SD-WAN und SASE, was bedeutet dies für Unternehmen?

Es hängt von vielen Faktoren ab, ob und wie und wann man beginnt SASE zu implementieren.

Aktuell (Ende 2020) gibt es bereits Angebote einiger Hersteller, obwohl das Konzept erst vor einem Jahr publiziert wurde. Es ist in jedem Fall sinnvoll, die aktuell implementierten Sicherheitskonzepte zu überdenken und zu prüfen, ob SASE ein Ansatz mit Perspektive für das eigene Unternehmen ist.

Gartner selbst warnt jedoch vor voreiligen Investitionen, auch wenn das Thema derzeit schon im Marketing gehypt wird mit Publikationen und Powerpoints. Die Architektur und Implementierung sind entscheidend. Angebote, die schnell auf den Markt kommen, erweisen sich möglicherweise als Verkettung einzelner Services mittels hintereinander geschalteter VM’s, nur um die Feature Liste möglichst komplett zu machen. Dadurch wird die Verwaltung kompliziert, es entstehen Latenzen und nicht zuletzt führt dies zu Inkonsistenzen.

Tatsächlich scheint es bei zukünftigen Technologien Einigkeit zu geben, dass die Netzwerke der Zukunft SD-WAN Lösungen sind. Nur damit lassen sich die Sicherheitsanforderungen der Zukunft abbilden. Sofern Unternehmen heute über Sicherheit der Zukunft oder gar SASE nachdenken, sollten sie den Schritt zu SD-WAN bereits gegangen sein.