Einfach von der Wolke an den Netzwerkrand
- Written by Martin Szelgrad
- font size decrease font size increase font size
Als Nachfolger für herkömmliche VPN-Leitungen verbindet Secure SD-WAN Verbindungsqualität und Sicherheit zu einem Netzwerkservice, das die Unternehmens-IT entlasten soll – wie aktuell auch eine Zusammenarbeit von Barracuda und Microsoft zeigt.
Die IT ist zu einem Werkstoff geworden, mit dem heute Millionen Produkte und Services gebaut werden. Das erfordert verlässliche und effiziente Leitungsinfrastrukturen. Ein aktueller Trend kommt dem entgegen – die Verknüpfung von Sicherheitsaspekten mit den Themen Connectivity und Automatisierung. »Die Verschränkung dieser Bereiche ist mit dem Faktor Cloud in den IT-Infrastrukturen gewachsen, die heute mit einem hohen Automatisierungsgrad ausgestattet sind«, beobachtet Klaus Gheri, CEO Barracuda Networks. Durch die Virtualisierung der IT müsse Security skriptbasiert nun auch auf der Cloudebene funktionieren. »Produkte wie unsere CloudGen Firewall bieten dazu Schutz über unterschiedliche Infrastrukturen hinweg«, betont er.
Gartner hat diesem Trend folgend Ende 2019 das Konzept »Secure Access Service Edge« vorgestellt. »SASE« – ausgesprochen »sässi« – steht für die Synthese von drei Dingen: Sicherheit, Netzwerkkommunikation und Optimierung – die meist auch gleich in einem Cloudumfeld stattfindet. Nachdem ein Gutteil der Businessanwendungen bereits in die Wolke wandert – der Cloudskeptizismus ist in Mitteleuropa weitgehend verschwunden –, sollte die Cloud konsequenterweise gleich auch als Zugangsknotenpunkt für die Vernetzung von Standorten verstanden werden? Mit lokalen Rechenzentren als Außenstandorten in einem Unternehmensnetz?
Der »Cloud first«-Ansatz steht für einen Paradigmenwechsel in der IT. Cloudsysteme bieten Elastizität und oft auch Kostenvorteile, wenn in Stunden oder auf Monatsbasis abgerechnet wird. Organisationen, die in der Corona-Krise bereits über Fernzugriffssysteme verfügten und damit auf eine dezentrale IT-Infrastruktur gesetzt hatten, haben diese Zeit besser überstanden.
Barracuda-Manager Gheri sieht durch die Investitionen der großen Cloudprovider nicht nur in Rechenzentrumsinfrastruktur, sondern auch in globale Netze – die leistungsfähigen Leitungen zwischen den Cloud-Standorten – eine neue Chance für Unternehmenskunden. Der teure MPLS-Anschluss des Telekommunikationsdienstleisters, dessen Herstellung oft mit monatelangen Wartezeiten verknüpft war, ist damit nicht mehr nötig. Die reservierte Datenleitung wird durch einen Software Layer im öffentlichen Netz ersetzt. Das SD-WAN ist das Ergebnis der Zusammenarbeit lokaler Telcos in Kombination mit den Standortservices der Rechenzentrumsbetreiber.
Immer sicherer
Im Juli 2020 hat Barracuda auf dem Azure-Marktplatz gemeinsam mit Microsoft eine tiefgehende Integration von Sicherheitsfeatures in der Public Cloud vorgestellt. Die Azure-Plattform kann mit entsprechendem Routing und SLAs als transkontinentales Netz für die Datenkommunikation genutzt werden. Hat ein Unternehmen beispielsweise eine Außenstelle in Singapur, ist diese über mehrere Rechenzentrumsregionen von Microsoft hinweg mit Frankfurt verbunden, von dort geht dann die lokale Leitung nach Österreich. Mit dem globalen MPLS-Geschäft ist es damit vorbei – es entstehen neue Chancen für auch kleinere Infrastrukturdienstleister.
Über viele Jahre waren Lösungen für »Network Access Control« im LAN-Bereich eine Antwort auf die wachsenden Herausforderungen für die IT-Sicherheit. Das wurde in mehreren Anläufen von Zero-Trust-Networking abgelöst, zuletzt stark durch die Corona-Krise. Der abrupte Start ins Homeoffice hat viele IT-Abteilungen kalt erwischt. Barracuda hatte zu Beginn der Krise eine Studie vorgestellt: Aufgrund der Hardware-Engpässe mussten global 40 Prozent der Mitarbeiter, die ins Homeoffice geschickt worden waren, mit privaten Endgeräten arbeiten. In manchen Fällen war es noch schlimmer, indem auch die privaten E-Mail-Adressen genutzt wurden. Sicherungen gibt es von privaten Accounts nicht, noch dazu ist E-Mail das Eintrittstor Nummer eins für Angriffe.
Mit Zero Trust werden nun Grundregeln festgelegt, mit denen auch diese Geräte verwendet werden können – indem zum Beispiel der Zugriff nur auf bestimmte Applikationen möglich ist. Das Konzept ist ebenfalls fixer Bestandteil der SASE-Lösung »Barracuda CloudGen WAN«, die nativ auf Azure aufbaut. »Wir sehen eine starke Nachfrage vom Markt«, bestätigt Gheri dazu. Microsoft biete mit »Virtual WAN« programmatisch eine optimierte Zugangsinfrastruktur zur Cloud an. »Bei der Optimierung der Kommunikationsinfrastruktur werden an beiden Enden idente Technologien verwendet«, erklärt der Experte. Die Vorteile eines SD-WAN hinsichtlich des Monitorings und der Einstellungen der Leitungsqualität können Unternehmenskunden mit Barracuda-Technologie einfach direkt aus der Azure-Cloud abrufen. »Sie wählen eigentlich nur noch den Rechenzentrumsstandort und die Bandbreite aus. Weitere Interaktionen sind nicht nötig, Microsoft hat die betriebliche Verantwortung für den laufenden Betrieb.« Eine Skalierung ist bis zu 40 Gbit möglich – weit mehr als Unternehmen in der Regel benötigen. Auch die Barracuda-Palette ist über die Cloud konfigurierbar – die Geräte finden ihre Wege zu Hub-Systemen selbst.
Ein Unterschied zu den vielen Do-it-yourself-Lösungen am Markt sei der Funktionsumfang, der praktisch vom ersten Einstecken an voll zur Verfügung steht – inklusive Regelwerke für den Fokus auf Brandbreite oder Latenz. Je nach Anwendung – seien es das Kollaborationstool Teams oder Sharepoint-Dienste – sucht sich die Lösung die passende Route über Provider, Hubs und Cloudinfrastrukturen. Auch die Komponente Sicherheit ist hier zuschaltbar. Security-Features sind bereits in den Barracuda-Geräten enthalten – von der Cloud bis in die Edge.
Mit dem SASE-Konzept, umgesetzt von Herstellern wie Barracuda und Microsoft, wandern Technologiethemen von der Unternehmens-IT zu den Infrastrukturprovidern – allen voran das Routing, eine stets Know-how- und auch personalintensive Aufgabe. Für Unternehmen mit einem Netzwerk über global verteilte Standorte werden damit Ressourcen freigespielt. Zudem ist die »Connectivity« mit dem steigenden Datenstrom aus vernetzten Geräten und dem Wandel zu neuen Servicemodellen eine technische Herausforderung, die noch zunehmen wird. »Wenn Sie das Ganze mit einem hohen Automatisierungsgrad in einem SASE-Modell umsetzen, können das auch die neuen Anwender betreiben«, ist Klaus Gheri überzeugt. Diese Anwender sind nicht mehr die Netzwerk- und Security-Mannschaften, sondern sie kommen aus unterschiedlichsten Sparten. Sie wollen unabhängig vom Werkstoff einfach ihre Angebote digitalisiert wissen – sicher und kosteneffizient.
Meinung
Klaus Gheri über den »ProxyLogon«- Hack auf Microsoft Exchange Server:
»Die im März breit bekannt gewordene Sicherheitslücke betrifft mehrere Schwachstellen rund um die Outlook-Web-Access-Schnittstelle von Microsoft Exchange. Ein Outlook Web Access ohne weitere Absicherung durch eine Firewall war aber immer schon ein gewagtes Vorgehen. Der Zwischenfall kann als Mahnruf dienen, dass das eigenständige Betreiben von derartigen Infrastruktur-Diensten in Zeiten der Public Cloud ein Anachronismus geworden ist. Das neuzeitliche Gegenstück ist Microsoft 365 mit Azure Active Directory. Der Dienst wird von Microsoft gewartet und abgesichert und damit werden Schwachstellen umgehend behoben. Dorthin geht auch produkttechnisch die Reise bei Microsoft. Es ist jetzt höchste Zeit für alle Betroffenen, über einen Wechsel nachzudenken und bis dahin das Patchmanagement – es gibt hier bereits entsprechende Fehlerbehebungen – und eine zusätzliche Absicherung von OWA hinzukriegen. Leider steht der Weg nicht allen so einfach offen, da in einzelnen Sektoren Regulatorien die Nutzung von Diensten in der Public Cloud einschränken. Darüber kann und soll man auch angesichts des massiven Datenverlusts, der hier gerade bei vielen Organisationen eingetreten ist, nachdenken.«