SD-WAN als sichere Alternative zu MPLS
27. Januar 2020
Als Alternative zum Upgrade der MPLS-Bandbreite können Unternehmen den Datenverkehr an ihren Niederlassungen direkt ins Internet schicken: Lokale Internet Breakouts bieten ein Vielfaches an Bandbreite zu deutlich geringeren Kosten. Dazu kommen verkürzten Antwortzeiten und Entlastung für die WAN-Strecken. Softwarebasierte Netzwerke ermöglichen zwar skalierbare, lokale Internet Breakouts – stellen jedoch ein gewisses Sicherheitsrisiko dar. Stellt man sich ein ideales SD-WAN-Szenario vor, wird in jeder Niederlassung ein lokaler Internet Breakout eingerichtet, inklusive entsprechender Security-Services. Doch die Realität sieht für viele Unternehmen anders aus.
Stellt man Verbindungen für die Benutzer in den Niederlassungen direkt zu den Cloud-Diensten über das Internet her, kann die höchste SaaS- und IaaS-Performance erzielt werden. Zudem erweist es sich als günstiger, den Traffic über Highspeed-Breitbandverbindungen zu schicken, als über MPLS-Leitungen. Jedoch gibt es berechtigte Bedenken bezüglich der Zuverlässigkeit und der Sicherheit des Internets für Unternehmensanwendungen. Daher gilt es, einige Punkte zu beachten:
- Die SD-WAN-Plattform muss dazu in der Lage sein, anwendungsspezifische Sicherheitsrichtlinien zentral zu definieren und durchzusetzen. Die Einhaltung der Sicherheitsmaßnahmen wird mittels zentral definierter Richtlinien überwacht, sodass Niederlassungen über einen lokalen Internet Breakout sicher und direkt auf vertrauenswürdige SaaS-Anwendungen zugreifen können.
- Das Service Chaining zu Cloud-basierten Sicherheitsdiensten oder Firewalls der nächsten Generation sollte automatisiert werden.
Kombination aus lokaler Anbindung und Cloud-basierter Sicherheit
Lokale Internet Breakouts erfordern den Einsatz lokaler IT-Sicherheitssysteme. Allerdings ist der Einsatz von Firewalls an jedem einzelnen Standort recht aufwendig und kostspielig. Stattdessen könnten beispielsweise auf den WAN-Edge-Systemen virtuelle Firewalls installiert werden. Eine Alternative wäre, den Internet-Verkehr über einen IT-Security-Service in der Cloud zu leiten. Cloud-basierte Sicherheitslösungen unterstützen Unternehmen dabei, den gesamten Security-Stack in der Cloud zu zentralisieren, anstatt kostspielige Security-Services an jeder einzelnen Niederlassung bereitzustellen.
So sichert beispielsweise Zscaler lokale Internet Breakouts ab, indem der gesamte Security-Stack als Cloud-Service bereitgestellt wird, sodass in den Niederlassungen keine eigenen Firewalls mehr benötigt werden. Sichere lokale Internet Breakouts sind damit ohne die Anschaffung oder Verwaltung von Sicherheits-Appliances an allen Niederlassungsstandorten möglich.
Stattdessen werden Sicherheits- und Zugangsrichtlinien zentral definiert und an allen Standorten umgehend durchgesetzt. Zudem bieten diese Lösungen aus der Cloud das gesamte Spektrum an Sicherheits- sowie Zugangskontrollen und lassen sich flexibel skalieren, um das rasche Deployment neuer Funktionen, wie Bandbreitenkontrolle oder Data Loss Prevention, ohne Leistungsbeeinträchtigung oder Aktualisierung von Appliances zu ermöglichen. Darüber hinaus rückt das gesamte Security-Stack auf diese Weise näher zum Nutzer, um das identische Sicherheitsniveau für alle Mitarbeiter an jedem Unternehmensstandort zu gewährleisten.
Zeus Kerravala ist Gründer und Principal Analyst des Beratungshauses ZK Research.
