Wie sicher sind SD-WANs?

Schutz Ihrer Daten in modernen WAN-Infrastrukturen

Mehr Flexibilität und niedrigere Datentransportkosten: Das sind die wichtigsten Versprechen eines softwaredefinierten WANs (SD-WAN). Doch wie sieht es mit der Sicherheit aus, wenn ein Teil des Datenverkehrs nicht mehr über Ihr strukturiertes privates VPN, sondern über öffentliche Breitbandverbindungen übertragen wird?

Die neuen Breitbandverbindungen im Internet sind Hackerangriffen stärker ausgesetzt als ein Single-Carrier-MPLS-Netzwerk. Dadurch kann der Eindruck entstehen, dass man neue Sicherheitsrisiken in Kauf nehmen muss, wenn man von den günstigen Kosten und der hohen Performance eines SD-WANs profitieren will. Oder gibt es eine Möglichkeit, die Vorteile der neuen Technologie zu nutzen, ohne die Sicherheit der Daten zu gefährden? Noch besser wäre ein umfassender Managed Service.

SD-WAN-Bereitstellung: Was Sie beachten sollten

Ob Sie sich mit SD-WAN neue Risiken einhandeln oder nicht, hängt entscheidend von der konkreten Realisierung ab. Hierzu gibt es verschiedene Ansätze, da es bislang keine formalen Standards für SD-WANs gibt. Ohne Standards ist jedoch nicht unbedingt klar, welche Funktionen – und welche Sicherheitsmaßnahmen – eine bestimmte Lösung unterstützt.

Die Qualität der Implementierung eines SD-WANs oder einer auf Network Functions Virtualization (NFV) basierenden Architektur generell steht und fällt mit dem Sicherheitskonzept: Es muss Daten vor der Übertragung mit IPsec verschlüsseln und Firewalls der nächsten Generation (NGFWs) einschließlich Unified Threat Management (UTM) bieten. In einer aktuellen Umfrage von Heavy Reading nennen Serviceprovider „Sicherheitsservices“ als wichtigste Forderung ihrer NFV-Kunden.1

Darüber hinaus bestehen diese Kunden auf der Unterstützung aller in Filialnetzwerken gängigen Routing-Protokolle, wie MPLS, BGP und GRE. Diese sollten ohne Einbußen bei der Stabilität und Verfügbarkeit skalierbar sein und mehrere WAN-Schnittstellen unterstützen, um ein möglichst breites Spektrum an Unternehmens-WANs abzudecken, darunter T1, GbE und LTE (Mobilfunk). Ein weiteres wichtiges Feature ist anwendungsspezifisches, richtliniengesteuertes Routing. Dieses sollte nicht nur für einen effizienten und transparenten Datentransport sorgen, sondern auch Analysefunktionen bieten, die für Ihr Unternehmen von Nutzen sind. Wünschenswert wäre auch die Zero-Touch-Bereitstellung: Soll eine neue Funktion bereitgestellt werden, erspart Zero Touch Ihnen die Anlieferung und Installation neuer Komponenten an diversen Standorten.

Viele der auf dem Markt befindlichen Lösungen erfüllen die meisten der hier genannten Kriterien, doch beim Hauptkriterium Sicherheit ist es nicht ganz so einfach, wie wir im Folgenden sehen werden. Idealerweise sollte ein Managed Service für die Sicherheit von Netzwerk und Daten sorgen.

SD-WANs virtualisieren in der Regel bestimmte Komponenten der Netzwerkinfrastruktur wie Router und Firewalls, damit sie bei Bedarf schnell und unkompliziert auch über große, verteilte Filialnetzwerke hinweg eingerichtet werden können. Dies ermöglicht den dynamischen Lastenausgleich über verschiedene Verbindungsarten hinweg, zum Beispiel MPLS, öffentliches Internet und Hochgeschwindigkeitsmobilfunkverbindungen. Die Richtlinien für das jeweils optimale Routing werden dabei von einer zentralen Steuereinheit bereitgestellt. Virtualisiertes Routing und eine optimale Routenwahl werden von so gut wie allen derzeit erhältlichen SD-WAN-Lösungen unterstützt.

Durch die Verlagerung ihres Internetdatenverkehrs auf ein SD-WAN können Unternehmen statt MPLS kostengünstigere Breitbandservices nutzen und so Transaktionskosten sparen. Bislang ist es vielerorts üblich, alle Datenströme im Unternehmensnetzwerk über das eigene Datencenter oder einen anderen zentralen Umschlagplatz zu leiten, wo die unternehmensinternen Sicherheitsrichtlinien und Schutzmechanismen angewandt werden. Erst danach werden die Daten per MPLS an den jeweiligen Bestimmungsort geschickt. Da ein großer Teil des Datenverkehrs aus den Zweigstellen inzwischen an Adressen in der Cloud oder im Internet gerichtet ist, wäre es effizienter, schneller und kostengünstiger, einen Breitbandservice für den Versand zu nutzen.

Das heißt aber, dass ein Teil des Datenverkehrs an den Sicherheitsmaßnahmen im Datencenter vorbeiläuft. Um diese Transaktionen zu schützen, sind umfassende Sicherheitsfunktionen an jedem SD-WAN-Standort erforderlich. Dazu müssen Sie wissen, welche Funktionen Ihre SD-WAN-Lösung bietet und welche nicht, um alle etwaigen Lücken zu schließen.

IPsec allein reicht nicht aus

Die meisten SD-WAN-Implementierungen unterstützen die IPsec-Verschlüsselung des Datenverkehrs zwischen den Zweigstellen eines Unternehmens. Und da die meisten SD-WAN-Anbieter IPsec unterstützen, gehen viele Benutzer davon aus, dass SD-WANs von Natur aus sicher sind. Dies ist jedoch ein Trugschluss, denn IPsec schützt Daten nur bei der Übertragung. Es kann weder die Infiltrierung des Netzwerks verhindern noch Malware stoppen, die den Datenverkehr zwischen einer Zweigstelle und der Cloud ablauscht.

Es gibt auch noch keine Standards für die Nutzung der IPsec-Verschlüsselung in SD-WANs. Daher variieren die für die Konfiguration und den Einsatz der Verschlüsselung erforderlichen Maßnahmen von Lösung zu Lösung. In manchen Fällen müssen in den Zweigstellen und an den Zugangspunkten zur Cloud spezielle Geräte installiert werden, um ein IPsec-VPN-Overlay zu generieren. Das bedeutet natürlich, dass zusätzliche Hardware angeschafft und mit eigenen Managementtools verwaltet werden muss.

Wenn Sie die Managed Services eines Serviceanbieters in Anspruch nehmen, wird die Software für SD-WAN und IPsec zusammen in einer einzelnen VNF-Instanz implementiert und die vorhandene IPsec-Infrastruktur genutzt. In diesem Szenario verursacht der Einsatz der IPsec-Verschlüsselung keinen zusätzlichen Administrationsaufwand.

Wenn IPsec fachgerecht installiert ist, sind Ihre Daten bei der Übertragung also zuverlässig geschützt. Beim Entwurf Ihres SD-WANs treten unter Umständen weitere Installations- und Infrastrukturanforderungen zutage, die bei der Berechnung der Gesamtbetriebskosten ebenfalls berücksichtigt werden müssen. Wenn der IPsec-Einsatz nicht vollständig automatisiert ist, müssen Sie außerdem mit manuellen Bedienfehlern rechnen, die Ihr Netzwerk neuen Risiken aussetzen.

Daher ist es unseres Erachtens sinnvoll, SD-WAN und IPsec in Form einer vollintegrierten Lösung von einem Managed Services Provider zu beziehen. Dieser Ansatz ist mit dem geringsten Implementierungs- und Administrationsaufwand verbunden und dadurch gleichzeitig am sichersten.

Firewalls und UTM

Wenn Sie nicht mehr jede Datenübertragung über das Datencenter oder einen anderen zentralen Umschlagplatz leiten, entfernen Sie im Endeffekt den Knotenpunkt Ihrer Sicherheitsmaßnahmen und -richtlinien aus Ihrem Netzwerkdesign. Von diesem Punkt aus wurde bislang Ihre gesamte Infrastruktur vor Netzwerkeinbrüchen, Man-in-the-Middle-Angriffen, Malware und Datendiebstahl geschützt. Dies muss nun an anderer Stelle geschehen – und weiterhin das gesamte Unternehmensnetzwerk abdecken.

An den Schnittstellen zwischen dem Internet und Ihrem WAN benötigen Sie beispielsweise nach wie vor eine Stateful Firewall. Die meisten Firewalls der nächsten Generation bieten auch Funktionen zur Bedrohungsabwehr, wie Einbruchserkennung und -verhinderung (IDS/IPS), Quarantäne oder andere Maßnahmen, um erkannte Malware unschädlich zu machen sowie Webfilterung, um das Aufrufen als gefährlich bekannter Websites zu verhindern. Da vermutlich alle Standorte Ihres Unternehmens direkt mit dem Internet verbunden sind, liegen sie alle am Perimeter Ihres Unternehmensnetzwerks und müssen deshalb mit all diesen Schutzmechanismen ausgestattet sein.

Speziell hier macht sich SD-WAN bezahlt, da es den Filialnetzwerkbetrieb beträchtlich unkomplizierter macht. Natürlich können Sie an jedem Standort genau die Sicherheitsappliances installieren, die dort erforderlich sind. Wesentlich wirtschaftlicher ist jedoch eine generische SD-WAN-Box, auf der Sie VNFs für die jeweils benötigten Funktionen konfigurieren können, oder eine Firewall-VNF-Instanz, die sämtliche Funktionen aufweist. Sollte Ihr SD-WAN-Anbieter eine solche Lösung anbieten, so können Sie alle erforderlichen VNFs über diese realisieren. VNFs erhalten Sie inzwischen auch bei Sicherheitsanbietern, die SD-WAN nicht im Angebot haben.

Bei der Wahl des VNF-Anbieters frei zu sein, ist unseres Erachtens wichtig, setzt allerdings den Betrieb einer offenen SD-WAN-Plattform voraus, denn nur dann können Sie Router, Firewallfunktionen und andere VNFs gezielt vom jeweils besten Anbieter beziehen und alle Funktionen trotzdem zentral in einem System verwalten.

Bisher gibt es leider keine Standards, die Maßnahmen zur Bedrohungsabwehr in SD-WAN-Software vorschreiben. Mit der Auswahl der falschen SD-WAN-Lösung setzen Sie also möglicherweise Ihre Netzwerksicherheit aufs Spiel. Sicherheit ist jedoch keine Kür, sondern Pflicht, umso mehr, als die Außengrenze Ihres WAN statt um einen zentralen Standort nun entlang vieler verteilter Standorte verläuft. Nehmen Sie die Netzwerksicherheit also niemals auf die leichte Schulter, sondern sorgen Sie dafür, dass Ihr Netzwerk über alle Sicherheitsfunktionen verfügt, die zur Abwehr der gegenwärtig aktuellen Bedrohungen erforderlich sind. Ermitteln Sie dann, was die wirtschaftlichste und flexibelste Methode für deren Implementierung ist.

Je einfacher diese ist, desto besser – und desto sicherer letzten Endes.

Weiterführende Informationen zur richtigen Umsetzung einer SD-WAN-Lösung finden Sie in den Quellen zu diesem Beitrag.

1 „SD-WAN Implementation & Differentiation Layer Strategies“, Heavy Reading, Februar 2017