IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

Office 365Vor der Einführung von Netzwerk-intensiven Cloud Anwendungen, wie Office 365, müssen Unternehmen tragfähige Konzepte für ihre Netzwerk- und Sicherheitsarchitektur entwickeln. Mangels eigener Erfahrungswerte sind sie dabei auf externe Unterstützung angewiesen. Wo finden Unternehmen Rat für das passende Re-Design ihrer Infrastruktur? (Bildquelle: Zscaler)

Vor der Migration in die Cloud tun Unternehmen gut daran, die damit einhergehenden Anforderungen an ihr Netzwerk und ihre Sicherheitsinfrastruktur zu evaluieren. Denn um den Projekterfolg und die Anwenderakzeptanz sicherzustellen, muss oftmals zuerst die LAN & WAN-Infrastruktur ebenso überdacht werden wie Bandbreitenanforderungen oder Sicherheitsaspekte. Die digitale Transformation macht es erforderlich, dass sich der Head of Network mit dem Head of Security abstimmt und dazu auch weitere interne Funktionen wie Data Center Operations oder Identity Management in die Planung einbezogen werden. Angesichts des Umfangs der nötigen Umstrukturierung tun sich Unternehmen nicht leicht mit der Entscheidung, welchen Stein sie zuerst ins Rollen bringen müssen.

In der ersten Planungsphase gilt es, die zukünftigen Anforderungen an das Netzwerk zu erheben. Am Beispiel einer Office 365 Implementierung wird deutlich, welche Umwälzungen damit einhergehen können. Die Netzwerkauslastung nach der Einführung von Office 365 kann um 40 bis 50 Prozent in die Höhe schnellen aufgrund Netzwerk-intensiver Applikationen wie Outlook, Excel oder Skype für Business in der Cloud. Jede dieser Applikationen erstellt viele parallele TCP-Sessions ins Netzwerk, wobei pro Anwender schnell 20 dauerhaft bestehende Verbindungen gestartet werden. Diese Netzwerklast wirkt sich entsprechend auf die benötigte Bandbreite sowie die Performance von Firewalls, NAT Routern, Loadbalancern und anderen aktiven Komponenten aus.

Herausforderung Skalierbarkeit und Komplexität

Nach der Einschätzung des Netzwerk-Traffics muss die WAN-Infrastruktur berücksichtigt werden, die darüber entscheidet, welchen Weg der Office 365-Verkehr vom Anwender in die Microsoft-Cloud nimmt. Für einen schnellen Zugriff der Mitarbeiter auf die Anwendungen in der Wolke empfiehlt Microsoft mittlerweile lokale Internet-Breakouts in allen Unternehmenslokationen. Denn ein Routing der für die Cloud bestimmten Daten von dezentralen Niederlassungen über den zentralen Netzwerkknoten jeder geographischen Region bedeutet einen Latenz-steigernden Umweg, der auch die Kosten für die Bandbreite in die Höhe treibt.

Office 365

Bild:  Die Netzwerkauslastung nach der Einführung von Office 365 kann um 40 bis 50 Prozent in die Höhe schnellen aufgrund Netzwerk-intensiver Applikationen wie Outlook, Excel oder Skype für Business in der Cloud. (Bildquelle Zscaler)

Lokale Internetzugänge gehen wiederum mit Überlegungen der Sicherheitsarchitektur einher. Fällt die Entscheidung für den direkten Internet-Access ohne Umweg über das geschützte Rechenzentrum des Hauptsitzes, gilt es abzuwägen, ob auch die Standorte ein für die Cloud optimiertes Sicherheitskonzept erhalten. Ein Hardware-basiertes Sicherheitsmodell in jeder Niederlassung bringt hohe Anschaffungs- und Wartungskosten mit sich. Vor allem der Administrationsaufwand darf gerade bei großen Unternehmen nicht außer Acht gelassen werden, da bei Office 365 pro 2.000 User eine öffentliche IP-Adresse nötig ist. Aufgrund der vielfachen Sessions kommt die Anzahl an Ports bei konventionellen TCP/IP-Stacks schnell an ihre Grenzen. Erheblicher Administrationsaufwand auf Firewalls entsteht auch dann, wenn nicht generell sämtliche HTTP(S)-Kommunikation erlaubt wird, sondern alle IP-Adressen für Office 365 explizit freigegeben werden sollen. URLs und IPs in der Firewall müssen gepflegt werden, gegebenenfalls an jedem Standort.

Diese Komplexität, die beispielhaft an der Migration zu Office 365 vorgestellt wurde, lässt manches Projekt ins Stocken geraten. Sind Netzwerke überlastet, wirkt sich das schnell auf die Mitarbeiterakzeptanz der neuen Lösung aus. Die Latenz beim Zugriff auf die Anwendung in der Cloud sollte 50 ms nicht überschreiten, da sonst die Gefahr besteht, dass unzufriedene Angestellte direkt auf die Cloud zugreifen und dabei Sicherheitskonzepte unterlaufen. Damit der Schritt in die digitale Transformation gelingt, stehen Unternehmen vor der Frage, wo sie kompetente Hilfe für ihr Netzwerk und Security-Re-Design schon in der Planungsphase erhalten.

Solution Architects für das Cloud-Design

Bei der Einführung einer Cloud-Strategie stehen Unternehmen vor der Wahl, welchen Partner sie dafür an Bord holen. Unterschiedliche Interessen aller Entscheidungsträger aus Geschäftsleitung, WAN, Applikations- und Security-Bereich müssen dabei gegeneinander abgewogen werden. Die externen Beratungsunternehmen und Consultants gehen Unternehmen im Business-orientierten Entscheidungsprozess einer Digitalisierungsstrategie zur Hand. Allerdings begleiten sie nicht bis zur Projektumsetzung und Exekution-Expertise steht nicht im Vordergrund.
Der Leiter des Netzwerks wird der WAN-Provider konsultieren, da er eine valide Anlaufstelle für die Network Transformation ist und alle Aspekte des WANs, LANs und die Anbindung des Rechenzentrums abdeckt. Service Provider bringen dabei auch Security Know-how mit ein. Vor allem haben die großen Telekommunikationsanbieter mittlerweile auch alle ein Managed Security-Angebot im Portfolio.

Der CISO und der IT Security Manager werden in einem ersten Schritt den Security Systemintegrator befragen wollen, auf der Suche nach Unterstützung für die Umsetzung von optimal abgesicherten Cloud-Strategien. Für sie ist entscheidend, dass der Partner auch das Wissen für das Aufsetzen von Regeln und Policies der Web-Security und Firewall mitbringt, die Sandbox konfigurieren kann und gleichzeitig für Data-Loss-Prevention und Identity-Management sorgt.

Bei der Fachabteilung für die Anwendung dominiert die Frage der Performanz. Erhalten die User auch in abgelegenen Niederlassungen und Zweigstellen die erforderliche Zugriffsgeschwindigkeit und steht die erforderliche Bandbreite für die Applikation zur Verfügung? Hier gilt es auch Maßnahmen zur Priorisierung der geschäftskritischen Anwendungen vor etwa YouTube zu ergreifen, damit die Produktivität der Mitarbeiter und die Performance der geschäftskritischen Cloud-Applikationen nicht eingeschränkt werden.

Da die Transformationsstrategie an so vielen unterschiedlichen Bereichen ansetzen muss, fällt die Entscheidung schwer, wo der Hebel zuerst angesetzt werden muss. Oftmals haben externe Solution Architects das entsprechende übergreifende Wissen, um die Grundlagen für eine erfolgreiche Cloud-Einführung zu legen. Denn sie sind beim Migrationsplan behilflich und berücksichtigen dabei die mit der Neugestaltung des Netzwerk-Designs verbundenen Prozesse und Workflows sowie Sicherheitsanforderungen beim Internet-Zugriff.

Vom Patchwork zur Plattform

Um der Cloud-Einführung die Komplexität zu nehmen, kann ein Plattform-Modell ein gangbarer Lösungsansatz sein, der vorhandenes Patchwork-Design ablöst. Über eine Internet Security-Plattform können heute die Anforderungen an die Neustrukturierung des Netzwerk- und Sicherheitsansatzes aus einer Hand unterstützt werden. So können beispielsweise mit Hilfe eines Cloud-basierten Sicherheitsansatzes die lokalen Internet Breakouts kosteneffizient realisiert werden und an jedem Standort Hardware-basierte Firewall, Web Security, Sandbox- oder DLP-Lösungen ersetzen. Steht auch noch die Möglichkeit des Bandbreiten-Managements zur Verfügung, können alle Facetten für eine schnelle Migration in die Cloud erfüllt werden.

Bei einem solchen Ansatz kann das Unternehmen selbst entscheiden, mit welcher Aufgabe es im Migrationsplan anfangen möchte. Besteht die Gefahr schlechter Performance bei der Anbindung einzelner Standorte, lässt sich diese Herausforderung über lokale Breakout-Points adressieren, die den Bandbreiten-Flaschenhals umgehen. Ist das vorrangige Problem die aufwändige Sicherheitsinfrastruktur, erhalten die Aufgaben des CISOs Lösungspriorität. Solution Architects helfen dabei, die große Aufgabe in lösbare Teilbereiche zu gliedern und dementsprechend den Migrationsplan individuell auf Unternehmensanforderungen auszurichten.

Claus Vaupel
Claus Vaupel, Solution Architect CEE bei Zscaler
 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet