Thought Leadership
Das software-definierte WAN erlaubt Unternehmen, ihr Netz schneller anzupassen und einfacher zu managen. Doch das neue Netzkonzept erfordert auch neue Ansätze bei Netzsicherheit und Datenschutz.
SD-WAN erfordert neue Security-Konzepte
Software erobert nun auch die Netzwerke: 61 Prozent der Unternehmen weltweit planen laut einer Studie von Frost & Sullivan, ihr Wide Area Network (WAN) auf ein Software-defined WAN (SD-WAN) umzustellen. Das neue Konzept virtualisiert die Netzsteuerung sowie Netzfunktionen wie Firewalls mithilfe der Technologien Software-defined Networking (SDN) und Network Function Virtualization (NFV). Beides lässt sich dadurch als Software auf Standardhardware betreiben und sogar in der Cloud zentralisieren. So bildet das SD-WAN ein homogenes Overlay über dem bestehenden Transportnetz aus MPLS-, Internet- und Ethernetleitungen. Die Vorteile: Administratoren können den Datenverkehr in ihrem Netz erstmals zentral steuern und überwachen. Manche Aufgaben lassen sich gar automatisieren, etwa die Verteilung von Datenströmen auf MPLS- und Internetverbindungen je nach Anwendung und aktueller Netzlast. Und Netzfunktionen wie Load Balancer und Network Adress Translation (NAT) stehen quasi per Klick bereit und erlauben eine zentrale Konfiguration.
Doch SD-WAN bedeutet nicht nur eine Revolution für das Netzmanagement: Das neue Netz eröffnet auch neue Angriffspunkte für Hacker – und neue Möglichkeiten für die Netzsicherheit. Zudem laufen wichtige Netzkomponenten in der Cloud, was es nötig macht, sie mit Blick auf Anforderungen des Datenschutzes neu zu überprüfen. T-Systems hat deswegen einen SD-WAN-Service entwickelt, der dem Grundsatz „Security made in Germany“ genügt.
Ganzheitliche Sicht auf SD-WAN-Security
Kümmern sich verschiedene Akteure jeweils um einen Teil des Netzes, sehen sie sich nur für die Sicherheit dieses Teils verantwortlich. Ein wirkungsvoller Schutz gegen Hacker setzt jedoch voraus, dass alle Sicherheitskomponenten nahtlos zusammenarbeiten. Deswegen profitieren Unternehmen von einem Fully Managed SD-WAN, bei dem der Anbieter die Verantwortung für alle Teile des Netzes trägt: vom Transportnetz bis zum SD-WAN. Hinzu kommt: Ein einziges Spezialistenteam kümmert sich um beide Netzebenen. So entfallen im Fall eines Cyberangriffs langwierige Abstimmungen oder Schuldzuweisungen zwischen verschiedenen Netzbetreibern. Zudem hält der Service Provider die Netzsoftware stets auf dem aktuellen Stand halten.
Verschlüsselung zwischen Cloud und Router
Wollen Unternehmen eine sichere SD-WAN-Technologie finden, kann das aufwändig werden. Denn der Markt wimmelt von verschiedenen Anbietern und Produkten, die zu prüfen sind. Mit einem Fully Managed SD-WAN sparen Netzverantwortliche diese Aufgabe: T-Systems zum Beispiel nutzt die sichere SD-WAN-Technologie von Cisco, welche die Telekom-Tochter in den eigenen Labors bereits intensiv auf die Ansprüche von Großunternehmen hin getestet hat. So authentifiziert die Lösung zum Beispiel alle SD-WAN-Komponenten über Zertifikate und eine Public-Key-Infrastruktur (PKI). Zudem ist der kritische Steuerverkehr zwischen der zentralen Steuerkomponente, dem SDN-Controller, und den Routern per TLS oder DTLS verschlüsselt.
Deutsche Cloud für den Datenschutz
Auch der Datenschutz spielt bei SD-WAN eine wichtige Rolle. Denn oft beziehen Unternehmen den SDN-Controller sowie manche Netzwerkfunktion aus der Cloud. Doch nicht immer ist transparent, wo das Rechenzentrum steht, in dem die Daten verarbeitet werden. Und Funktionen wie Videooptimierung und Deep Packet Inspection verarbeiten mitunter auch personenbezogene Daten.
Damit Unternehmen sicher sein können, dass sie ihre Datenschutz-Compliance auch mit einem SD-WAN erfüllen, betreibt T-Systems alle Managementkomponenten in der Open Telekom Cloud in Deutschland und nach der strengen EU-Datenschutzgrundverordnug (DSGVO). Der Fully Managed SD-WAN-Service hat das interne Prüfverfahren „Privacy and Security Assessment“ (PSA) der Deutschen Telekom erfolgreich durchlaufen.
Nahtlose Integration von SD-WAN und Security
Es lohnt sich, die Sicherheit des SD-WAN schon in der Planung des Netzwerks zu berücksichtigen. In Absprache mit dem Unternehmen legt ein Team aus Sicherheits-, Cloud-, App- und Netzwerkexperten fest, welche Sicherheitsanforderungen das neue Netz erfüllen muss und wie sich diese erfüllen lassen. Security-Komponenten sollten zudem nahtlos in das Netzwerk integriert sein. Das gelingt dank SD-WAN besonders gut: Sicherheitsfunktionen wie Firewalls laufen als Software auf demselben Universal Customer Premises Equipment (uCPE) wie der SD-WAN-Anschluss. Dank dieses Fully-Managed-Ansatzes kann T-Systems künftig sogar MPLS- und SD-WAN-Router über dasselbe Gerät bereitstellen.
Sichere Cloud Connectivity mit SD-WAN
Mit einer sicheren SD-WAN-Lösung wird für Unternehmen nicht nur das Netzmanagement einfacher und schneller, auch die Netzsicherheit erhöht sich. Das zeigt sich zum Beispiel an der Anbindung von Public Clouds an das Firmennetz: Bisher erfolgt diese meist über ein zentrales Internet-Gateway, weil dieses am einfachsten zu schützen ist. Doch durch den Umweg über das zentrale Gateway brauchen die Daten länger zwischen Nutzer und Cloud – ein Problem für latenzkritische Anwendungen wie zum Beispiel Videotelefonie. Mit SD-WAN hingegen ist es kein Problem, viele dezentrale Internet-Gateways und Firewalls an den Standorten zu managen: Sie lassen sich zentral konfigurieren. Einheitliche Security-Policies in dezentralen Infrastrukturen umzusetzen ist daher kein Problem mehr.
Zentrales Sicherheitsmonitoring
Grundsätzlich lassen sich Sicherheitsfunktionen dank NFV als Software deutlich schneller und aus der Ferne installieren oder anpassen, und dies oft sogar günstiger. Falls nötig, können Administratoren sie leicht und schnell skalieren oder mehrere virtuelle Kopien gleichzeitig betreiben, um das Ausfallrisiko zu senken. Zudem wird es leichter, das Netz zu segmentieren und die Auswirkungen von Hackerattacken zu begrenzen.
Ein SD-WAN erlaubt es, das gesamte Netz zentral zu überwachen. Dadurch fallen Anomalien im Datenverkehr schneller auf, die auf einen Angriff hinweisen können. Entdecken Unternehmen verdächtige Datenströme, können sie diese wie in herkömmlichen Netzen blocken – oder dank SD-WAN dynamisch an einen Honeypot oder ein Quarantäne-Netz für die weitere forensische Untersuchung weiterleiten. Im Angriffsfall lassen sich betroffene Netzteile zudem schnell vom Rest des WANs isolieren.
Fazit
Mit einem Fully Managed Service setzen Unternehmen ein software-definiertes SD-WAN mit hoher Netzsicherheit um: Sie erhalten eine bereits geprüfte SD-WAN-Technologie und ermöglichen ein einheitliche Security-Konzept für das Firmennetz dank der Ende-zu-Ende-Verantwortung des Service-Providers. Idealerweise werden bereits in der Planung des neuen Netzes Security-Experten hinzugezogen. Einen hohen Datenschutz bieten SD-WAN-Services, welche die virtuellen Netzkomponenten gemäß der DSGVO und in einer deutschen Cloud betreiben. Mit SD-WAN-Technologie lassen sich zudem Sicherheitsfunktionen im Netz zentral und damit schneller und einheitlich umsetzen.
www.t-systems.de/intraselect-sd-wan
Diese Veranstaltung könnte Sie interessieren:
SD-WAN IM ALLTAG – SICHERE VERNETZUNG MIT PEPLINK
Lernen Sie am 18.09. in München die patentierte Speedfusion-Technologie von Peplink als Alternative zu Multiprotocol Label Switching (MPLS) kennen. RTL Radio, MDR, DB Regio Bus, Krämer Pferdesport und STEWA Touristik sind mit Fallbeispielen vertreten.
Jetzt kostenlose Teilnahme sichern!
