SD-WAN-Sicherheit

SD-WAN-Sicherheit

Laut einer Statistik von AV-TEST – dem unabhängigen Institut für IT-Sicherheit – wurde im August 2019 deutlich mehr neue Malware entdeckt. Allein in diesem Monat registrierte das Institut 14,44 Millionen neue Schadprogramme, sodass die Gesamtzahl der registrierten Malware-Programme auf mehr als 938 Millionen anstieg. Die bloße Größe dieser Zahlen ist ernüchternd und verdeutlicht die Bedrohungen für Unternehmensnetzwerke.

Da das WAN der Einstiegs- und Ausstiegspunkt von Unternehmensnetzwerken ist, spielt dessen Sicherung eine entscheidende Rolle bei der Risikominimierung und der Verbesserung der Sicherheitslage. Durch Cloudservices und mobile Benutzer sind Netzwerke jedoch viel dynamischer und dadurch schwieriger zu sichern als noch vor einem Jahrzehnt.

Diese grundlegenden Veränderungen in den Geschäftsabläufen erfordern einen neuen Ansatz für die WAN-Sicherheit. Ein appliancebasiertes SD-WAN und MPLS (Multiprotocol Label Switching) sind für diese Anwendungsfälle schlichtweg nicht ausgelegt. Dank einer cloudbasierten SD-WAN-Lösung sind Unternehmen in der Lage, die heutigen Sicherheitsanforderungen in großem Umfang mit cloudnativer Software und Security-as-a-Service zu erfüllen.

Doch was unterscheidet die cloudbasierten SD-WAN-Sicherheitslösungen vom Security-as-a-Service-Modell? Finden Sie es heraus.

WAN-Sicherheit und die Herausforderungen für Unternehmen

Als Ausgangspunkt für die Erklärung, warum das cloudnative SD-WAN aus Sicherheitsaspekten so vielversprechend ist, dienen die Schwachstellen von zwei älteren WAN-Lösungen: MPLS und appliancebasiertes SD-WAN.

MPLS wurde entwickelt, um dedizierte, zuverlässige und hochleistungsfähige Verbindungen zwischen zwei Endpunkten bereitzustellen, lange bevor die Cloud und Mobilgeräte die Welt eroberten. Doch MPLS-Leitungen bieten keine Verschlüsselung, und alle Sicherheitsfunktionen wie Datenverkehrskontrollen, IPS (Intrusion Prevention System) und Anti-Malware-Programme müssen separat installiert werden. Ein appliancebasiertes SD-WAN bietet zwar meist eine Verschlüsselung und löst so eines der Probleme von MPLS, aber ansonsten ist es mit MPLS vergleichbar. SD-WAN-Appliances sind keine Sicherheitsappliances. Um den Schutz durch eine Next-Generation Firewall (NGFW) zu ermöglichen, wird beispielsweise eine separate Appliance im Randbereich des Netzwerks benötigt.

Der Ansatz „mehr Appliances für mehr Sicherheit“ bringt sowohl bei MPLS als auch bei appliancebasiertem SD-WAN einige Nachteile mit sich:

  • Komplexität und schwierige Skalierung: Je mehr Appliances hinzugefügt werden, desto komplexer wird das Netzwerk. Jede weitere Appliance bedeutet nicht nur einen höheren Arbeitsaufwand, sondern birgt auch ein zusätzliches Risiko für Fehler, die zu kostspieligen Sicherheitslücken führen. Eine einzige falsch konfigurierte Appliance kann ein erhebliches Sicherheitsrisiko darstellen und manuelle Konfigurationen führen oft zu unbeabsichtigten Fehlern.
  • Hohe Kosten: Jede einzelne Appliance muss beschafft, lizenziert, bereitgestellt und gewartet werden, wodurch die Kosten schnell in die Höhe schießen.
  • Eingeschränkte Funktionen für Cloud- und Mobilanwendungen: Appliancebasierte Architekturen sind von Haus aus standortbezogen. Für die meisten Appliances gibt es – sowohl aus Sicherheits- als auch aus Konnektivitätssicht – keine unkomplizierte Möglichkeit, Cloudanwendungen zu unterstützen.

Der Durchbruch: SD-WAN-Sicherheitsfunktionen mit cloudnativer Software und Security-as-a-Service

Die cloudnative Netzwerkinfrastruktur, auf der Cato SASE Cloud aufbaut, setzt in Sachen Sicherheit beim SD-WAN neue Maßstäbe, indem Sicherheitsfunktionen in die zugrundeliegende WAN-Struktur integriert werden. Die cloudnative Infrastruktur von Cato wurde von Grund auf speziell für heutige Unternehmensnetzwerke entwickelt. Durch die Integration von Sicherheitsfunktionen macht sie die meisten proprietären Hardwareintegrationen überflüssig. Zudem verringert sie die Komplexität durch die Bereitstellung einer zentralen Verwaltungsschnittstelle und auch den Bedarf an technischen Fachkenntnissen sowie den Zeitaufwand für die WAN-Verwaltung.

Zusätzlich wird der TLS-Datenverkehr an den PoPs (Points of Presence) des globalen, privaten Backbone-Netzwerks von Cato geprüft, um den Datenverkehr zur und von der Cloud effizient zu schützen. Außerdem lassen sich mit dem Software-Defined Perimeter von Cato mobile Benutzer einfach und flexibel unterstützen.

Kurz gesagt: Durch die Verlagerung von Sicherheitsfunktionen in die Cloud liefert Cato ein Security-as-a-Service-Modell, das mehr SD-WAN-Sicherheit durch Skalierbarkeit in der Cloud, Skaleneffekte und die erforderliche Flexibilität bietet.

Cloudbasierte SD-WAN-Sicherheitsfunktionen der Unternehmensklasse

Nachdem Sie einen Überblick über die architektonischen Vorteile der cloudbasierten SD-WAN-Sicherheitsfunktionen erhalten haben, erfahren Sie nun mehr über die besonderen Merkmale von Cato SASE Cloud.

  • NGFW: Die NGFW von Cato prüft den WAN- und internetgebundenen Datenverkehr und gestattet die Durchsetzung detaillierter Sicherheitsrichtlinien auf der Grundlage von Netzwerkeinheiten, Zeitpunkt und Art des Datenverkehrs. Mit der Deep Packet Inspection-Engine der NGFW werden Anwendungen bzw. Services in Bezug auf einen bestimmten Datenverkehrsfluss klassifiziert, ohne dass Nutzlasten entschlüsselt werden. Auf diese Weise kann die NGFW eine vollständige Anwendungsüberwachung erreichen und den Datenverkehr kontextbezogen erfassen, um Richtlinien noch genauer durchzusetzen.
  • Secure Web Gateway (SWG): Malware, Phishing-Mails und ähnliche Angriffe aus dem Internet stellen eine erhebliche Bedrohung für die WANs von Unternehmen dar. Der Fokus von SWG liegt auf der Webzugriffskontrolle, um so das Herunterladen von verdächtiger oder schädlicher Software zu verhindern. Es gibt vordefinierte Richtlinien für verschiedene Websitekategorien, aber Unternehmen können auch eigene Regeln festlegen, um die Internetsicherheit im WAN weiter zu erhöhen.
  • Anti-Malware-Programme: Zur Bereitstellung von Anti-Malware-Funktionen, die den Anforderungen von Unternehmen gerecht werden, verfolgt Cato SASE Cloud einen zweigleisigen Ansatz. Erstens überprüft eine auf Signaturen und Heuristiken basierende Engine, die mit den neuesten Informationen aus globalen Bedrohungsdatenbanken aktualisiert wird, den Datenverkehr auf Malware. Zweitens unterhält Cato eine Partnerschaft mit SentinalOne, einem Branchenführer im Bereich Informationssicherheit, der künstliche Intelligenz und maschinelles Lernen zur Identifizierung unbekannter Malware nutzt, die sich signaturbasierten Prüfungen entziehen kann.
  • IPS: Das Intrusion Prevention System von Cato bietet kontextbezogene SD-WAN-Sicherheitsfunktionen. Kunden profitieren so von dem großen Umfang des Cato-Netzwerks in Form eines stabileren IPS. Die Cato Research Labs analysieren Big Data zur Optimierung der IPS-Leistung und zur Verringerung falsch-positiver und falsch-negativer Ergebnisse.
  • Managed Threat Detection and Response (MDR): Mit MDR können Unternehmen die Erkennung kompromittierter Endpunkte an das Security Operations Center (SOC) von Cato auslagern. Dank MDR können Unternehmen nicht nur den Supportaufwand für ihre eigenen Mitarbeiter reduzieren, sondern auch einen der Haupttreiber für die durch Malware verursachten Schäden minimieren: Leerlaufzeiten. Das SOC von Cato kann mit dem MDR-Service Bedrohungen frühzeitig erkennen und eindämmen sowie Empfehlungen zur Problembehebung geben. Das SOC-Team erstellt außerdem Monatsberichte, die Aufschluss über die Anzahl von Sicherheitsvorfällen im Netzwerk geben.

Cato-Lösung für zeitgemäße und skalierbare SD-WAN-Sicherheitsfunktionen

Wie zuvor beschrieben, werden die Komplexität und die Kosten für Beschaffung, Bereitstellung, Patching und Wartung einer Flotte von Appliances mit Security-as-a-Service abstrahiert. Ein cloudbasiertes SD-WAN bietet verschiedene, spezifische Vorteile, die appliancebasiertes SD-WAN und MPLS einfach nicht bieten können. Der Grund: Die cloudnative Software und das Security-as-a-Service-Modell von Cato ermöglichen einen konvergenten Ansatz für Netzwerk und Sicherheit. Dadurch profitieren die Benutzer im Hinblick auf die Informationssicherheit, aber auch in betrieblicher und wirtschaftlicher Hinsicht.

Dieser Aspekt wird von Cato-Kunde Jeroen Keet, Senior Network and System Architect bei Kyocera Senco, besonders hervorgehoben: „Unternehmen, die Bereiche in die Cloud auslagern möchten, sollten sich Cato einmal genauer ansehen. Die integrierten Funktionen für mehr Konnektivität, Sicherheit und Transparenz machen die Lösung zu einem Meilenstein in der Entwicklung aller Unternehmen. Wenn man alle Funktionen nutzt, die Cato Networks zu bieten hat, bringt das für die IT erhebliche finanzielle, funktionale und administrative Vorteile.“

Wenn Sie mehr darüber erfahren möchten, wie Cato den Bereich der SD-WAN-Sicherheit revolutioniert, oder Beratung bei der Auswahl einer WAN-Konnektivitätslösung benötigen, die Ihre Anforderungen erfüllt, kontaktieren Sie uns. Sollten Sie von Cato SASE Cloud noch nicht überzeugt sein und möchten die Lösung in Aktion sehen, können Sie gerne einen Termin für eine Live-Demo vereinbaren.

FAQ zu SD-WAN

  • Was ist ein SD-WAN?

    SD-WAN-Geräte (Software-Defined Wide Area Network) befinden sich an Unternehmensstandorten und bilden ein verschlüsseltes Overlay untereinander, wobei die zugrundeliegenden Übertragungsdienste über MPLS-, LTE- und Breitbandverbindungen genutzt werden.

  • Welche Vorteile bietet die SD-WAN-Technologie?

    Geringere Kosten für die Bandbreite: MPLS-Bandbreite ist teuer. Gemessen in Euro pro Bit ist MPLS deutlich teurer als die Nutzung der öffentlichen Internetbandbreite. Die genaue Höhe der Mehrkosten hängt von verschiedenen Faktoren ab, nicht zuletzt vom Standort. Die Kosten für MPLS entstehen jedoch nicht nur durch wesentlich höhere Bandbreitengebühren. Die Bereitstellung einer MPLS-Verbindung dauert oft Wochen oder Monate, während eine vergleichbare SD-WAN-Einrichtung oft innerhalb von Tagen abgeschlossen ist. In Unternehmen ist Zeit Geld, weshalb die Beseitigung des WAN als Engpass einen entscheidenden Wettbewerbsvorteil darstellen kann.
    Ein zuverlässiges Verbindungsnetz im unzuverlässigen Internet: Es besteht die Möglichkeit, Standorte mit mehreren Datendiensten zu verbinden, die in Aktiv-Aktiv-Konfigurationen betrieben werden. Sekundenschnelle Netzwerk-Failover sorgen dafür, dass Sitzungen bei Ausfällen ohne Unterbrechung der Anwendung auf neue Übertragungswege verlagert werden.
    Sichere Kommunikation: Verschlüsselte Verbindungen schützen den Datenverkehr während des Routings auf allen Übertragungswegen.
    Bedarfsorientierte Bandbreitennutzung: Die Bandbreite lässt sich jederzeit nach oben oder unten zu skalieren, um sicherzustellen, dass kritische Anwendungen die benötigte Bandbreite dann erhalten, wenn sie sie benötigen.
    Sofortige Standortaktivierung: Die Einrichtung einer neuen Niederlassung dauert nur wenige Minuten, statt Wochen und Monate wie bei MPLS. SD-WAN-Knoten werden automatisch konfiguriert und können 4G/LTE für eine sofortige Bereitstellung nutzen.

  • Welche wichtigen Trends sprechen für die Einführung einer SD-WAN-Lösung?

    Die meisten Netzwerke in Unternehmen basieren auf veralteten Carrierservices, wie einem verwalteten MPLS-Service. Diese Services sind sehr kostenintensiv, es dauert Wochen oder sogar Monate bis zur Inbetriebnahme und auf einfache Änderungen durch den Serviceprovider muss lange gewartet werden.
    Die SD-WAN-Technologie schafft hier Abhilfe, indem sie Flexibilität und Kosteneffizienz für IT-Netzwerke bietet. Das SD-WAN verbindet Standorte über mehrere Internetverbindungen und bündelt diese durch ein verschlüsseltes Overlay. Richtlinien, anwendungsorientiertes Routing und eine dynamische Bewertung der Verbindungen im Overlay erlauben die bestmögliche Nutzung der vorhandenen Internetverbindungen.
    Letztendlich liefert ein SD-WAN die erforderlichen Leistungs- und Verfügbarkeitseigenschaften, indem es das kostengünstige öffentliche Internet mit der vom Unternehmen geforderten Sicherheit und Zuverlässigkeit nutzt.

  • Wo liegen die Grenzen eines SD-WAN?

    Fehlendes globales Backbone-Netzwerk: SD-WAN-Appliances setzen auf der zugrundeliegenden Netzwerkinfrastruktur auf. Somit kann der Bedarf an einem leistungsfähigen und zuverlässigen Backbone-Netzwerk durch SD-WAN-Appliances allein nicht gedeckt werden.
    Fehlende erweiterte Sicherheitsfunktionen: SD-WAN-Appliances helfen bei der Bewältigung vieler gängiger Netzwerkaufgaben, erfüllen jedoch nicht die Sicherheitsanforderungen. Daher müssen Unternehmen oft einen Flickenteppich von Sicherheits- und Netzwerkappliances verschiedener Anbieter (wie CASBs) verwalten, um ihre Anforderungen zu erfüllen. Dies wiederum führt zu höheren Netzwerkkosten und mehr Komplexität, da jede Appliance von der internen IT-Abteilung oder einem MSP beschafft, bereitgestellt und verwaltet werden muss.
    Keine Unterstützung für mobile Mitarbeiter: SD-WAN-Appliances wurden ursprünglich für die Verbindung verschiedener Standorte konzipiert. Die sichere Einbindung mobiler Benutzer wird von SD-WAN-Appliances nicht unterstützt.