SD-WAN
MPLS vs. SD-WAN – Warum CISOs sich dafür interessieren sollten
MPLS vs. SD-WAN
Obwohl SD-WAN bei CIOs derzeit ein heisses Thema ist, reden CISOs nur selten darüber. CISOs haben eine Menge um die Ohren und springen deshalb nicht auf jedes neue Phänomen an – vor allem, wenn sie nicht davon überzeugt sind, dass es wichtig für ihren Erfolg ist.
Doch die SD-WAN-Technologie hat einen transformativen Charakter. Und CISOs sollten sich damit auseinandersetzen. Auch Ihr Unternehmen wird irgendwann damit zu tun haben und dann sollten Sie vorbereitet sein, um einhergehende Risiken zu vermeiden.
Es gibt viele Gründe, warum Unternehmen auf SD-WAN umsteigen. Zu den Hauptgründen gehören die Kostensenkungen, die durch den Ersatz teurer MPLS-Netze durch preiswertere Internetleitungen entstehen, sowie die Förderung von Cloud-Initiativen.
Aber was bedeutet das aus sicherheitstechnischer Sicht und warum sollten Sie sich darüber Gedanken machen?
Um diese Frage zu beantworten, sollten wir einen Blick darauf werfen, welche MPLS-relevanten Sicherheitsprobleme mit SD-WAN überwunden werden können, welche neuen Risiken mit SD-WAN einhergehen und wie Ihnen ein SD-WAN bei der Verbesserung Ihrer Sicherheit helfen kann.
MPLS-Netzwerken fehlt es an grundlegenden Sicherheitsvorkehrungen für Vertraulichkeit, Authentifizierung und Integrität. Deshalb müssen Unternehmen zusätzlich zu den MPLS-Netzen eine VPN-Lösung implementieren. Da dies jedoch mit einem Anstieg an Kosten und Komplexität einhergeht, verzichten viele Unternehmen darauf. In den meisten SD-WAN-Lösungen sind die benötigten VPN-Funktionen bereits integriert, womit dieses Problem gelöst wäre.
Wenn Sie sich bereits mit SD-WAN-Lösungen auseinandergesetzt haben, dann haben Sie sicher schon von dem Begriff «lokaler Internet Breakout» gehört. Bei herkömmlichen MPLS-basierten WANs leiten die einzelnen Zweigstellen der meisten Unternehmen ihren gesamten ausgehenden Datenverkehr durch ein Rechenzentrum, bevor er seinen Weg ins Internet findet. Über «lokale Internet Breakouts» können die einzelnen Zweigstellen direkt auf Web- und Cloud-Anwendungen zugreifen, ohne den Umweg über ein Rechenzentrum gehen zu müssen.
Auf diese Weise wird die Leistung verbessert. Doch müssen in diesem Fall an jeder einzelnen Zweigstelle entsprechende Internet-Sicherheitsvorkehrungen nachgebildet werden – wird dies versäumt, setzen Sie sich erheblichen Risiken aus. Wenn Ihr Unternehmen also die Implementierung von SD-WAN in Betracht zieht, sollten Sie als CISO in die Planung einbezogen werden. Andernfalls werden Sie lange damit beschäftigt sein, redundante Security-Kontrollen an den unterschiedlichen Standorten umzusetzen.
Zwar können ältere WANs dynamische Routing-Protokolle wie OSPF oder RIP verwenden, doch sind sie zugleich relativ unflexibel. Derartige Routing-Protokolle haben den Vorteil, dass sie den Bedarf an manueller Konfiguration reduzieren und bei Netzwerkausfall oder Überlastung eine automatische Umleitung des Datenverkehrs in ein vermaschtes Netz ermöglichen. Dennoch bieten sie nicht die gleiche Flexibilität wie ein SD-WAN.
Ein SD-WAN funktioniert anwendungsorientiert und der Datenverkehr kann je nach Anwendung unterschiedlich gesteuert werden. So werden Traffic-Shaping und eine auf Anwendungskritikalität und Anforderungen basierende Priorisierung ermöglicht – das ist bei dynamischen Routing-Protokollen nicht möglich. Und da die Richtlinien zentral gemanagt werden und anwendungsbasiert sind, können neue Standorte oder Services zeitnah bereitgestellt werden. Cloud-Initiativen werden auf diese Weise erleichtert statt behindert.
Ein SD-WAN kann außerdem die Kosten und Auswirkungen von Störungen reduzieren, indem durch eine optimierte Sichtbarkeit und Korrelation von Anwendungen und Datenverkehr die Erkennungsmöglichkeiten verbessert und Verweilzeiten von Hackern verkürzt werden. Und wird ein Problem entdeckt – beispielsweise eine Ransomware – können durch die dynamische Segmentierung des SD-WAN der Angriff in einer Zweigstelle isoliert und die Auswirkungen erheblich reduziert werden (denken Sie nur an den NotPetya-Angriff, der sich über das WAN von Maersk verbreitet hat).
Machen Sie sich bereit: SD-WAN lässt sich nicht mehr aufhalten! Aber keine Sorge, das ist vor allem eine gute Nachricht. Ich würde allen CISOs sogar empfehlen, sich für interne SD-WAN-Projekte einzusetzen. Denn was ist besser als ein Projekt, das nicht nur die allgemeine Sicherheit erhöht, sondern dem Unternehmen gleichzeitig dabei hilft, seine Ziele zu erreichen?