cherezoff - stock.adobe.com

SASE: PoP ist nicht gleich PoP

Die Points of Presence (PoP) entscheiden, wie schnell und sicher die SASE-Anbindung in die Cloud ist. Was SASE-Kunden zu Datacenter- und Connection-PoPs wissen sollten.

Der Begriff Point of Presence (PoP) bezeichnet bei Anbietern von Cloud-Plattformen, Telkos und Netzwerkbetreibern die verschiedenen Rechenzentren, die international als Knotenpunkte zum Internet dienen. Nutzer von Cloud-Lösungen achten in der Regel darauf, dass in den Regionen, in denen sie tätig sind, möglichst viele PoPs eines Providers existieren.

Das liegt daran, dass ein kurzer Weg von einem Standort über einen Point of Presence ins Internet deutlich bessere Performance und weniger Latenz verspricht. Allerdings sagt die Zahl und Nähe von PoPs nicht besonders viel über die Leistung des Netzwerks aus. Vor allem, weil es unterschiedliche Arten von PoPs gibt. Worin diese Unterschiede bestehen und worauf Kunden bei SASE-Anbietern (Secure Access Service Edge) achten sollten, damit beschäftigen wir uns in diesem Beitrag.

PoPs für Secure Access Service Edge

Immer mehr Unternehmen nutzen Cloud-Dienste an verschiedenen Orten. Die Pandemie hat einen nicht unbeträchtlichen Anteil daran, dass sich die Geschwindigkeit beschleunigte, mit der Firmen in die Cloud migrieren. Die Cloud übernimmt ein breit gefächertes Angebot an Workloads, bei denen große Datenmengen verarbeitet und gespeichert werden. Das bringt eine Reihe von Herausforderungen mit sich, zum Beispiel bei der Bereitstellung und Überwachung von Datenflüssen. Parallel steigen die Sicherheitsanforderungen.

Traditionelle Sicherheitsarchitekturen sind dabei kaum geeignet, Sicherheit, Geschwindigkeit und Stabilität gleichermaßen zu gewährleisten. Meist sind diese Sicherheitsfunktionen zu schwerfällig, weil sie ursprünglich für lokale Rechenzentren ausgelegt sind (On-Premises) und nicht für die Cloud.

Secure Access Service Edge ist ein modernes Sicherheitskonzept für Netzwerkinfrastrukturen. Managed Service Provider (MSP) kümmern sich – in Zusammenarbeit mit SASE Cloud Providern – um alle Sicherheitsleistungen und -funktionen eines Cloud-Netzwerkes, Site-to-Site-Kommunikation und die mobilen Nutzer. Jeder PoP ist ein Einstiegspunkt in das globale Netzwerk für die Anwender, die nach erfolgreichem Zugriff sicher die verschiedenen Cloud-Dienste nutzen.

Dabei ist es wichtig, dass sich die Sicherheitsfunktionen möglichst nahe bei den Anwendern befinden, damit der Weg ins Internet und zu den SASE Cloud Services so kurz wie möglich ist. Der Betrieb von möglichst vielen PoPs ist ein wichtiger Faktor, denn sie sind der Einstiegspunkt in die Serviceleistungen des SASE-Anbieters. Kunden sollten sich aber unbedingt damit auseinandersetzen, worin sich die PoPs unterscheiden.

Datacenter-PoPs für mehr Leistung und Sicherheit bei SASE

Die meisten Kunden von Cloud-Anbietern, auch im SASE-Bereich, gehen davon aus, dass ein PoP ein Datacenter des Anbieters ist, mit allen Funktionen, Servern, Dienstleistungen und was sonst noch alles zu einem Rechenzentrum gehört. Diese PoPs werden der Einfachheit halber Datacenter-PoP genannt. Bei Anbietern, die großen Wert auf Transparenz und Leistung legen, ist das auch so. Dabei spielt es eine wesentliche Rolle, dass an allen PoPs die gleiche Leistung zur Verfügung steht und sie perfekt positioniert sind. Ein Beispiel: Alle PoPs sind an den richtigen Standorten verteilt, aber nur einer von ihnen ist in der Lage, ein großes Gebiet zu versorgen. Dann fehlt es einerseits an der nötigen Dichte, um die Services nahe zum Nutzer zu bringen, andererseits ist die Ausfallsicherheit gefährdet.

Vollwertige Datacenter-PoPs versprechen maximale Sicherheit und Leistung für alle Kunden, unabhängig davon, wo sie sich mit dem Netzwerk verbinden. Der Zugriff auf Cloud-Services lässt sich dadurch optimal absichern und beschleunigen. Mobile Benutzer eingeschlossen, die sich so auf dem kürzesten Weg mit einem der zahlreichen PoPs verbinden. Die Verbindung zu allen Unternehmensdaten, On-Premises und in der Cloud lassen sich dann über Unternehmensrichtlinien einheitlich verwalten.

Connection-PoPs – ein Leistungsversprechen, das kaum einzuhalten ist

Im Gegensatz zu vollwertigen Datacenter-PoPs handelt es sich bei Connection PoPs um eine Art „PoP light“ mit weniger Leistung und höherer Latenz. Das hat simple Gründe. Um die schiere Anzahl an PoPs hochzutreiben, betreiben einige Hersteller PoPs, die nur den reinen Netzwerkzugang bieten.

An diesen PoPs gibt es häufig weder Server noch Dienstleistungen, sie sind lediglich der Eingang zum SASE-Netzwerk. Alle Anfragen müssen zunächst zu einem Datacenter-PoP geroutet werden, der in den meisten Fällen weit entfernt ist. Das hat einige Nachteile. Zunächst steigt die Latenz deutlich an, weil der Knotenpunkt keine oder nur eingeschränkte Leistungen bietet. Es handelt sich also um reine Zubringerknoten, die Anfragen und Pakete müssen erst zu einem Datacenter PoP geleitet werden.

Ein weiterer Nachteil liegt im Bereich Sicherheit. Die Zugriffe sind nicht sofort durch den SASE-Ansatz in einem sicheren PoP geschützt, vielmehr müssen die Datenpakete erst einen weiteren (unnötigen) Weg hinter sich bringen. Einfach ausgedrückt: Bei der Verbindung zu einfachen Connection-PoPs steigt die Latenz, dafür sinkt der Sicherheitslevel und die Performance verschlechtert sich.

Ein gewichtiges Manko, denn bei SASE spielen Leistung und Sicherheit eine noch größere Rolle als bei herkömmlichen Clouds. Hat man herausgefunden, was und wie an einem PoP verarbeitet wird, stellen sich weitere Fragen – auch für Datacentre-Pops. Gilt das nur für den Internetverkehr (Nord-Süd) oder ausschließlich für den WAN-Verkehr (Ost-West) oder doch für beide? Für alle und zu allen Endpunkten?

Optimierte PoPs für mehr Leistung und Sicherheit

Natürlich gibt es auch bei Datacenter-PoPs Unterschiede was Leistung, Sicherheit, Stabilität und Verfügbarkeit anbelangt. Bei einer Self-Healing-Architektur sind alle Aspekte der Fehlererkennung, des Failovers und des Failbacks automatisiert und erfordern keine spezielle Planung oder Vor-Orchestrierung. Jeder PoP enthält dann mehrere Rechenknoten, auf denen identische Kopien der betreffenden Software laufen. Dadurch kann jeder Rechenknoten jeden mit diesem PoP verbundenen Edge-Tunnel bedienen. Sollte ein Rechenknoten ausfallen, wechseln die Tunnel automatisch zu einem anderen Knoten.

Johan van den Boogaart, Cato Networks

„Auch bei Datacenter-PoPs gibt es Unterschiede, die Kunden vor Vertragsabschluss klären sollten.“

Johan van den Boogaart, Cato Networks

Sollte ein kompletter PoP nicht erreichbar sein, stellen die mit diesem PoP verbundenen Edge-Tunnel automatisch eine Verbindung zum nächstgelegenen PoP her. Wenn ein Tier-1-Provider, der die PoPs verbindet, ausfällt oder sich die Leistung verschlechtert, wechseln die PoPs automatisch zu einem anderen Tier-1-Provider. Im Idealfall ist die gesamte Kommunikation zwischen PoPs, Sockets und Clients durch AES-256-verschlüsselte Tunnel gesichert. Um die Angriffsfläche zu minimieren, können sich nur autorisierte Standorte und mobile Nutzer mit dem Backbone verbinden und Datenverkehr senden. Die externen IP-Adressen der PoPs sollten durch spezielle Anti-DDoS-Maßnahmen geschützt sein.

Dürfen alle Kunden alle Datacenter-PoPs verwenden?

Auch bei Datacenter-PoPs gibt es Unterschiede, die Kunden vor Vertragsabschluss klären sollten. Bei einigen Anbietern dürfen nicht alle Kunden alle PoPs nutzen. Die schiere Anzahl der PoPs bringt dann unter Umständen gar nichts. Interessant sind für einen Kunden ja nur die zugänglichen PoPs, denn das erst garantiert geringe Latenzzeiten sowie Beschleunigung an allen Standorten.

Nicht immer sind PoPs echte PoPs

Bei der angegebenen Zahl von PoPs sollten Kunden genau hinsehen. So trivial es klingen mag – hat ein Rechenzentrum beispielsweise mehrere Hausnummern, kann es in der Liste der PoPs schnell mehrfach gezählt werden. Auch wenn es sich faktisch nur um ein einzelnes Datacenter handelt. Kunden bringt das natürlich herzlich wenig. Sie sollten deshalb nach Anbietern Ausschau halten, bei denen alle PoPs über maximale Rechenleistung und Funktionen verfügen – was sich transparent in den SLAs und der Umsetzung von SASE-Lösungen widerspiegeln sollte.

Kontrolliert der Anbieter das Routing und nutzt ausschließlich SLA-gesicherte Netzwerkkapazitäten, verspricht das eine weitaus bessere Leistung als das öffentliche Internet bei deutlich geringeren Kosten als bei globalem MPLS.

Über den Autor:
Johan van den Boogaart ist Regional Sales Director bei Cato Networks und hat über 20 Jahre Erfahrung in Solution Selling für DataCenter- und Cloud-Lösungen.

Zuletzt war van den Boogaart fünf Jahre bei Zerto beschäftigt, einem HP-Unternehmen aus dem Bereich DR/ Backup und IT-Resilience. Weitere Stationen des gebürtigen Niederländers waren jeweils der Software-Defined-Storage-Spezialist Nexenta und Stromasys, ein Unternehmen, das durch die Emulation alter Serverbetriebssysteme bei der Virtualisierung hilft.

Cato Networks betreibt nach eigenen Angaben die PoP-Infrastruktur selbst und bindet komplette Unternehmensnetzwerke mit 70 PoPs weltweit an seine SASE-Plattform an. Die PoPs verbinden mehrere Tier-1-Provider, die durch SLAs für Verfügbarkeit, Latenz, Paketverlust und Jitter abgesichert sind.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Netzwerksicherheit