Sergey Nivens - stock.adobe.com
SD-WAN-Sicherheit: Die beste Strategie für Niederlassungen
Eine SD-WAN-Bereitstellung ohne solide Strategie für die Netzwerksicherheit ist ein No-Go. Sie sollten sich auf vier Bereiche konzentrieren, um sich vor Bedrohungen zu schützen.
Angreifer sind ständig auf der Suche nach Schwachstellen, um in Ihr Netzwerk einzudringen. Software-defined WAN (SD-WAN) bietet erhebliche Vorteile in puncto WAN-Traffic-Management, kann aber zu neuen Angriffsvektoren führen. IT-Verantwortliche müssen SD-WAN von der ersten Inbetriebnahme an um eine starke Netzwerksicherheit als integriertes System ergänzen.
SD-WAN wird in verteilten Organisationen mittlerweile großflächig bereitgestellt, um eine zuverlässige Hochgeschwindigkeitsanbindung für kritische Data Center und Cloud-basierte Anwendungen zu realisieren. Unter Sicherheitsaspekten gilt: Wenn die IT eine neue Technologie einsetzt und diese eine kritische Masse erreicht, finden Angreifer immer Mittel und Wege, die Technologie für ihre Zwecke auszunutzen, da Sicherheit im allgemeinen nicht Teil der initialen Bereitstellung ist.
Um den Kreislauf aus Entwicklung, Bereitstellung, Angriff und anschließender Verteidigung zu durchbrechen, muss die IT Alternativen prüfen, um die SD-WAN-Architektur zu härten.
Bedrohungen im Zusammenhang mit SD-WAN ähneln jenen Gefahren, die sich gegen andere Netzwerkinfrastruktur richten. Der grundlegende Unterschied besteht darin, dass SD-WAN einen direkten Internetzugang ermöglicht. Somit muss der Traffic des Branch-Netzwerks nicht das unternehmenseigene Data Center passieren, wo entsprechende Sicherheitsmaßnahmen und Policies angewendet werden können. Diese potenziell ungeschützten Filialstandorte können zum Einfallstor werden und dadurch Angriffe auf zentrale Einrichtungen einer Organisation oder Datenpannen ermöglichen.
Vier Schritte zur Absicherung von SD-WAN
Eine effektive SD-WAN-Implementierung erfordert zusätzliche Sicherheit innerhalb der Unternehmensinfrastruktur, um sicherzustellen, dass die Sicherheitsrichtlinie des Unternehmens auf allen Ebenen durchgesetzt wird. Um SD-WAN auf Branch-Ebene abzusichern, sollten IT-Teams sich mit vier Komponenten näher befassen:
- direkte Bedrohungen
- Vertrauenswürdigkeit
- Traffic-Sichtbarkeit
- Orchestrierung
Direkte Bedrohungen. Schutz vor direkten, externen Bedrohungen erfordert umfangreiche Netzwerk-Sicherheitsfunktionen unmittelbar am Edge. Diese Sicherheitsfunktionen können von dedizierter Hardware, virtuellen Appliances oder Cloud-Services kommen und müssen am Edge des direkten Internetzugangs angewendet werden.
Zu den Funktionen gehören Stateful Firewalls, Next-Generation Firewalls (NGFW), URL- und Content-Filterung, Intrusion Prevention Systems, Schutz vor DoS-Attacken (Denial of Service), Malware-Erkennung und Verschlüsselung.
Vertrauenswürdigkeit. Die Vertrauenskomponente einer Sicherheitsstrategie ist mit der Möglichkeit verbunden, Nutzer- und Geräteidentitäten zu authentifizieren und zu autorisieren, sicherzustellen, dass sie unter den geeigneten Sicherheits-Policies arbeiten, Compliance-Anforderungen zu überprüfen und Mikrosegmentierung zu erzwingen.
Netzwerksicherheit muss über Identity-Access-Funktionalität verfügen sowie die Erkennung und Verwaltung einer breiten Palette von Endpunkten unterstützen, etwa von Mobiltelefonen, Point-of-Sales- und IoT-Geräten.
Traffic-Sichtbarkeit. Traffic Visibility ist von entscheidender Bedeutung für jede Sicherheitsstrategie. Dies muss zentrale Sichtbarkeit und Kontrolle für den gesamten internen sowie ein- und ausgehenden Traffic umfassen.
Dazu gehört auch zu wissen, auf welche Anwendungen zugegriffen wird, welche Ports und Protokolle aktiv sind und Einsicht in die Daten, insbesondere wenn sie mit Transport Layer Security (TLS) verschlüsselt sind. Sichtbarkeit ist ebenfalls beim Auditing und Reporting für das Compliance-Management äußerst wichtig.
Orchestrierung der Netzwerksicherheit. Es ist obligatorisch, dass Security-Strategien eine Option für eine zentralisierte Verwaltung und Orchestrierung enthalten, mit einer Single-Pane-of-Glass-Konsole für IT- und Sicherheitspersonal.
Administratoren müssen in der Lage sein, Sicherheits-Policies des Unternehmens, Konfigurationsänderungen und Software-Upgrades zu aktualisieren und an alle Standorte zu verteilen oder einzelne Geräte neu zu konfigurieren. Die Orchestrierungsprozesse sollten so weit wie möglich automatisiert werden und Analytics-Funktionen enthalten, die Organisationen frühzeitig bei allen Problemen warnen können.
Klicken Sie auf die Infografik um ein PDF über die 4 Schritte zur Erhöhung der SD-WAN-Sicherheit zu erhalten.
SD-WAN-Sicherheit: Ausblick
Die umfassende Nutzung von Multi-Cloud-Umgebungen und Cloud-basierten Anwendungen bedeutet, dass IT- und Sicherheitsteams mithilfe von Netzwerkintelligenz Angreifer fernhalten und den Abfluss sensibler Daten aus dem Unternehmen verhindern müssen. Aktuelle SD-WAN-Anbieter haben ihre Funktionen für Netzwerksicherheit verbessert, aber sie reichen nicht an die umfangreichen Features von speziellen NGFWs heran. Einige Netzwerk-Security-Provider bieten nun grundlegende SD-WAN-Feature-Sets.
Organisationen mit komplexen Sicherheitsanforderungen und geschulten Mitarbeitern dürften weiterhin ihre bevorzugten Netzwerk-Security-Produkte, zum Beispiel von Palo Alto Networks, Cisco, Checkpoint und Fortinet, bereitstellen. Entscheidendes Element ist hier das bereits vorhandene Maß an Integration, inklusive Orchestrierung, zwischen dem SD-WAN-Provider und dem favorisierten Anbieter für Netzwerksicherheit.
Sowohl SD-WAN- als auch Netzwerk-Security-Anbieter nutzen zunehmend Cloud-basierte Intelligenz, um direkte Bedrohungen zu bekämpfen, die Traffic-Sichtbarkeit zu erweitern und die Orchestrierung zu verbessern. Zscaler etwa ist ein beliebter Cloud-basierter Security-Provider, der Partnerschaften mit den meisten führenden SD-WAN-Anbietern unterhält.
Wie Sie SD-WAN-Sicherheit gewährleisten
Damit SD-WAN-Sicherheit effektiv ist, müssen IT- und Sicherheitsverantwortliche ihre operativen Abläufe überdenken und neu gestalten, um die geeigneten Kontrollen zur Verfügung zu stellen, unter anderem Vertrauenswürdigkeit, Sichtbarkeit und Orchestrierung. Dies sollte bei der architektonischen Umgestaltung und der Bereitstellung geschehen, um Angreifern zuvorzukommen, die nach Gelegenheiten suchen, in Ihr Netzwerk einzudringen.
Richtig durchgeführt, kann eine SD-WAN-Implementierung die Kontrollen für Verbindungs-Policies, die die Netzwerksicherheit generell unterstützen, erheblich verbessern. Die meisten großen Organisationen werden ihre SD-WAN-Systeme mit ihren favorisierten Netzwerk-Security-Anbietern integrieren müssen.
Kleinere Organisationen kommen vielleicht zu dem Schluss, dass SD-WAN-Provider zusammen mit ihren Partnern ausreichende Netzwerksicherheit bieten oder dass Netzwerk-Security-Anbieter mit ergänzenden SD-WAN-Funktionen die Anforderungen ihrer Niederlassungen abdecken können.