Was auf eine SD-WAN-Sicherheits-Checkliste gehört
Eine SD-WAN-Sicherheits-Checkliste sollte mehrere Bereiche abdecken. Dazu zählen WAN-Absicherung, SD-WAN-Sicherheitsfunktionen und Integration in ein Security-Ökosystem.
Die SD-WAN-Technologie (Software-defined WAN), ganz gleich ob als DIY-Ansatz oder als Managed Services, kann die WAN-Sicherheit auf verschiedene Arten verbessern. Einfach zu einem praktikablen SD-WAN-Angebot zu migrieren, bringt bereits einige Vorteile.
Aber SD-WAN-Tools ermöglichen auch Sicherheitsfunktionen, um den Traffic zu schützen, den sie verwalten. Außerdem bringen sie Features für den Eigenschutz der Lösungen mit. Unternehmen können diese Tools in ein umfassenderes Security-Ökosystem integrieren, um die einzelnen Sicherheitsmaßnahmen besser zu koordinieren.
Dieser Artikel zeigt anhand von vier unterschiedlichen Bereichen, wo es sich empfiehlt, SD-WAN und Sicherheit zu berücksichtigen. Zudem befassen wir uns mit den Kernfunktionen, die Sie in eine SD-WAN-Sicherheits-Checkliste aufnehmen sollten.
Grundlegende SD-WAN-Aspekte für mehr WAN-Sicherheit
Zentrale Konsole. Herzstück bei SD-WAN ist eine zentrale, richtlinienbasierte Managementkonsole für das WAN. Diese Konsole bildet den Single Point of Management für das WAN, und Änderungen an der Policy werden automatisch ausgerollt.
Die grundlegenden Eigenschaften von SD-WAN bieten für die meisten Organisationen solide Verbesserungen in puncto WAN-Sicherheit. Der Großteil der Legacy-WANs leidet darunter, dass Konfigurationen für Router an jedem Standort manuell verwaltet werden müssen. Das gilt ebenfalls für Sicherheits-Appliances vor Ort, zum Beispiel Firewalls.
Da das traditionelle WAN-Management manuell erfolgt, neigen die meisten Organisationen dazu, die Anzahl der Software-Updates zu minimieren. Infolgedessen handelt es sich bei Branch-Netzwerk-Stacks häufig um veraltete Versionen, die über einen langen Zeitraum ungepatcht bleiben.
Zentralisiertes und automatisiertes Management macht damit Schluss. Diese gleichen Funktionen mit SD-WAN umgesetzt, erleichtern ein konsistentes und schnelles Rollout von neuen Policies und Konfigurations-Updates. Dadurch wird das Netzwerk agiler bei der Unterstützung neuer Geschäftsinitiativen und transformativer Anwendungsbereitstellungen.
Traffic-Segmentierung. Eine weitere wichtige Kernfunktion von SD-WAN ist die Möglichkeit, Traffic auf verschiedene Arten zu segmentieren, zum Beispiel:
- nach Anwendung und Protokoll;
- nach Nutzer und Gruppe; und
- nach Region.
Die Segmentierung dient sowohl dem Performance-Management als auch Sicherheitszwecken. Beispielsweise kann SD-WAN den Traffic entsprechend den Compliance-Anforderungen routen, damit er etwa innerhalb bestimmter geografischer Regionen bleibt oder sie umgeht. Bei einigen Angeboten kann SD-WAN einen detaillierten Blick auf Anwendungen und Traffic werfen. Somit lässt sich Traffic basierend auf Nutzergerät und -plattform, Nutzer, Gruppe, Anwendung, Protokoll und sogar anhand spezifischer Anwendungsfunktionen differenziert weiterleiten – oder blockieren.
SD-WAN-Sicherheitsfunktionen
In der Studie Next-Generation Networking 2020-21 von Nemertes Research sagten SD-WAN-Nutzer, sie hätten vor, bis Ende 2021 die Hälfte ihrer Filialbüros alleine über Internet-Links anzubinden und 75 Prozent dieser Büros direkten Zugriff auf Internetziele zu ermöglichen.
Dadurch werden viele Anwender sowohl mit Internet- als auch mit Private-WAN-Konnektivität einbezogen. Es ist daher keine Überraschung, dass 66 Prozent der SD-WAN-Nutzer angaben, sie würden beabsichtigen, ihr SD-WAN als Branch Firewalls – oder als Ersatz für vorhandene Firewalls – in allen Zweigstellen zu nutzen.
Firewalls und darüber hinaus. Organisationen, die dieses Maß an Sicherheitsfunktionalität ins Auge fassen, benötigen als absolutes Minimum eine einfache Stateful Firewall. Eine Next-Generation Firewall (NGFW) mit umfassenden, kontextabhängigen und anwendungsbezogenen Funktionen ist sogar noch besser.
IT-Teams sollten auch auf Funktionen für ein Intrusion Detection System (IDS)/Intrusion Prevention System (IPS) sowie für Unified Threat Management (UTM) und sogar Secure Web Gateways (SWG) achten. Wenn der SD-WAN-Endpunkt diese Aufgaben nicht selbst übernimmt, sollte er in der Lage sein, per Service-Chain-Funktionen von einer anderen Appliance oder einem Cloud-Service einzubinden. Ein Managed-Angebot kann dies eventuell direkt über die Service-Cloud des SD-WAN-Providers oder über Partner realisieren.
Verschlüsselung. SD-WAN sollte eine starke Verschlüsselung – Advanced Encryption Standard 128 oder AES 256 – für Data in Motion zwischen beliebigen Endpunkten unterstützen, ganz gleich ob in der Zweigstelle, dem Data Center oder der Cloud. Wenn das Angebot Daten intern speichert – und das ist meistens der Fall –, sollten auch Data at Rest verschlüsselt werden. Auch hier gilt: Sofern es sich um ein Managed-Angebot handelt und Provider-Cloud-Komponenten beinhaltet, sollten aufbewahrte Daten ebenfalls verschlüsselt gespeichert werden.
Schlüssel. Das SD-WAN-Angebot sollte zudem eine umfassende und einfache Option für das Schlüsselmanagement enthalten. Idealerweise integriert diese sich in eine vorhandene Public-Key-Infrastruktur (PKI) und ermöglicht es Unternehmen, die Schlüssel selbst aufzubewahren, auch bei einem Managed-Angebot.
Sicherheitsfunktionen für den Schutz der SD-WAN-Plattform
IT-Teams müssen darüber hinaus auf ihrer Security-Checkliste für SD-WAN die Sicherheit der SD-WAN-Plattform evaluieren.
Schutz über ein Trusted Platform Module (TPM). Im Idealfall umfasst ein SD-WAN-Angebot ein TPM, das etwa die Verschlüsselungs-Keys schützt – obwohl viele Organisationen dies in ihren Plattformen nicht voraussetzen. Es setzt zudem auf einer bewährten, vollständig gehärteten Plattform auf, die die Angriffsoberfläche des Systems minimiert.
Zugriffskontrolle und Multi-Faktor-Authentifizierung (MFA). Die SD-WAN-Plattform sollte außerdem eine verzeichnisbezogene, rollenbasierte Zugriffskontrolle (RBAC) unterstützen und den Einsatz von MFA ermöglichen. Im operativen Betrieb sollten IT-Teams den Zugriff regelmäßig überprüfen und ein Tool für Privileged Account Management anwenden, sofern verfügbar.
Verschlüsselte Managementkanäle. Wie bei Produktionsdaten sollten auch Managementkanäle stark verschlüsselt werden.
Sichere Bereitstellung. Die Plattform sollte ein sicheres Modell für Low Touch oder No Touch Deployment implementieren. Dazu müssen mitunter Informationen über das Unternehmensnetzwerk in den SD-WAN-Geräten vor ihrem Versand konfiguriert werden. Auf diese Weise wissen die Geräte, wie sie weitere Konfigurationsdaten abrufen können, sobald sie angeschlossen sind.
Einbinden von SD-WAN in ein Security-Ökosystem
Integration in Security Information and Event Management (SIEM). Letztlich bildet die SD-WAN-Plattform nicht die gesamte Sicherheitsinfrastruktur, so dass sie sich in bestehende Lösungen einbinden lassen muss. Sicherheitsuntersuchungen von Nemertes haben gezeigt, dass Organisationen, die ein striktes Security-Ökosystem bereitstellen, erheblich erfolgreicher beim Eindämmen von Sicherheitsbedrohungen sind als solche ohne enge Vorgaben. Daher muss das SD-WAN-Angebot mindestens Logging-Informationen in ein SIEM-System einspeisen. Idealerweise wird es auch den sicheren Zugriff auf operative Daten über APIs ermöglichen.
Integration in Secure Orchestration, Automation and Response (SOAR). APIs sind ebenfalls von entscheidender Bedeutung, um ein SD-WAN in ein SOAR-System zu integrieren. Auf diese Weise kann es als koordinierte Komponente in einem umfassenderen Software-defined Perimeter oder einer Zero-Trust-Umgebung dienen.
IT-Teams können die WAN-Sicherheit mithilfe von SD-WAN enorm verbessern, solange sie eine Option wählen, die ihre Sicherheitsanforderungen berücksichtigt.