lassedesignen - stock.adobe.com

SD-WAN-Sicherheit: 3 wichtige Überlegungen und Funktionen

Device Onboarding, Control Plane Security und Data Plane Security sind drei wichtige Sicherheitsaspekte für SD-WAN, die Sie bei der Auswahl eines SD-WAN-Anbieters beachten sollten.

Vielleicht mehr als in jedem anderen Bereich Ihres Netzwerks muss eine SD-WAN-Strategie gleichermaßen auf Vernetzung und Sicherheit ausgerichtet sein.

Per Definition ist das Software-defined WAN (SD-WAN) eine Schnittstelle zu externen, oft öffentlichen Netzwerken, die viele Bedrohungen anziehen können. Außerdem unterscheiden sich die Standortnetzwerke vermutlich – und dieser Verkehr fließt über das SD-WAN. Jeder Standort verarbeitet wahrscheinlich wichtige Geschäftsanwendungen, bietet Zugang zu Cloud-Diensten, verwaltet das allgemeine Web-Browsing und empfängt Internetverkehr von Besuchern. Jeder dieser Verkehrsströme hat andere Sicherheitsanforderungen, und Unternehmen müssen auch die SD-WAN-Infrastruktur selbst absichern.

Sicherheit ist ein wesentlicher Bestandteil von SD-WAN. Aber wenn Unternehmen sich über SD-WAN-Sicherheitsaspekte informieren, sind sie oft verwirrt. Es überrascht nicht, dass viele Anbieter es vorziehen, die Sicherheit in ihre größere Vision der Cloud-Architektur einzubauen. Das ist zu erwarten, da es für die Anbieter einfacher ist, die Kunden für ihre Top-Down-Vision zu gewinnen, als ihnen Bottom-Up-Funktionen und -Fähigkeiten zu verkaufen. Aber eine Vision wird Ihr Netzwerk nicht schützen – Funktionen schon.

Als Ausgangspunkt für die Bewertung von SD-WAN-Sicherheitsüberlegungen sollten wir uns die Schritte zur Sicherung der SD-WAN-Infrastruktur ansehen.

Onboarding

Jahrelang bestand die Hauptsorge der IT-Abteilung beim Hinzufügen eines Switches oder Routers zum Netzwerk darin, einen schnellen und einfachen Prozess zu gewährleisten. Viele Endanwender gingen davon aus, dass eine Person mit physischem Zugang zum Kabelschrank und den LAN- und WAN-Verbindungen die Berechtigung hatte, das Netzwerkgerät hinzuzufügen. Heutzutage ist das keine sichere Annahme mehr.

Die Geräte der Netzwerkinfrastruktur können sich in einem gemeinsam genutzten Raum oder im Rack eines Dienstanbieters befinden, wo Sie die physischen Sicherheits- und Zugangsanforderungen nicht kennen. Sie benötigen also einen sicheren Onboarding-Prozess für Ihr SD-WAN. Das Letzte, was Sie brauchen, ist ein bösartiges Gerät, das sich als legitimer Teil Ihres Netzwerks ausgibt und Zugriff auf den gesamten Datenverkehr hat, der über das Gerät läuft.

Ein weiterer SD-WAN-Sicherheitsaspekt ist, dass Ihr Anbieter neue Infrastrukturgeräte so lange blockiert, bis sie sich authentifiziert haben. Dazu gehört nicht die Sperrung von Benutzergeräten wie Telefonen und Laptops, wofür ein Captive Portal zuständig ist.

Die Authentifizierung kann über eine Registrierungs- oder Seriennummer oder ein anderes Sicherheits-Token erfolgen. Wenn Sie ein dynamisches Netzwerk mit häufigen Infrastrukturänderungen planen, stellen Sie sicher, dass die Authentifizierungsmethode keine logistischen Probleme verursacht.

Sicherheit auf der Data Plane

Die Data Plane ist wahrscheinlich der Bereich, der einem automatisch in den Sinn kommt, wenn man an SD-WAN-Sicherheitsapekte denkt. Auf der Data Plane wird der Benutzerverkehr abgewickelt, der verschlüsselt werden muss. Zu den Verschlüsselungsmethoden gehören Secure Sockets Layer (SSL), Transport Layer Security (TLS) oder IPsec VPN-Tunnel.

Aber denken Sie daran, dass die Verschlüsselung der Data Plane nicht einfach nur ein Kästchen ist, das man ankreuzen kann. Die Anbieter haben verschiedene Methoden für die Verschlüsselung und den Schlüsselaustausch im Angebot. Kürzere Intervalle für die Schlüsselrotation sind von Natur aus sicherer, weil sie die Zeit reduzieren, die ein Hacker braucht, um einen Schlüssel zu benutzen.

Weil die Sicherheitsanbieter immer versuchen, den Hackern einen Schritt voraus zu sein, ist die Verschlüsselung ein Bereich, der sich ständig verändert.

Als die Tolly Group mit Anbietern sprach, stellte sie fest, dass mindestens ein Anbieter die Schlüssel etwa alle 10 Minuten austauscht. Andere Anbieter gaben an, dass sie weitere Sicherheit bieten, indem sie den Diffie-Hellman-Schlüsselaustausch verwenden, der es den Benutzern ermöglicht, geheime Schlüssel über unsichere Kanäle auszutauschen. Weil die Anbieter von Sicherheitslösungen immer versuchen, den Hackern einen Schritt voraus zu sein, ist die Verschlüsselung ein Bereich, der sich ständig verändert.

Sicherheit auf der Control Plane

Ein ebenso wichtiger, aber manchmal übersehener Aspekt der SD-WAN-Sicherheit ist die Sicherheit der Control Plane. Dabei handelt es sich um den Nachrichtenweg zwischen den Steuerelementen Ihres Netzwerks, die sich in den Routern und Switching-Geräten im SD-WAN befinden.

Genauso wichtig ist es, diesen Datenverkehr zu verschlüsseln, damit ein Hacker die Verwaltungs- und Konfigurationsfunktionen Ihres SD-WAN nicht abfangen oder kompromittieren kann. Die meisten, aber nicht alle, Anbieter verschlüsseln die Control Plane. Stellen Sie sicher, dass Ihr Anbieter dies tut.

Nachdem Sie sich mit diesen SD-WAN-Sicherheitsüberlegungen auseinandergesetzt haben, werden Sie eine grundlegende Firewall-Funktionalität als Teil Ihres SD-WAN wünschen. Möglicherweise möchten Sie sogar noch mehr Funktionen, zum Beispiel Schutz vor Malware und andere Funktionen auf höherer Ebene. Sie sollten sich auch die Mikrosegmente Ihres Netzwerks ansehen – zumindest den Datenverkehr zwischen Unternehmen und Gästen – und Sicherheitsstrategien implementieren, die auf den Datenverkehr in den einzelnen Segmenten abgestimmt sind.

Erfahren Sie mehr über WAN und Cloud-Networking