WrightStudio - stock.adobe.com
Wie Cloud-VPN-Lösungen auch komplexe IT-Umgebungen schützen
Wie unterscheidet sich ein unternehmenstaugliches Cloud-VPN von einem traditionellen Virtual Private Network? Wir erklären die Unterschiede und die Vorteile beider Varianten.
Die meisten Security-Profis arbeiten auch heute noch für Firmen, die auf einen Mix aus Cloud- und On-Premises-Diensten setzen. Es gibt bislang nur sehr wenige Organisationen, die bereits vollständig auf Ressourcen aus der Cloud und auf nichts anderes setzen. Stattdessen sehen sich nahezu alle Sicherheitsteams Umgebungen gegenüber, die aus einer Mischung von Cloud Computing und lokalen Diensten bestehen.
Selbst in Situationen, in denen sich ein Unternehmen eigentlich eindeutig für die Cloud entschieden hat, gibt es oft noch zahlreiche Ressourcen, die nicht migriert werden können. Dazu gehören zum Beispiel lokale Rechenzentren, Legacy-Anwendungen, Mainframes oder private beziehungsweise hybride Cloud-Umgebungen. Aus dieser Tatsache ergeben sich mehrere Herausforderungen.
Komplexe IT-Umgebungen führen zu neuen Sicherheitsrisiken
Erstens nutzen die meisten Unternehmen heutzutage sogenannte Multi-Cloud-Umgebungen. Statt sich also nur mit einem einzigen Set aus klar definierten und wohl organisierten internen Assets befassen zu müssen, sind die Sicherheitsteams mit einem komplexen, eng miteinander verzahnten Netz an Systemen und Ressourcen konfrontiert.
Manche dieser Teile sind lokal, andere werden von unterschiedlichen Cloud-Anbietern gehostet und wieder andere werden durch Geschäftspartner oder Drittfirmen verwaltetet. Oft müssen diese Ressourcen aber eng miteinander kommunizieren und zusammenarbeiten. Dadurch wird es schnell schwierig, für sichere Verbindungswege zwischen ihnen zu sorgen. Das trifft insbesondere auf Umgebungen zu, die sich über mehrere Cloud-Anbieter sowie über lokale Infrastrukturen erstrecken.
Zweitens erfolgen Migrationen in die Cloud praktisch nie auf einen Schlag. Unternehmen, die einen Teil ihrer Umgebung in die Cloud auslagern wollen, führen die dafür erforderlichen Transaktionen meist nur in einem langsamen Prozess durch. Bevor eine Migration erfolgreich beendet werden kann, müssen sie daher planen, testen, validieren und noch mehr testen.
Nur so können sie sicherstellen, dass sich die Workloads nach der Migration auch so verhalten wie erwartet. Während die Vorgänge angepasst werden, kann es dazu kommen, dass Verbindungen zwischen kritischen Ressourcen sich über mehrere Umgebungen erstrecken. Das trifft insbesondere auf IaaS-Umgebungen (Infrastructure-as-a-Service) und virtuelle Data Center zu.
Man darf dabei nicht vergessen, dass in der Regel die Anwender während der Migration weiterhin auf die Ressourcen zugreifen müssen. Wenn Sie kritische Workloads in die Cloud verschieben, werden Anwendungen und Dienste von außerhalb des Firmennetzes erreichbar, die bisher nur intern verfügbar waren.
Um dafür zu sorgen, dass die Nutzer auch weiterhin wie gewohnt auf alle Dienste zugreifen können, müssen Unternehmen eine angepasste Strategie entwickeln, so dass die Anwender auf ähnliche Weise weiterarbeiten können wie bisher.
Schutz für Cloud- und On-Premises-Strukturen mit einem VPN aus der Cloud
Eine Möglichkeit, um sowohl Ressourcen in der Cloud als auch in lokalen Rechenzentren zu schützen, sind VPN-Lösungen aus der Cloud. Sie werden auch als VPN as a Service oder VPNaaS bezeichnet. Selbst aus der Cloud angeboten, stellen diese Art von Diensten VPN-Fähigkeiten für andere Cloud-Angebote bereit.
Ein Cloud-VPN sorgt dafür, dass alle Ressourcen, Komponenten und anderen kritischen Bestandteile, die von einem Unternehmen genutzt werden, sicher miteinander kommunizieren können.
Außerdem kümmert es sich darum, dass nur berechtigte Personen auf bestimmte, vertrauliche Ressourcen zugreifen dürfen. Dabei sind sogar weniger Konfigurationsschritte und weniger technischer Overhead nötig, als dies bislang der Fall ist.
Ein Enterprise-taugliches Cloud-VPN verbindet verschiedene Umgebungen miteinander, so dass die IT-Security-Teams auch Ressourcen in komplexen Umgebungen schützen können. Dieses Ziel wird durch transparente und ungefilterte Verbindungen zwischen den verschiedenen Bereichen wie zum Beispiel dem lokalen Firmennetz und einer virtuellen privaten Cloud erreicht.
Dabei können sich beliebig viele Firewalls, Router, Gateways und andere Gerätschaften zwischen der Cloud und den lokalen Ressourcen befinden. Oft gibt es weitere Anwendungen und Dienste, die direkte Verbindungen zwischen Komponenten und Systemen benötigen.
Funktionsweise von Cloud-VPN-Lösungen
Um besser zu verstehen, wie ein VPN aus der Cloud arbeitet, nehmen wir ein hypothetisches Beispiel. Denken Sie an eine traditionelle, mehrstufige Business-Applikation mit einer Benutzeroberfläche im Web in Tier 1, einer Anwendung im Hintergrund in Tier 2, die die benötigten Business-Funktionen bereitstellt, sowie einer relationalen Datenbank im Backend in Tier 3.
Abhängig von der individuellen Situation des Unternehmens bei der Migration, kann ein Teil der Anwendung, etwa die Server-Farm, die für die Benutzeroberfläche zuständig ist (Tier 1), als virtuelle Workload in die Cloud verlagert werden, während der Rest der Applikation im lokalen, virtualisierten Rechenzentrum verbleibt.
Das Beispiel enthält allerdings ein potentielles Problem: Solche Anwendungen wurden meist unter der Voraussetzung entwickelt, dass die Verbindungen zwischen den verschiedenen Ebenen ungefiltert erfolgen können. Wenn aber eine der Ebenen in eine andere Umgebung ausgelagert werden soll, muss die Kommunikation über sich dazwischen befindende Netzwerke und Firewalls laufen. Wie kann ein Sicherheitsteam dafür sorgen, dass die Anwendung wie gewohnt weiter funktioniert und gleichzeitig sicherstellen, dass sowohl die Cloud als auch die interne Umgebung geschützt bleiben?
Eine Möglichkeit ist der Einsatz eines Enterprise-tauglichen Cloud-VPNs. Ein traditionelles VPN sorgt bereits dafür, dass es so wirkt, als wären entfernte Geräte im selben Netzwerk wie die Web- und die Applikations-Server. Ein Cloud-VPN kann diese Konfiguration auf ein gesamtes lokales Firmennetz und zugleich auf die Cloud ausweiten.
Ein Cloud-VPN ist auch hilfreich, um direkte Verbindungen zwischen einem Unternehmen und seinen remote arbeitenden Mitarbeitern zu realisieren. So kann es etwa erforderlich sein, dass die Anwender im „selben“ Netzwerk mit einer Ressource sein müssen, um darauf zugreifen zu können. Ein Cloud-VPN ermöglicht den Nutzern dann aus der Ferne einen sicheren Zugriff auf die Ressourcen in der Cloud.
Durch den Einsatz eines Cloud-VPNs können also verschiedene Umgebungen miteinander verbunden werden, selbst wenn es eigentlich logische Grenzen dazwischen gibt. VPN-Dienste aus der Cloud können zudem dafür sorgen, dass Bandbreite im Netzwerk eingespart wird, indem ein Teil der Aufgaben und der Last zum Provider ausgelagert wird. Das wirkt sich dann meist auch positiv auf die Kosten aus.
Unabhängig davon, ob sich ein Unternehmen für eine Cloud-VPN-Lösung seines Cloud-Providers oder eines spezialisierten Anbieters entscheidet, spielt das Modell eine bedeutende Rolle, um alle Verbindungen in die Cloud abzusichern.