Die gesamte Idee einer integrierten Sicherheitsplattform basiert auf der Tatsache, dass bestimmte wesentliche Applikationen und Funktionen Teil eines einzigen, kongruenten Systems sein sollten. Bestimmte Funktionen, die heute als selbstverständlich gelten, waren einst eigenständige Lösungen für Probleme. SD-WAN bildet hierbei keine Ausnahme.
SD-WAN als Gateway zu Ihrem Netzwerk
Software-Defined Wide-Area-Network (SD-WAN) ist der Ansatz, bei dem Unternehmen ein WAN einsetzen, das Software-definied Networking einsetzt. Hinter diesem Prozess steht das Application, performancebasierte und intelligente Routing des Traffics – so wird der effizienteste Weg mit dem höchsten Datendurchsatz gewählt. Für das Netzwerkmanagement sind keine zusätzlichen Hardware-Investitionen erforderlich, diese Aufgabe übernimmt das Overlay und dadurch gewinnt das Netzwerk maximale Flexibilität. Das senkt Betriebs- und Investitionskosten und eine hervorragende der Skalierbarkeit des SD-WANs.
Allerdings ist SD-WAN allein ohne hohe Netzwerksicherheit anfällig für Angriffe von außen – Malware und Cyberkriminelle können SD-WAN als Kanal nutzen, um auf Ihr Netzwerk zu kompromittieren. Durch das Performance Routing und den Lastausgleich von Netzwerkverbindungen wird zwar eine konsistente Bandbreite für essenzielle Anwendungen erzielt, gleichzeitig besteht so aber das Risiko, dass Cyberkriminelle Ihr Netzwerk attackieren. Diese Schwachstelle muss behoben werden.
Das Integrieren einer voll funktionsfähigen SD-WAN-Lösung in eine Sicherheitsplattform behebt diese Problematik – SD-WAN wird als weitere Funktion und wichtiger Bestandteil von einer vorhandenen Sicherheitsplattform integriert. Eine vollständige Integration des SD-WAN ermöglicht es, standardmäßig alle SD-WAN-Verbindungen zu sichern und zu überprüfen. Als weiteren Vorteil für den Endnutzer entfällt durch diese Implementierung die oben beschriebene Appliance des SD-WANs.
Netzwerksicherheit und Netzwerkperformance sind Secure-SD-WAN-Kernthemen
Die Idee hinter einer integrierten Sicherheitsplattform basiert auf einem simplen Grundgedanken: wesentliche Funktionen sollten Teil eines einzelnen Systems sein. Das gilt auch für herkömmliche Funktionen einer Sicherheitsplattform: Antivirus, Antimalware, Webfilterung und IPS sind heutzutage gängige Integrationen einer Sicherheitsplattform.
Mittlerweile ist auch die Netzwerkfunktionalität in heutige Sicherheitsplattformen integriert: Beispielsweise geht es bei der VPN-Aggregation um die Verwaltung der Kommunikation mit anderen Standorten und Benutzern und der Zugriffskontrolle. Drahtlose und kabellose Anbindungen interagieren mit einer Next-Generation Firewall (NGFW), die den Zugriff sichert. Zu dieser Thematik gehört auch Network Access Control, wodurch Endgeräte während der Authentifizierung geprüft werden. Die Quintessenz dieser Beispiele ist die integrierte Netzwerksegmentierung. Diese stellt sicher, dass die Geräte bestimmten, sicherheitskontrollierten Segmenten des Netzwerks zu gewiesen werden. Dieser Prozess basiert auf Faktoren wie Benutzerrolle, Gerätetyp und dem erforderlichen Zugriff auf die gewünschten Ressourcen.
Hierbei sind zwei Dinge zu betonen:
- Alle diese Lösungen hängen mit der Sicherung des Netzwerkzugriffs und der anschließenden Prüfung und Sicherung von Daten zusammen.
- Es handelt sich hierbei um früher eigenständige Lösungen, die heute in einem einzigen Gerät zusammengefasst sind. Warum sollte es bei SD-WAN also anders sein?
Die Einschränkungen einer Integration in Sicherheitsplattformen
De facto sind einige Sicherheitsplattformen immer noch eine Sammlung separater Sicherheitsvorrichtungen. Eine echte, ganzheitlich integrierte Plattform braucht jedoch Werkzeuge, die explizit so konzipiert sind, dass sie als ein einziges System zusammenarbeiten. Idealerweise geschieht diese Zusammenarbeit mit jedem Element, das auf demselben Betriebssystem läuft und jeweils über eine einzige Managementoberfläche verwaltet wird. So wird sichergestellt, dass alle Transaktionen eingesehen und überprüft werden können.
Die Netzwerk- und Konnektivitätsfunktionalität des SD-WANs wird dadurch nicht nur enger mit den auf der Plattform installierten Sicherheitslösungen verbunden – sie wäre Teil davon. Wenn also eine Verbindung aufgrund von Leistungsabbrüchen ausfällt, fällt die Sicherheit mit ihr zusammen aus – was sich negativ behaftet anhört, gewährleistet in hochdynamischen Umgebungen einen nahtlosen Schutz der bestehenden Verbindungen.
Das Hinzufügen einer zusätzlichen Funktionalität zu einer SD-WAN-Lösung zu dem zugrunde liegenden Betriebssystem einer integrierten Sicherheitsplattform ist kein Problem. Dazu wurde die integrative Sicherheitsplattform erschaffen: Um eine Vielzahl von Technologien zu bündeln.
Die Management-Konsole einer solchen Plattform ist schließlich darauf ausgelegt, mehrere Lösungen gleichzeitig zu konfigurieren und zu bündeln. Die Verwaltung von SD-WAN-Richtlinien, SLA-Anforderungen und anderen Basisfunktionen verbessert die Transparenz und Kontrolle über den gesamten Secure-SD-WAN-Einsatz.
Herausforderung Ressourcenmanagement: Datenintensive Sicherheitsplattformen
Die eigentliche Herausforderung ist die Leistung. Sicherheitsplattformen gelten als ressourcenintensiv, insbesondere wenn es um bandbreitenlastige Anwendungen wie Videokonferenzen oder dem Streamen von Rich Media geht. Das Problem wird noch größer, wenn diese Daten verschlüsselt werden. Die Überprüfung verschlüsselter Daten treibt den Datendurchsatz der meisten Sicherheitsgeräte in den Keller.
Das liegt daran, dass trotz der hoch spezialisierten Funktionalität fast alle Sicherheitsappliances (unerklärlicherweise) immer noch auf generische, handelsübliche CPUs zugreifen. Gerade, wenn es um ressourcenintensive Funktionen wie die Prüfung von verschlüsselten Daten geht, kommen handelsübliche CPUs an ihre Grenzen.
Die Fortinet Sicherheitsplattform nutzt speziell angefertigte ASICS, um große Mengen an spezifische Daten effizienter zu verarbeiten. Ohne eigene ASICS ist es schwer, der ressourcenintensiven Verarbeitung von morgen gerecht zu werden. Die funktionalen Anforderungen einer integrierten SD-WAN-Lösung fallen unter diese Rubrik – Anbieter müssen sich der Aufgabe stellen, ihre Hardware so zu entwerfen, dass sie in den komplexen und intensiven Umgebungen von heute und morgen optimiert läuft.
Sicheres SD-WAN unterstützt die Vernetzung und bietet Schutz vor Cyberattacken
Der Integration von SD-WAN in eine Sicherheitsplattform geht die Notwendigkeit voraus, zu einem sicherheitsorientierten Netzwerkmodell zu wechseln. Digitale Innovationen führen dazu, dass die bestehenden Sicherheitslösungen nicht ausreichen – mehr und mehr Angriffsfläche muss geschützt werden, wodurch das Risiko steigt.
Ein sicherheitsorientierter Netzwerkansatz umgeht diese Problematik, denn der Kern dieses Ansatzes ist die Sicherheit als integrierte Funktion eines jeden Netzwerkentwicklungs- und Netzwerkerweiterungsprojekts. Sicherheit ist also ein integraler Bestandteil des neuen Netzwerks – sie passt sich an und skaliert mit dem Netzwerk, auch wenn dieses in neue Cloud-Umgebungen expandiert, den Zweigstellen flexiblere Dienste zur Verfügung stellt und sich an den schnell wachsenden Rand bewegt.
Die Umstellung des SD-WAN von einem eigenständigen Gerät auf eine Funktion in einer Sicherheitsplattform kann sich überhastet anfühlen – als wäre das SD-WAN gerade erst auf der Bühne der digitalen Innovationen erschienen und müsste diese direkt wieder verlassen. Bei der Geschwindigkeit, mit der die Digitalisierung fortschreitet, fehlen die Zeit und Ressourcen, um Geräte an jeden einzelnen entfernten Standort zu schleppen. Agile, integrierte und anpassungsfähige Lösungen, die mehrere Anwendungsfälle unterstützen sind die Zukunft. Das bedeutet auch, dass der Übergang von SD-WAN von einem eigenständigen Gerät zu einer integrierten Funktion stattfinden muss.