/ Was ist unter lokalen Internet-Breakouts zu verstehen?
Was ist unter lokalen Internet-Breakouts zu verstehen?
Warum sind lokale Internet-Breakouts erforderlich?
Bislang war es bei vielen Organisationen üblich, den gesamten Traffic über sogenannte „Hub and Spoke“- bzw. Speichenarchitekturen mit MPLS-Leitungen (Multiprotocol Label Switching) zu einem zentralen Rechenzentrum zu routen. Dort durchlief der Traffic hardwarebasierte Security-Stacks, wie VPNs, und wurde erst dann ins Internet weitergeleitet. Mit dem zunehmenden Umstieg auf SaaS und Cloud-Anwendungen wie Microsoft 365 und Salesforce, die für den direkten Zugriff über das Internet konzipiert sind, hat sich heutzutage jedoch auch die Zusammensetzung des Traffics geändert.
Der Großteil der verbrauchten WAN-Bandbreite entfällt mittlerweile auf Traffic ins Internet. Die Umleitung dieses Internet-bound Traffics über unternehmenseigene Rechenzentren (auch als Backhauling bekannt) ist daher nicht mehr zielführend. Sie verursacht nicht nur hohe Kosten, sondern kann auch Latenzen verstärken und somit die User Experience beeinträchtigen. Um diese Probleme in den Griff zu bekommen, richten mehr und mehr Organisationen lokale Breakouts und SD-WAN ein, um möglichst zügige und reibungslose Direktverbindungen von Zweigstellen ins Internet zu unterstützen.
Wie funktionieren lokale Internet-Breakouts?
Entwickelt wurden lokale Internet-Breakouts primär als Möglichkeit, den Internet-Traffic über kostengünstigere Verbindungen zu einem lokalen ISP zu routen. Organisationen können dadurch das Unternehmensnetzwerk entlasten, zügigere Anwendererfahrungen gewährleisten und weitgehend auf den Einsatz teurer MPLS-Leitungen verzichten. Letztere sind nun nur noch für Anwendungen erforderlich, die im unternehmenseigenen Rechenzentrum installiert sind.
Mithilfe eines SD-WAN (Software-Defined Wide Area Network) als Overlay kann anhand softwaredefinierter Richtlinien der beste Pfad ermittelt werden, um Traffic von der Zweigstelle ins Internet, zu Cloud-Anwendungen und zum Rechenzentrum zu routen. Indem Richtlinien in der Cloud über eine zentrale Schnittstelle für alle Zweigstellen festgelegt werden, können Unternehmen problemlos neue Anwendungen und Services bereitstellen und Richtlinien an unterschiedlichen Standorten verwalten.
Welche Herausforderungen gibt es im Zusammenhang mit lokalen Internet-Breakouts?
SD-WAN und lokale Internet-Breakouts bringen neue Herausforderungen bezüglich der Sicherheit mit sich. Jeder einzelne Breakout muss mit denselben Schutzmaßnahmen abgesichert werden, die früher am zentralen Sicherheits-Gateway bereitgestellt wurden. Dazu zählen insbesondere Firewall, Sandboxing, Advanced Threat Prevention, Data Loss Prevention und IPS.
Lokale Internet-Breakouts mit herkömmlichen Lösungen absichern zu wollen, würde bedeuten, dass die betreffende Organisation ihren gesamten Security-Stack an jedem einzelnen Standort replizieren müsste. Die Anschaffung, Bereitstellung und Verwaltung hardwarebasierter Security-Stacks für sämtliche Zweigstellen ist allerdings keine realistische Lösung, da sie mit einem viel zu hohen Kosten- und Arbeitsaufwand verbunden wäre.
Next-Generation Firewalls (NGFWs) und andere Sicherheitsappliances wurden nicht für Cloud-basierte Anwendungen konzipiert. Angesichts der fehlenden Skalierbarkeit sind sie von dem hohen Volumen permanenter Verbindungen in Cloud-Umgebungen schnell überfordert und hemmen letztlich die Produktivität, die Cloud-Anwendungen doch eigentlich ermöglichen sollten. Als weiterer Nachteil kommt hinzu, dass eine native Überprüfung des SSL-verschlüsselten Traffics nicht möglich ist.
Dieses Manko fällt angesichts der dramatischen Zunahme von verschlüsseltem Traffic in den vergangenen Jahren verstärkt ins Gewicht. Damit eine SSL-Überprüfung überhaupt möglich wird, müssen herkömmliche Appliances durch Proxy-Funktionen aufgestockt werden. Die Überprüfung wird dann nicht auf der Chip-Ebene, sondern softwarebasiert ausgeführt, was die Performance der Anwendung und damit auch die User Experience empfindlich beeinträchtigt.
Vorteile von lokalen Internet-Breakouts
Bei der Umstellung von herkömmlichen Hub-and-Spoke-Architekturen auf lokale Internet-Breakouts und SD-WAN darf die Gewährleistung eines adäquaten Schutzniveaus durch Bereitstellung entsprechender Sicherheitslösungen auf keinen Fall vernachlässigt werden. Das Problem dabei: Herkömmliche NGFWs und hardwarebasierte Security-Stacks eignen sich nicht zur Absicherung von Cloud-Anwendungen. Zwar sind inzwischen virtuelle Versionen dieser Appliances erhältlich, sie stellen jedoch keine überzeugende Alternative dar, da sie viele der Beschränkungen und Nachteile ihrer physischen Vorgänger aufweisen. Insofern ist es nur folgerichtig, dass mit der Verlagerung der Anwendungen in die Cloud auch die Sicherheitslösungen zukünftig Cloud-basiert bereitgestellt werden.
Organisationen, die lokale Internet-Breakouts und SD-WAN mit Cloud-basierten Sicherheitslösungen schützen, profitieren von zahlreichen Vorteilen gegenüber hardwarebasierten Legacy-Lösungen:
- Schnelle, sichere User Experience: Der Traffic sämtlicher Zweigstellen und Remote-Standorte wird direkt ins Internet geroutet und über einen Cloud-basierten Service abgesichert. Dadurch schöpfen Organisationen das Potenzial von Cloud-Anwendungen voll aus und gewährleisten standortunabhängig zügige und sichere Anwendererfahrungen für sämtliche User.
- Geringere Kosten: Mit einer Cloud-basierten Sicherheitslösung sparen Organisationen MPLS-Kosten, schützen lokale Internet-Breakouts und gewährleisten die Überprüfung des gesamten Internet-bound Traffic. Die Anschaffung, Bereitstellung und Verwaltung kostspieliger hardwarebasierter Security-Stacks bzw. NGFWs für jede einzelne Zweigstelle erübrigt sich.
- Entlastung der IT: Bei einer Cloud-basierten Bereitstellung von Sicherheitslösungen können anfallende IT-Aufgaben zentral bearbeitet werden. Wenn geschäftskritische Anwendungen priorisiert, neue Services aktiviert oder Richtlinien festgelegt und sofort durchgesetzt werden sollen, sind jeweils nur ein paar Klicks erforderlich.
- Standortunabhängiger Schutz für alle User: Die Absicherung lokaler Internet-Breakouts mit einer Cloud-basierten Lösung gewährleistet standortunabhängig ein identisches Schutzniveau. Die unternehmensspezifischen Richtlinien werden für User im Café oder Homeoffice genauso zuverlässig durchgesetzt wie am Hauptsitz der Organisation oder in einer Zweigstelle.
Die Vorteile lokaler Internet-Breakouts liegen auf der Hand, aber um sie voll ausschöpfen zu können, benötigen Unternehmen einen Anbieter, dessen Sicherheitsservices uneingeschränkt für die Cloud entwickelt wurden – einen Anbieter, der über langjährige Erfahrung bei der Absicherung von Internetverbindungen für dezentral arbeitende User verfügt und das richtige SD-WAN-Overlay bereitstellt, um schnelle Cloud-Verbindungen zu gewährleisten. Dieser Anbieter ist Zscaler.
Sichere lokale Internet-Breakouts und SD-WAN mit Zscaler
Zscaler schützt ausgehenden Internet-Traffic und bietet eine schnelle Anwendererfahrung – ohne Backhauling und Duplizierung Appliance-basierter Security-Stacks an jedem einzelnen Standort. Da Zscaler den gesamten Security-Stack als Cloud-Service bereitstellt, gibt es keine Abstriche bei der Sicherheit.
Mit Zscaler sind Richtlinien nicht an einen physischen Standort gebunden. Stattdessen folgen sie den Usern und bieten so an jedem Verbindungsort identischen Schutz. Der Internet-bound Traffic kann ganz einfach an Zscaler weitergeleitet und sofort überprüft werden – inklusive aller Ports und Protokolle einschließlich SSL. Zugangs- und Sicherheitsrichtlinien lassen sich über eine zentrale Konsole für alle Standorte festlegen und durchsetzen. Mit Zscaler können Cloud-Services elastisch skaliert werden, sodass sich neue Services wie Bandbreitenkontrolle mit nur wenigen Klicks bereitstellen lassen. Dabei wird weder die Leistung beeinträchtigt noch müssen kostspielige Appliances aufgerüstet werden.
SSL-Überprüfung mit SLA-gestützter Performance
SSL ist mittlerweile das Standardkommunikationsprotokoll, doch viele Bedrohungen wie Ransomware können sich im SSL-Traffic verbergen – und nutzen manchmal sogar andere Ports. Daher ist es unerlässlich, den gesamten Traffic zu überprüfen. Die SSL-Überprüfung stellt jedoch für Sicherheitsappliances weiterhin eine große Herausforderung dar. Der Traffic muss entschlüsselt, überprüft und letztlich erneut verschlüsselt werden, was mitunter zu erheblichen Leistungseinbußen bei Firewalls führen kann.
Die Zscaler Cloud Firewall, Teil der Zscaler Zero Trust Exchange™, überprüft den gesamten Traffic – alle Ports und Protokolle, einschließlich SSL – mit minimaler Latenz.
Wie groß ist der Unterschied, den Cloud-Sicherheit macht, wirklich?
Interessiert, aber noch unentschlossen? Organisationen, die den Umstieg von einer Legacy-Hub-and-Spoke-Architektur bislang nicht gewagt haben bzw. sich über die besten Möglichkeiten zur Absicherung lokaler Internet-Breakouts informieren möchten, können sich im Rahmen einer unverbindlichen Demo von den Vorteilen der Zscaler-Lösung überzeugen.