Juni 1, 2022
Von Michael Schneider - Sr. Manager, Produktmanagement, Skyhigh Security
"Funktionen sind schön und gut, aber am Ende des Tages geht es uns bei unserer Web- und Cloud-Sicherheit nur um die Architektur." - sagte kein Kunde jemals.
Tatsache ist, dass niemand gerne über Architektur spricht, wenn es um die neueste und beste Cybersicherheitstechnologie geht, und die meisten Unternehmen haben sich damit begnügt, neue Sicherheitstools und -funktionen in ihre bestehenden traditionellen Architekturen einzupassen. Digitale Transformationsprojekte wie die Cloud-Migration und der allgegenwärtige mobile Zugriff haben jedoch Risse in der Architektur aufgedeckt, und in vielen Unternehmen ist der Damm mit der explosionsartigen Zunahme der Nachfrage nach Fernzugriff in den letzten Monaten gebrochen. Infolgedessen setzen sich die Unternehmen mit der Erkenntnis auseinander, dass die digitale Transformation auch eine entsprechende Umgestaltung der Netzwerk- und Sicherheitsarchitektur erfordert.
Das Secure Access Service Edge (SASE) Framework bietet Unternehmen ein Modell für diese Transformation, indem es Netzwerk- und Sicherheitstechnologie in einem einzigen, aus der Cloud bereitgestellten Service zusammenführt, der einen schnellen, sicheren, zuverlässigen und kostengünstigen Zugang zu Web- und Cloud-Ressourcen gewährleistet. In diesem Blog konzentrieren wir uns auf Remote Offices und die Kombination von SD-WAN und Next-Generation Secure Web Gateway Funktionen, die Skyhigh SSE für die digitale Transformation ermöglichen kann.
Die Cloud und das architektonische Dilemma
In der Vergangenheit waren Unternehmen weitgehend auf eine begrenzte Anzahl von Standorten konzentriert. Anwendungen und Daten wurden auf Servern in einem zentralen Rechenzentrum im lokalen Netzwerk gehostet - in der Regel am oder in der Nähe des Hauptsitzes. Da die Benutzer in der Regel im Büro arbeiteten, befanden sie sich auch im Büro und griffen über dasselbe Netzwerk auf Unternehmensressourcen zu. Dieses Netzwerk war von einem Perimeter aus Sicherheitskontrollen umgeben, die den gesamten Datenverkehr, der in das Unternehmen hinein- oder aus ihm herausging, überprüfen konnten, um vertrauenswürdige Ressourcen zu schützen und gleichzeitig die bösen Jungs fernzuhalten. Fernanwender und Zweigstellen wurden über Technologien wie VPN, MPLS und Mietleitungen logisch mit diesem zentralen Netzwerk verbunden, so dass der sichere Netzwerkumfang aufrechterhalten werden konnte.
Während dieser Ansatz jahrelang ausgereicht hat, hat die digitale Transformation große Herausforderungen geschaffen. Anwendungen und Datenspeicher wurden in die Cloud verlagert, so dass sie sich nicht mehr im Unternehmensnetzwerk befinden. Logischerweise wäre es optimal, wenn Remote-Benutzer und -Büros direkten Zugriff auf Cloud-Ressourcen hätten, ohne den Umweg über das Unternehmensnetzwerk nehmen zu müssen. Dies würde jedoch dazu führen, dass die IT-Sicherheitsgrenze des Unternehmens vollständig umgangen wird, was bedeutet, dass die Sicherheitstransparenz und -kontrolle verloren geht, was zu inakzeptablen Sicherheits- und Compliance-Risiken führt.
Netzwerk- und Sicherheitsarchitekten stehen überall vor dem gleichen Dilemma: Wie lässt sich die digitale Transformation ohne größere Kompromisse am besten umsetzen? Unternehmen haben im Allgemeinen einen der vier folgenden architektonischen Ansätze verfolgt, je nach ihrer Bereitschaft, neue Technologien anzunehmen und sie zusammenzuführen.
Wir werden diese vier Optionen hier besprechen und sie anhand von vier Faktoren bewerten: Sicherheit, Geschwindigkeit, Latenz und Kosten. Die Ergebnisse werden zeigen, dass es nur einen Weg gibt, um einen schnellen, sicheren und kostengünstigen Zugang zu Web- und Cloud-Ressourcen zu erhalten.
Ansatz 1: STATUS QUO
Aufgrund des Risikos, die Sicherheitstransparenz und -kontrolle zu verlieren, haben sich viele Unternehmen geweigert, eine "Direct-to-Cloud"-Umstrukturierung zuzulassen. Selbst wenn also Hochgeschwindigkeits-Internetverbindungen die Benutzer direkt mit Cloud- und Web-Ressourcen verbinden könnten, muss bei diesem Ansatz der gesamte Datenverkehr über langsamere MPLS-Verbindungen zurück ins Unternehmensnetzwerk geleitet werden, um dann über eine einzige aggregierte Internet-Pipe wieder auf Web- und Cloud-Ressourcen zuzugreifen. Obwohl dies theoretisch die Sicherheitstransparenz und -kontrolle aufrechterhält, ist dies mit einem hohen Preis verbunden.
Zunächst einmal wird die Benutzerfreundlichkeit durch die schlechte Leistung stark beeinträchtigt. Die Bandbreite leidet unter der langsamen MPLS-Verbindung zurück zum Firmensitz sowie unter der überlasteten Internetverbindung des Unternehmens. Darüber hinaus führen die zusätzlichen Netzwerksprünge und die erhöhte Netzwerkkonkurrenz zu hohen Latenzzeiten. Dies hat sich in den letzten Monaten noch drastisch verstärkt, da der Umfang des Remote-Datenverkehrs, der über das Unternehmensnetzwerk abgewickelt wird, weit über die ursprünglichen Erwartungen hinausgegangen ist. Diese Faktoren berücksichtigen noch nicht einmal die potenziellen Auswirkungen von Serviceunterbrechungen, die durch die Einführung eines Single Point of Failure in der Netzwerkarchitektur verursacht werden.
Abgesehen von der schlechten Leistung ist dieser Ansatz auch mit spürbar höheren finanziellen Kosten verbunden. Mehrere MPLS-Leitungen, die Zweigstellen mit dem Rechenzentrum des Unternehmens verbinden, sind erheblich teurer als öffentliche Internetverbindungen. Um die Weiterleitung des gesamten Benutzerverkehrs zu ermöglichen, müssen Unternehmen außerdem ihre Investitionen in die Infrastruktur des zentralen Netzwerks und des Sicherheitsbereichs sowie in die Bandbreite der gemeinsam genutzten Internetleitung drastisch erhöhen.
Wir müssen also eine langfristige Antwort auf die Herausforderungen von Geschwindigkeit, Latenz und Kosten finden. Diese Überlegungen haben viele Netzwerkarchitekten dazu veranlasst, SD-WAN zu implementieren.
Ansatz 2a: DIREKT IN DIE WOLKE MIT SD-WAN
Der erste Schritt zur Bereitstellung einer Cloud-fähigen Architektur ist die Beseitigung des Engpasses, der dadurch entsteht, dass der gesamte Datenverkehr über langsame MPLS-Leitungen zum zentralen Netzwerk und dann zurück in die Cloud geleitet werden muss. Die SD-WAN-Technologie kann in dieser Hinsicht helfen. Durch den Einsatz von SD-WAN-Geräten am Rande des Zweigstellennetzes können optimierte Verkehrsrichtlinien erstellt werden, die den Datenverkehr über schnelle, kostengünstige Internetverbindungen direkt zu Web- und Cloud-Ressourcen leiten und gleichzeitig dieselbe Internetverbindung nutzen, um nur den an das Rechenzentrum gebundenen Datenverkehr über einen dynamischen Satz von VPN-Tunneln direkt zurück an das Unternehmensnetzwerk zu senden. WAN-Optimierung und QoS sowie verschiedene andere Edge-Netzwerk- und Sicherheitsfunktionen wie Firewall-Filter, die besser am Netzwerkrand ausgeführt werden sollten, sorgen für die schnellste und zuverlässigste Benutzererfahrung und minimieren gleichzeitig die Verkehrsbelastung des zentralen Netzwerks.
Durch den Einsatz von SD-WAN können Netzwerkarchitekten erhebliche Kosteneinsparungen erzielen, da teure MPLS-Verbindungen zurück zum Rechenzentrum des Unternehmens wegfallen. Außerdem sind die Benutzer nicht durch die viel geringere Bandbreite dieser MPLS-Leitungen eingeschränkt.
Dieses Modell hat jedoch auch große Nachteile. SD-WAN-Lösungen verfügen zwar über eine Reihe starker Flusskontrollfunktionen, die an jeden entfernten Standort verteilt werden können - einschließlich Firewalling, DNS-Schutz und Datenverschleierung -, aber sie haben nicht die gleichen robusten Funktionen zum Schutz von Daten und Bedrohungen, die Unternehmen in ihre Netzwerksicherheit eingebaut haben. Daher müssen Architekten immer noch den gesamten Datenverkehr über das Internet zurück ins Rechenzentrum leiten, selbst wenn dieser Datenverkehr letztendlich wieder ins Internet geleitet werden soll! Obwohl die Geschwindigkeit und Kosteneffizienz dieser Verbindung im Vergleich zum alten Modell erheblich verbessert wurde, stellt die Notwendigkeit, den Datenverkehr weiterhin über das Backhauling abzuwickeln, die gleichen Herausforderungen in Bezug auf Latenzzeiten und Staus dar.
Annäherung 2b: Skyhigh Security Service Edge
Wenn also Datenverkehrspfade zurück zum Rechenzentrum des Unternehmens verlaufen müssen, um die Sicherheitstransparenz und -kontrolle aufrechtzuerhalten, der Großteil der Ressourcen, auf die die Benutzer zugreifen, jedoch in der Cloud liegt, wäre es dann nicht sinnvoll, die Sicherheitskontrollen in der Cloud auf einem direkteren und sichereren Datenverkehrspfad zu platzieren? Hier kommt Skyhigh Security Service Edge ins Spiel.
Skyhigh SecurityDie Next-Gen Secure Web Gateway von Skyhigh SSE bietet einen Cloud-nativen, blitzschnellen, zu 99,999% zuverlässigen, hyper-skalierten Secure Edge. Durch die Konvergenz von SWG-, CASB- und DLP- sowie Remote Browser Isolation -Technologien stellt Skyhigh SSE sicher, dass Remote-Benutzer und -Büros ein Höchstmaß an Bedrohungs-, Daten- und Cloud-Anwendungsschutz sowie einzigartige proaktive Risikomanagement-Funktionen genießen, die sogar die Möglichkeiten eines herkömmlichen Sicherheitsrahmens vor Ort übertreffen.
Genauso wichtig wie die fortschrittlichen Sicherheitsfunktionen ist die Tatsache, dass Skyhigh SSE auf einer schnellen, zuverlässigen und skalierbaren Grundlage aufgebaut ist. Dank eines globalen Point of Presence (POP)-Netzwerks und einzigartiger Peering-Beziehungen kann Skyhigh SSE einen sicheren Hyper-Scale-Edge überall dort bereitstellen, wo Benutzer ihn benötigen. Trotz eines 240%igen Anstiegs des Datenverkehrs im Frühjahr 2020 war Skyhigh Security in der Lage, eine Verfügbarkeit von 99,999% aufrechtzuerhalten und alle in unseren SLAs festgelegten Latenzanforderungen zu erfüllen. Unternehmen konnten sich auch in den schwierigsten Zeiten auf unsere Infrastruktur verlassen und können dies auch in Zukunft tun.
Durch das Abonnieren einer erschwinglichen öffentlichen Internetverbindung am Standort der Niederlassung und die Verbindung mit Skyhigh SSE können Kunden viele der gewünschten Vorteile erzielen. Die umfassenden Funktionen zum Schutz von Daten, Bedrohungen und Cloud-Anwendungen werden den Sicherheitsanforderungen mehr als gerecht. Und für den Großteil des Benutzerverkehrs, der für das Web oder die Cloud bestimmt ist, sorgt die direkte Internetverbindung für einen schnellen Zugriff mit geringer Latenz.
Ohne den Einsatz von SD-WAN in Verbindung mit Skyhigh SSE benötigen Unternehmen jedoch weiterhin diese langsamen, teuren MPLS-Verbindungen, um die Konnektivität zu ihren alten Rechenzentrumsanwendungen und -ressourcen aufrechtzuerhalten. Daher können die Kunden keine Kosteneinsparungen erzielen, und die Verbindungen zu den Rechenzentrumsressourcen leiden unter den gleichen Geschwindigkeits- und Latenzproblemen. Und hier kommen wir endlich zur idealen Cloud-Sicherheitsarchitektur, indem wir Skyhigh SSE mit SD-WAN zusammenbringen.
Ansatz 3: Skyhigh Security SSE + SD-WAN = SASE
Durch die Zusammenführung von Skyhigh SSE und SD-WAN in einer nahtlos integrierten Lösung können Unternehmen SASE bereitstellen und eine Netzwerksicherheitsarchitektur aufbauen, die für das Zeitalter der Cloud geeignet ist. Skyhigh Security ermöglicht es Kunden, Skyhigh SSE mit praktisch jeder SD-WAN-Lösung durch robuste native Unterstützung für SD-WAN-Konnektivität zu konvergieren und dabei die Industriestandards Dynamic IPSec und GRE-Protokolle zu nutzen. Durch diese Integration profitieren Kunden von der gesamten Palette der wesentlichen SASE-Funktionen, wobei SD-WAN die integrierten Netzwerkfunktionen und SSE die Sicherheitsfunktionen bereitstellt. Skyhigh Security hat seine Vertriebspartner bei der erfolgreichen Durchführung gemeinsamer SD-WAN-Cloud-SWG-Projekte mit vielen der wichtigsten SD-WAN-Anbieter auf dem Markt unterstützt und über sein Integrationspartnerprogramm enge Allianzen mit den Branchenführern geschlossen.
Wie also erfüllt eine kombinierte UCE-SD-WAN-Lösung die vier Architekturanforderungen? Die Sicherheit wird eindeutig durch die Funktionen von Skyhigh Securityzum Schutz von Bedrohungen, Daten und Cloud-Anwendungen sowie durch die verteilten Firewall-Funktionen von SD-WAN gewährleistet. Durch die Nutzung einer einzigen schnellen Internetverbindung ist SD-WAN in der Lage, den Datenverkehr auf intelligente und effiziente Weise direkt an Cloud-Ressourcen oder zurück an das Rechenzentrum des Unternehmens zu leiten. Da Skyhigh SSE direkt in der Cloud für Sicherheit sorgt, kann SD-WAN den Web- und Cloud-gebundenen Datenverkehr direkt und ohne übermäßige Latenz weiterleiten. Kosteneinsparungen ergeben sich aus dem Wegfall der teuren MPLS-Leitungen, und da der Großteil des Datenverkehrs nicht mehr durch das Rechenzentrum des Unternehmens zurückgeführt werden muss, können zusätzliche Einsparungen durch die Reduzierung der zentralen Netzwerkbandbreite und Infrastrukturkapazität erzielt werden.
Bauen Sie noch heute eine Cloud-fähige Netzwerksicherheitsarchitektur auf
Die digitale Transformation stellt die nächste große technologische Revolution dar, und die Fähigkeit von Unternehmen, in die Cloud zu wechseln und ihren verteilten Mitarbeitern einen schnellen, sicheren, einfachen und zuverlässigen Zugang zu ermöglichen, wird wahrscheinlich darüber entscheiden, wie erfolgreich sie in der neuen Ära sind. SASE ist der beste Weg zu einer Direct-to-Cloud-Architektur, die keine Kompromisse bei Sicherheit, Transparenz und Kontrolle, Leistung, Komplexität oder Kosten eingeht. Durch die nahtlose Integration unserer Skyhigh SSE-Lösung mit SD-WAN war es für Unternehmen noch nie so einfach, SASE für entfernte Büros bereitzustellen. Dadurch profitieren die Benutzer von einer höheren Produktivität, das IT-Personal von einer größeren betrieblichen Effizienz und die Unternehmen von außergewöhnlichen Kosteneinsparungen durch eine konsolidierte Infrastruktur und optimierten Netzwerkverkehr.
Zurück zu Blogs