Redesign von WAN- und Internet-Zugängen

Kommentieren Drucken

Jahrelang wurden WAN- und Internet-Zugänge vieler Unternehmen weitgehend unabhängig voneinander geplant.

Das private Wide Area Network (WAN) dient per definitionem der Übertragung von Daten im Rahmen unternehmensinterner Applikationen. Unternehmen nutzen dagegen das Internet, um mit anderen Unternehmen, Kunden, Zulieferern und in einem Wort dem Rest der Welt zu kommunizieren. Auf den ersten Blick handelt es sich also um zwei verschiedene Einsatzgebiete. Die unabhängige Planung des WAN und der Internet-Zugänge schien daher einleuchtend. Jetzt ändert sich dies.

Rasantes Internet-Wachstum

Wer kennt das nicht: Auf immer mehr Webseiten im Internet laufen kleine Filmchen im Hintergrund. Meistens handelt es sich dabei um Werbung. Ob man sie haben will oder nicht, Video ist im Internet zum Alltag geworden. Die Bildauflösung wird dabei immer besser. Es ist klar: wer will schon mit groben Pixeln für das eigene Produkt werben?

Das Ganze hat aber einen Preis: Verkehrsvolumen. Das Internet muss vor allem aufgrund von immer mehr und immer höher auflösenden Bildern ständig aufgerüstet werden. Dies gilt sowohl für die Backbones der Internet Service Provider (ISPs) als auch für die Zugänge der Kunden. Die ISPs müssen diese ständige Ertüchtigung ihrer Netze fast vollständig über die Gebühren finanzieren, die sie für die Internet-Zugänge bekommen. Bekanntlich bekommen die ISPs kaum etwas von dem Kuchen ab, den die Werbewirtschaft spendiert. Dieser Kuchen geht fast vollständig an Google & Co. Haben Sie aber schon mal erlebt, dass Google Ihr Gebäude mit Glasfasern anbindet? Sie müssen diese Anbindung bezahlen, und zwar über den Preis, den Sie an Ihren ISP entrichten. Der ISP muss aber auch an seine künftigen Geschäfte denken. Er muss – und das ist gar nicht so böswillig wie es klingt – für eine künstliche Verknappung des Netzdurchsatzes sorgen, damit Sie auch morgen und übermorgen ihn bezahlen, und zwar für mehr Netzdurchsatz.

So kommt es, dass der Durchsatz des Internet-Zugangs immer wieder auf eine Grenze stoßen muss. Dann wenden Sie sich an den ISP, egal ob als Endverbraucher oder Unternehmen, und bekommen meistens für mehr oder weniger die gleichen Monatsgebühren mehr Netzdurchsatz. Bis zu einem bestimmten Durchsatzwert geht das über bereits vorhandene Kabel, meistens klassische Kupferkabel, die jahrzehntelang zum Telefonieren genutzt worden sind. Die über Telefonkabelanschlüsse übertragbare Bitrate wurde in den letzten zwanzig Jahren von ein paar hundert Kilobits pro Sekunde auf jetzt ein paar hundert Megabits pro Sekunde erhöht. Aber irgendwann sind die Grenzen der Physik erreicht, und man braucht Glasfasern. Sind diese erst mal verlegt, wird die maximale Bitrate nur noch durch die eingesetzten aktiven Komponenten bestimmt, nach oben praktisch unbegrenzt.

Aber selbst mit Glasfasern muss der ISP den Netzdurchsatz auf der Internet-Zuleitung begrenzen. Und da die Provider ihre Netze und den Bedarf ihrer Kunden gut messen können, sorgen sie dafür, dass die Zuleitung für den einzelnen Kunden nur bezahlbar bleibt, wenn sich der Kunde auf eine Durchsatzgrenze einlässt. Diese Grenze wird im Moment immer schneller erreicht. Und schon kann der Provider Abhilfe schaffen, in der Regel mit viel mehr Durchsatz, und wenn er geschickt ist für etwas mehr Geld.

Diesen Zyklus erleben Endverbraucher und Unternehmen gleichermaßen. ComConsult berät letztere als eigene Kunden. Rein statistisch ist es einleuchtend, was unsere Kunden zurzeit erleben: Es gibt immer einen bestimmten Prozentsatz unserer Kunden, bei denen die Bitrate des Internet-Anschlusses ausgeschöpft ist. Einige sehen nicht ein, dass sie nach einer gar nicht so lange zurückliegenden Aufrüstung schon wieder mehr Durchsatz für den Internet-Anschluss bestellen müssen. Sie fragen uns regelmäßig an, was man sonst tun kann. Andere wiederum führen die Symptome erst einmal nicht auf die häufigste Ursache zurück, und stellen nur fest, dass wichtige auf das Internet angewiesene Anwendungen, zum Beispiel Virtual Private Networks (VPNs) immer mehr beeinträchtigt werden. Hier ein Tipp: Meistens liegt das daran, dass entweder am nahen oder am entfernten Ende zu viele Pakete verworfen werden, weil die Kapazität eines Zugangs ausgeschöpft ist.

Noch schlimmer trifft es Unternehmen, die aus Sicherheitsgründen ihren gesamten Internetverkehr über einen zentralen Zugang wie in der Bild 1 dargestellt führen.

Wie in der Bild 1 ersichtlich wird bei einem zentralen Internetzugang der Internetverkehr teilweise über das WAN geführt. Dies ist dann der Fall, wenn der Standort des zentralen Internetzugangs vom Standort des mit dem Internet kommunizierenden Gerätes aus nur über das WAN erreichbar ist. In diesem Fall muss das Unternehmen die Zunahme des Internetverkehrs doppelt bezahlen: durch die Erhöhung der Kapazität der Internetleitung selbst und zusätzlich durch mehr Volumen im privaten WAN.

Letzteres ist meistens wesentlich teurer als über das Internet zu übertragendes Volumen. Auch beim WAN müssen die Provider an die eigene Zukunft denken, indem sie ihren Kunden nicht endlos Netzdurchsatz spendieren, sondern nur wohl dosiert. Aus mehreren Gründen ist der Preis dafür wesentlich höher als im Internet:

  • Erstens gibt es im WAN-Markt weniger Wettbewerb als im ISP-Markt.
  • Zweitens wird das WAN von vielen Unternehmen für sehr geschäftskritische Anwendungen genutzt, sodass die Unternehmen bereit sind, mehr Geld dafür auszugeben.
  • Drittens erwarten die Kunden vom Betreiber einer privaten WAN-Plattform, dass er viel strengere Service Level Agreements (SLAs) einhält als ein ISP. Das bindet Ressourcen sowie Personal und kostet Geld.
  • Viertens gibt es bei einer privaten WAN-Plattform kein so dichtes Netz an Points of Presence (PoP), sodass die Zuleitungen länger und teurer sind.

So kommt es, dass das rasante Internet-Wachstum für viele Unternehmen nicht nur direkte, sondern auch indirekte Kosten, nämlich WAN-Kosten, verursacht. Die indirekten Kosten betragen in nicht wenigen Fällen ein Vielfaches der direkten Kosten.

Wie aus der Bild 1 hervorgeht, gibt es nicht nur ein Kostenproblem. Unternehmen, die Standorte in verschiedenen Kontinenten haben und den Internet-Verkehr teilweise über Grenzen der Kontinente hinweg im WAN übertragen müssen, kennen das Phänomen, dass darunter die Antwortzeiten beim Internetzugriff leiden. Dieser Verkehr wird nämlich zweimal über ein weltweites Netz geführt, über das WAN und das Internet. Dementsprechend summiert sich die Signalübertragungszeit. Hier hilft auch keine Bitratenerhöhung. Die Ausbreitungsgeschwindigkeit optischer und elektrischer Signale ist endlich. Die Grenze liegt, wenn nicht gerade das Vakuum als Medium genutzt wird, wesentlich unter den aus dem Physikunterricht bekannten 300.000 Kilometern pro Sekunde. Im Glas breitet sich Licht mit ungefähr 200.000 Kilometern pro Sekunde aus. Interkontinentale Kabelwege können zehntausende Kilometer lang sein. Hin und zurück kommt man dann auf mehrere hundert Millisekunden. Nicht bei jeder Applikation sind solche Werte zu vernachlässigen.

Wäre das Internet für die Geschäftsprozesse der meisten Unternehmen relativ unwichtig wie es vor vielleicht zwanzig Jahren war, könnte man über schlechte Performance von Internet-Anwendungen hinwegsehen. Die Situation hat sich aber in den letzten zwei Jahrzehnten in vieler Hinsicht geändert. Auf einige Veränderungen sei hier hingewiesen:

  • Der Alltag vieler Arbeitsplätze in Unternehmen ist durch das Internet geprägt. Ob man eine Information dringend benötigt, die am schnellsten über das Internet eingeholt werden kann, oder die nächste Dienstreise planen will: Ohne Internetzugriff kommt man nicht mehr aus.
  • Viele Unternehmen wickeln ihre Geschäfte über das Internet ab. Vor zwanzig Jahren für viele in der Automobilindustrie unvorstellbar: Heute kann es existenzgefährdend sein, wenn man zwar dank einem stabilen internen Netz Autos am laufenden Band produzieren kann, diese aber von vielen Kunden nicht bestellt werden können, weil die Internetverbindung unterbrochen, langsam oder unzuverlässig ist.
  • Viele Unternehmen verlagern Standardanwendungen wie Büroapplikationen in öffentliche Clouds. Antwortzeiten solcher Anwendungen hängen direkt von der Performance des Internetzugangs ab.

Neuer Trend: Dezentrale Internetzugänge

Um das für viele wichtige Prozesse lebenswichtige private WAN als eine relativ teure Ressource zu entlasten und die Performance des Internetverkehrs zu verbessern, rücken viele Unternehmen vom bisher strikt zentralen Internetzugang ab. Insbesondere für weltweit agierende Unternehmen sind dezentrale Internetzugänge der neue Trend. Bild 2 zeigt einen solchen Ansatz.

Wie aus der Bild 2 hervorgeht, kann ein Standort sowohl mit dem privaten WAN als auch mit dem Internet verbunden sein. Der Zugriff auf Inhalte und Anwendungen im Internet muss dabei nicht über das WAN geführt werden. Das WAN wird entlastet. Der WAN-Zugang muss nicht aufgrund des rasanten Wachstums des Internetverkehrs ständig aufgerüstet werden. Die Anwender erleben bessere Antwortzeiten von Internet-Anwendungen, weil dafür der kürzeste Übertragungsweg über einen lokalen Internetanschluss genutzt wird.

Scheut man den Aufwand für den Betrieb und die Absicherung einer Vielzahl von Internetzugängen, muss man es mit der Dezentralisierung der Internetzugänge nicht übertreiben. Manchmal hilft es schon, wenn man pro Kontinent bzw. Weltregion einen Internetanschluss betreibt, der von allen Standorten der Region genutzt wird. Eine wichtige Voraussetzung für einen solchen Kompromiss besteht darin, dass in der jeweiligen Region die Summe aus den Betriebskosten für einen leistungsfähigen, sicheren Internetzugang sowie den Mehrkosten durch die Nutzung des regionalen WAN für den Internetverkehr niedriger ist als die Betriebskosten für mehrere genauso gut abgesicherte Internetzugänge.

Bleibt die IT-Sicherheit auf der Strecke?

„Genauso gut abgesicherte dezentrale Internetzugänge“ bleibt für viele Entscheider in Unternehmen ein Widerspruch in sich. Nicht von ungefähr haben sie manchmal in einem mühsamen Prozess dafür gesorgt, dass der Zugriff auf das Internet zentralisiert und über eine „Perimeter Security“ genannte Umgebung mit Firewalls, Proxies, Virenscannern etc. geführt wird. Lockert man diese strikte Richtlinie, ist die Gefahr nicht von der Hand zu weisen, dass die Mehrzahl der neuen Internetzugänge an irgendeiner Stelle Risiken und Angriffen aus dem Internet Tür und Tor öffnet. An solchen Risiken der Internetnutzung gibt es wahrlich nicht wenig, sondern immer mehr. Man muss nur täglich Nachrichten verfolgen um das zu wissen.

Bleibt also bei der Dezentralisierung oder Regionalisierung der Internetzugänge die IT-Sicherheit auf der Strecke? Ist weniger Sicherheit der Preis, den man für zunehmenden Internet-Verkehr und die Lösung von Performance-Problemen zahlen muss?
Von einem IT-Berater erwarten Sie, liebe Leserinnen und Leser, doch nicht, dass er diese Frage bejaht. Nein, Sie erwarten von ihm, dass er eine Lösung aufzeigt, die gleichzeitig leistungsfähig und sicher ist.

Das will der Berater hier versuchen. Dabei kann er gleich mehr als nur eine Lösung aufzeigen. Dass keine Lösung zum Nulltarif zu haben ist sollte einleuchten.

Die erste Lösung, die einem einfällt, ist die bereits erwähnte Regionalisierung als Kompromiss zwischen den beiden Extremen der absoluten Zentralisierung und der vollständigen Dezentralisierung. Ist die Anzahl der regionalen Internetzugänge überschaubar, kann man sie einheitlich und mit den gleichen Sicherheitskomponenten ausstatten. Egal ob Firewalls, Proxies oder Virenscanner: der Anspruch muss lauten, dass diese Komponenten trotz der geografischen Verteilung demselben Management unterliegen und mit denselben Regeln konfiguriert werden. Dieser Anspruch wird von so vielen Unternehmen erhoben, dass die führenden Hersteller dieser Komponenten nicht umhinkommen diese Anforderung zu erfüllen. Zu jedem für den Unternehmenseinsatz tauglichen Firewall-, Proxy- oder Virenschutzsystem gehört heutzutage ein zentrales Management, mit dem die Regeln auf mehreren Instanzen solcher Systeme einheitlich konfiguriert und kontrolliert werden können.

Die wichtigsten Vorteile dieser Lösung sind die folgenden:

  • Die bewährten Erfahrungen aus dem Betrieb von eigenen zentralen Sicherheitskomponenten kann man weiter nutzen. Man muss die Konzepte nur leicht anpassen.
  • Die Sicherheit von Internetzugängen bleibt in eigener, zentraler Hand.
  • Die Performance der Internetzugriffe leidet nicht mehr unter Signallaufzeiten zwischen verschiedenen Kontinenten.

Aber dieser Ansatz hat auch einige Nachteile:

  • Die Beschaffungskosten für Perimeter Security steigen durch die Regionalisierung wesentlich.
  • Der Internetverkehr belastet zumindest innerhalb der Regionen das WAN.
  • Hat man Standorte, die sich in verschiedenen Zeitzonen arbeiten, muss man einen zentralen Betrieb aufrechterhalten, der die zunehmenden Ansprüche an die Verfügbarkeit der Internetzugänge erfüllt. Nicht selten sind dafür First und Second Level Support rund um die Uhr erforderlich.
  • Zunehmende Probleme mit dem klassischen Ansatz der Absicherung des Internetzugangs bleiben ungelöst. Trotz der konsequenten Nutzung einer eigenen Umgebung für die Absicherung des Internetzugangs ist es in den letzten Jahren immer wieder zu Sicherheitsvorfällen durch Internetnutzung gekommen. Dies ist vor allem darauf zurückzuführen, dass die Risiken und Angriffsmuster im Internet immer komplexer werden und vor allem neue Angriffsmuster mit einer im Alleingang betriebenen Sicherheitsumgebung kaum entdeckt werden können.

Und so kommt es, dass viele Unternehmen eine andere Lösung wählen.

Internet-Sicherheit aus der Cloud

Sowohl Hacker, die es gezielt auf ein Unternehmen abgesehen haben als auch automatisch in großem Maßstab verbreitete Schadprogramme nutzen meistens die Schwächen und Sicherheitslücken verbreiteter Software wie Betriebssysteme, Browser und Standardanwendungen. Der bisherige Kampf gegen solche Angriffe basierte auf einem reaktiven Ansatz. Sobald ein solches Angriffsmuster bekannt wird, muss man entweder selbst tätig werden oder auf eine entsprechende Reaktion eines Herstellers warten. Ersteres geschieht, indem man zum Beispiel eine neue Regel auf Firewalls oder Proxies einstellt. Schlimmer ist der Fall, in dem eine solche neue Regel nicht möglich ist, weil sie automatisch auch die legitime und erforderliche Nutzung beeinträchtigt. Nicht selten ist man zum Beispiel darauf angewiesen, dass der Browserhersteller durch eine entsprechende Programmierung die Sicherheitslücke schließt.

In der IT-Sicherheitsgemeinde gibt es aber schon seit über zwei Jahrzehnten auch einen anderen Ansatz. Wenn die Nutzergemeinde groß genug ist, kommt die Lösung – zum Beispiel bei Einsatz von Open Source – aus der Gemeinde selbst. Und das oft viel schneller als ein einziger Hersteller überhaupt sein kann.

Ein Aspekt dabei ist die Möglichkeit, Open Source Software selbst verändern zu können. Ein anderer Aspekt ist aber auch der Vorteil, der auf die Größe der Gemeinde zurückzuführen ist. Indem viele betroffen sind, suchen entsprechend viele eine Lösung. Sie wird so schneller gefunden.

Zwei Faktoren spielen dabei eine wesentliche Rolle: erstens die Bündelung der IT-Sicherheitskompetenz einer großen Gemeinde und zweitens die erhöhte Wahrscheinlichkeit der Entdeckung von Sicherheitslücken durch die Größe der Gemeinde.

Man stelle sich vor, dass viele Unternehmen sich zusammenschließen, ihre Expertise bündeln und sofort nach Bekanntwerden eines Sicherheitsvorfalls irgendwo in einem der Unternehmen eine Lösung herbeiführen. Die Lösung kann weniger komplex sein, zum Beispiel indem man Phishing Mails mit einem neuen Filter auf deren Quelle bekämpft, oder komplexer, zum Beispiel indem man ein Angriffsmuster erkennt und blockiert. So funktioniert übrigens der bewährte Ansatz von Computer Emergency Response Teams (CERTs) schon seit Jahrzehnten.

Nun kann ein Unternehmen dies auch als kommerzielles Angebot gestalten. Es kann eine Art Cloud realisieren, über die der Zugriff vieler Unternehmen auf das Internet geführt wird. Sicherheitskomponenten wären dann in dieser Cloud angesiedelt. Von der Erfahrungen jedes angeschlossenen Unternehmens mit Sicherheitsvorfällen profitieren sofort auch alle anderen. In der großen Cloud werden Angriffsmuster schneller erkannt als in einzelnen Unternehmen.

Das ist die Idee hinter Internet-Sicherheit aus der Cloud, vereinfacht dargestellt in der Bild 3.

Wie aus der Bild 3 hervorgeht, kann bei direktem Anschluss jedes Standortes an das Internet eine einfache Regel dafür sorgen, dass über diesen Anschluss nur die Security Cloud erreichbar ist. Der Zugriff auf jedes Ziel im Internet erfolgt über diese Security Cloud. Diese muss natürlich die entsprechende geografische Verteilung aufweisen. Sonst kommt es zu ungünstigen Übertragungspfaden, die mit zu langen Antwortzeiten verbunden sind. Je mehr Kunden die Cloud nutzen, umso dichter wird in der Regel das PoP-Netz des Cloud-Anbieters sein. Die größere Kundengemeinde hat auch Sicherheitsvorteile, wie bereits erwähnt.

Was für den ausgehenden Internetzugriff erst seit wenigen Jahren üblich geworden ist, gibt es für den eingehenden Internetzugriff bereits seit fast zwei Jahrzehnten – aber aus anderen Gründen. Content Distribution Networks, kurz CDNs, sind nichts anderes als Clouds, die das Internet überlagern. Sie sorgen dafür, dass der über das Internet erreichbare Inhalt „näher zum Anwender“ verlagert wird. Der Kunde, der einen Konfigurator für sein neues Auto nutzt, greift darauf oft über ein CDN zu. Das CDN ist unter anderem ein Zwischenspeicher für die bunten, schönen, hoch auflösenden Bilder. Diese müssen nicht den langen Weg vom zentralen Server des Automobilherstellers bis zum Kaufinteressenten am anderen Ende der Welt zurücklegen, sondern stehen in dessen Region abrufbereit im CDN, heute sagt man in der Cloud.

Aber die Funktion der Internet Security Cloud ist in erster Linie nicht die Zwischenspeicherung voluminöser Inhalte. Einige führende Anbieter solcher Clouds haben überhaupt keine Caches in ihrer Lösung implementiert. Die Hauptfunktion einer solchen Cloud besteht nämlich darin, Sicherheit und günstige Übertragungswege miteinander zu verbinden.
Von einigen Eigenschaften und Funktionen einer solchen Cloud wollen viele Unternehmen gleichermaßen profitieren. Ein Beispiel hierfür ist die Abwehr von neuen Angriffsmustern. Aber Unternehmen agieren unterschiedlich und haben ihre eigenen Richtlinien. Ein Unternehmen kann seinen Mitarbeitern den Zugriff auf soziale Netzwerke erlauben, während ein anderes vorzieht, einen solchen Zugriff zu unterbinden. Daher muss die Nutzung der Cloud an die Richtlinien und Regeln einzelner Kunden anpassbar sein, am besten über ein kundenspezifisches Administrationsportal.

Ist eine Internet Security Cloud die beste Lösung für alle Unternehmen, eine Art Allheilmittel? Die Antwort ist ein eindeutiges Nein. Nicht jedes Unternehmen ist mit der adäquaten Absicherung des selbst betriebenen Internetzugangs überfordert. Nicht jedes Unternehmen hat weltweit verteilte Standorte, die von der Cloud profitieren würden. Und einige Bedenken gegen die Nutzung einer solchen Cloud sind ernst zu nehmen:

  • Unabhängig davon, ob man die Authentisierungsdaten für einzelne Anwender im eigenen Netz hält oder in der Cloud, ist der Cloud-Anbieter in der Lage, einiges über die Kommunikationspartner und Internet-Datenströme seiner Kunden in Erfahrung zu bringen. Ein ISP kann das auch. Aber der ISP unterliegt möglicherweise anders als der Betreiber der weltweiten Cloud der Gesetzgebung des eigenen Landes.
  • Mit der Cloud-Nutzung sind Kosten in der Regel proportional zur Anzahl der Anwender verbunden. Diese können höher als die Kosten für eine eigene Lösung sein, je nach Szenario.
  • In der Fehlersuche ist man auf die kompetente und schlagfertige Mitwirkung des Cloud-Anbieters angewiesen.

Neue Ansätze zur Erhöhung der WAN-Verfügbarkeit

Damit nicht der Eindruck entsteht, dass der Bedarf am Redesign von WAN- und Internet-Zugängen auf Szenarien beschränkt ist, in denen die Nutzung einer Internet Security Cloud sinnvoll ist, müssen wir hier auch auf neue Ansätze zur Erhöhung der WAN-Verfügbarkeit eingehen.
Viele Unternehmen sind mit der Verfügbarkeit ihres privaten WAN trotz abgeschlossener SLAs nicht zufrieden. Bei Verletzung von SLAs muss der Provider bestenfalls eine Vertragsstrafe nur in Höhe eines Bruchteils des Produktivitätsausfalls zahlen, der mit einem WAN-Ausfall einhergeht. Selbst wenn der Provider das SLA penibel einhält, ist angesichts der wachsenden Bedeutung des WAN für Unternehmen jeder WAN-Ausfall ein Ärgernis. Jede wesentliche Erhöhung der Service-Qualität, zum Beispiel Erhöhung der prozentualen Verfügbarkeit oder Verkürzung der Obergrenzen für die Entstörungszeiten, ist meistens mit erheblichen WAN-Mehrkosten verbunden.

Deshalb implementieren immer mehr Unternehmen neue Ansätze zur Erhöhung der WAN-Verfügbarkeit. Diese Ansätze basieren darauf, dass das Internet in allen Ländern immer leistungsfähiger und als Bestandteil der kritischen Infrastruktur immer zuverlässiger werden muss. Ergänzt man das private WAN um davon unabhängige Übertragungswege über das Internet, bekommt man ein Gesamtkonstrukt, das eine höhere Verfügbarkeit aufweist als jeder einzelne Zugang zum WAN oder Internet.

Abbildung 4 stellt diesen Ansatz dar. Dabei wird ein Standort-Netz (Local Area Network, LAN) sowohl mit dem privaten WAN als auch mit dem Internet verbunden. Über beides – privates WAN und Internet – kann ein Standort-LAN mit dem Rechenzentrum (RZ) des Unternehmens verbunden werden. Dieses Konstrukt mit unabhängigen parallelen Wegen weist in der Regel eine höhere Verfügbarkeit auf als jeder einzelne der Pfade. Die für den Anschluss des Standortnetzes an die beiden Weitverkehrsnetze eingesetzten Komponenten müssen folgende Funktionen erfüllen:

  • VPN: Die Komponenten müssen ein Virtual Private Network über das Internet terminieren.
  • FW: Eine (wenn auch rudimentäre) Firewall-Funktion ist erforderlich, um das Standortnetz vor Angriffen aus dem Internet zu schützen.
  • PBR: Policy-Based Routing kann ermöglichen, dass Kommunikationsströme verschiedener Anwendungen auf die beiden Übertragungswege verteilt werden. So kann zum Beispiel die Übertragung von E-Mails über das Internet-VPN das private WAN entlasten.

Nachteilig in der Konstellation gemäß Bild 4 sind vor allem die folgenden Umstände:

  • Man braucht neue Komponenten mit den genannten Funktionen und Eigenschaften.
  • Das Management des Netzes wird komplexer.

Folgt man dem in der Abbildung 4 dargestellten Ansatz, kommt man dafür in den Genuss folgender Vorteile:

  • Erhöhung der Gesamtverfügbarkeit der Anbindung eines Standortnetzes
  • Entlastung des privaten WAN, in dem Übertragungskapazität in der Regel wesentlich teurer als im Internet ist
  • Beschleunigung der Antwortzeiten von Anwendungen im privaten WAN, weil dieses ein Stück weit entlastet wird
  • Erhöhung der WAN-Sicherheit, denn die eingesetzten Komponenten können neben dem Internet- auch den WAN-Verkehr verschlüsseln
  • Reduzierung der Kosten für das private WAN, indem man statt der bisher hohen SLAs und der doppelten WAN-Anbindung eine preiswertere einfache Anbindung einsetzt, die durch die Internet-Verbindung abgesichert wird
  • Möglichkeit des direkten Zugriffs auf das Internet zum Beispiel durch Nutzung einer Internet Security Cloud

Split Tunnel: Ja oder Nein?

Letzteres erfordert jedoch die Abkehr von dem in vielen Unternehmen etablierten Prinzip, das im Zusammenhang mit Internet VPN keinen sogenannten Split Tunnel vorsieht. Die Abneigung gegen den Split Tunnel ist auf Sicherheitsbedenken zurückzuführen. Ein Internet-Zugang gilt als relativ sicher, wenn darüber ausschließlich ein VPN-Tunnel gebildet wird. Am VPN-Tunnel vorbei erlaubt der VPN Gateway keinerlei Kommunikation, wie in der Abbildung 5 dargestellt. In diesem Fall kann es keinen direkten Zugriff aus dem Standortnetz auf das Internet geben. Der „Ausbruch“ (Break-out) in das Internet ist nur am zentralen Ende des VPN-Tunnels möglich, wo der Internet-Zugriff über eine Sicherheitsumgebung geführt wird.

Jahrelang war die in der Bild 5 dargestellte Konstellation die favorisierte Variante in der Gestaltung von Internet-VPNs. Dagegen ist nach wie vor nichts einzuwenden, wenn sämtlicher Zugriff auf das Internet über zentrale oder regionale Anschlüsse erfolgt. Soll aber ein lokaler Internetanschluss auch für Zugriffe auf fremde Inhalte im Internet genutzt werden, ohne dass der möglicherweise lange Umweg über den zentralen oder regionalen Internetanschluss genommen werden soll, muss der direkte Zugriff am VPN-Tunnel vorbei ermöglicht werden.

Dies ist in der Bild 6 dargestellt. In dieser Konstellation dient der Internet-Anschluss des Standortnetzes zwei Zwecken: zum einen der Nutzung durch den VPN-Tunnel, der den Standort mit den Ressourcen im RZ des Unternehmens verbindet, und zum anderen dem direkten ausgehenden Zugriff des Standorts auf das Internet. Abbildung 6 zeigt ein Split-Tunnel-Szenario mit eigenen lokalen Sicherheitskomponenten wie Proxies. Das Prinzip bleibt aber dasselbe, wenn man statt einer eigenen Sicherheitsumgebung die entsprechenden Funktionen in einer Internet Security Cloud nutzt.

Fazit

Es gibt neue Entwicklungen im Internet, die ein Redesign des Gesamtkonstrukts aus WAN- und Internet-Zugängen gleichzeitig erzwingen und ermöglichen. Einerseits wächst der Internetverkehr so stark, dass es oft nicht mehr wirtschaftlich ist, dafür teure Kapazitäten im privaten WAN zu belegen. Diese sollten Applikationen vorbehalten bleiben, die anders als der Internetzugriff meistens ein moderates Verkehrsvolumen aufweisen, aber so wichtig sind, dass man dafür hochverfügbare, mit SLAs abgesicherte Netzstrukturen braucht.

Andererseits wird das Internet zunehmend zu einer kritischen Infrastruktur, die immer leistungsfähiger und zuverlässiger werden muss. Es liegt nahe, diese Infrastruktur auch für die standortübergreifende Kommunikation des eigenen Unternehmens zu nutzen.

Keine zeitgemäße Planung der standortübergreifenden Kommunikation kann daher WAN- und Internet-Zugänge isoliert betrachten, wie es in vielen Unternehmen jahrelang üblich war. Die beiden Infrastrukturen werden immer mehr zu Bestandteilen einer Gesamtstruktur.

zugeordnete Kategorien: Archiv, Klassiker
zugeordnete Tags:

Sie fanden diesen Beitrag interessant? Sie können



Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.