Secure SD-WAN – das ist was für andere

Hach, wie sich die Zeiten doch ändern. Einige unserer Leser werden sich noch an die Pieps- und Quietsch-Töne erinnern, die unsere ersten Modems von sich gegeben haben, um sich beim Internet Provider anzumelden? Abgerechnet wurde in Zeiteinheiten und als ISDN mit Kanalbündelung aufkam, ging es dann richtig ab im Internet.

Die Abhängigkeit von stabilen und leistungsfähigen Internet und WAN Verbindungen sind mit diesen Zeiten nicht mehr vergleichbar. Für die Lösung dieser Aufgaben bieten sich in der heutigen Zeit SD-WAN Services und Infrastrukturen an.
Ebenso wenig ist die Bedrohung für vernetzte Geräte mit der damaligen Zeit zu vergleichen, man schützt sich heute mit IT-Security Infrastrukturen oder Services. Eine Kombination beider Welten verspricht Secure SD-WAN.

Secure SD-WAN ist nicht mehr nur für grosse, multinationale Unternehmen interessant, auch kleinere Unternehmen stehen vor unterschiedlichen Herausforderungen. Salesforce und O365, Cloud Storage und Workloads aber auch Youtube für Marketing Abteilungen und Applikationen im zentralen Datacenter sind zu bedienen. Da liegt es nahe, unterschiedliche Leitungen mit unterschiedlichen SLAs und Bandbreiten zu verwenden, im Optimalfall können sich diese Leitungen gegenseitig gegen Ausfälle absichern und je nach Verwendung wird ein VPN darüber gelegt um die Kommunikation abzusichern. So kann es allenfalls gar lohnend sein, ohne weitere Aussenstellen sich über das Thema zu informieren und Szenarien für die eigene Situation zu skizzieren.

Eine Secure SD-WAN Lösung vereint die Gateway Security Anforderungen mit der Software basierten Steuerung der verfügbaren (Internet-)Leitungen. Die Anforderungen an die SD-WAN Komponente sind eine granulare, dynamische und Applikationsbasierte Steuerung der Pfade. Leitungs- und Leistungsmessungen und eine entsprechend dynamische Verteilung der Verkehrsflüsse. Notwendigerweise werden automatisiert VPN Verbindungen aufgebaut um den Verkehr zwischen den Firmenstandorten transparent verschlüsseln zu können.

Auf der Security Seite sind je nach Standort ausgehende wie auch eingehende Verbindungen zu managen. Intrusion Prevention, Application Control, URL Filtering und Malware Protection gehören zu den Basismechanismen, die nirgends fehlen dürfen. Funktionen, welche heute noch nicht allerorts im Einsatz sind – wie Isolation, Sandboxing und CASB – werden ebenfalls verlangt.
Nicht zuletzt muss soll die Lösung einfach zu managen sein und über Status und Events informieren. Die Log-Informationen müssen so aufbereitet sein, dass eine Verbindungs- oder Problemanalyse einfach möglich ist.

Wenn zwei oder wie in diesem Fall mit neuen Cloud und Saas Anwendungen gar drei Technologien zusammengeführt werden, gibt es unterschiedliche Lösungsansätze aus unterschiedlichen Richtungen:

• • SD-WAN Anbieter mit Security «on top»
  • Security Anbieter welche sich an SD-WAN Technologien «anflanschen»
  • Security Anbieter mit integrierter SD-WAN Technologie
  • Cloud first Anbieter, mit lokalen Service Einheiten

Sicherlich haben alle diese Ansätze ihre Daseinsberechtigung, zeigen jedoch auch die Maturität der Integration auf. Im Folgenden gehe ich je auf einen Vertreter der «integrierten SD-WAN» sowie der «Cloud first» Richtung ein.

Die aus meiner Sicht spannendsten Hersteller und Produkte möchte ich hier kurz anreissen. Die Auswahl ist rein subjektiv und durch einen ausgeprägten Security Fokus verklärt.

• • «Security Anbieter mit integrierter SD-WAN Technologie»
    Fortinet hat seit der Version 5.6 im Jahr 2017 SD-WAN Funktionalität in ihren Fortigates direkt integriert. Die Lösung mag sich zu Beginn technisch nicht mit den etablierten SD-WAN Produkten messen können, so hat sie in den letzten zwei Jahren grosse Fortschritte gemacht und lässt sich mittlerweile in vielen Szenarien sehr gut einsetzen. Die Integration direkt in die Firmware, die Übersichtlichkeit inklusive dem Logging sowie die einfache Bedienbarkeit lässt diese Lösung für viele potentielle «Einsteiger» in das SD-WAN Thema interessant werden. Auch «alte Hasen» im Bereich SD-WAN, welche sich Gedanken um einen zeitgemässen Schutz machen, sollten die Lösung genauer betrachten.

• • «Cloud first Anbieter»
    Zscaler, als einfacher Cloud Proxy gestartet, ist ein innovativer und mehr als ernstzunehmenden Hersteller im Security Bereich. Schon seit längerem lässt sich die Lösung von Zscaler in herkömmliche SD-WAN Lösungen integrieren. Next Generation Firewalling und die Ablösung von herkömmlichen Client VPN Verbindungen sind ebenfalls Teil der Lösung. Der Weg, den ZScaler dieses Jahr an der Zscaler Zenith in Lissabon gezeigt hat, ist klar. Mit einem Service Edge werden Aussenstellen an den ZScaler Dienst angebunden, VPN Verbindungen zwischen den Standorten ermöglichen den internen Datenaustausch und die Zscaler Cloud Lösung kümmert sich um den Rest der Verbindungen. Vielleicht ist Zscaler noch keine volle Ablösung für jegliche klassischen SD-WAN Produkte, die Richtung ist jedoch vorgegeben.

Meine Kollegen haben die zwei Lösungen auch schon mal ins Visier genommen und einen Blog-Post dazu verfasst. Wer mehr wissen will:
News zu Fortinet SD-WAN
Zscaler App zTunnel Version 2.0 – Facts & Deployment

Wer sich entscheiden kann, sollte unbedingt darauf achten, dass der Hersteller die Zeichen erkannt hat und sich in die richtige Richtung entwickelt. Bei Fortinet und bei Zscaler scheint dies klar der Fall zu sein. Nicht zuletzt finden sich die beiden Hersteller auch in der Liste der repräsentativen Hersteller, wenn es um SASE «cloud-delivered Secure Access Service Edge» geht, Gartner hat erst kürzlich einen entsprechenden Report veröffentlicht, es geht hierbei um die Verlagerung von Datacenter fokussierter Security hin zu einer zukunftsgerichteten Sicherheitsarchitektur. Noch bietet keiner der erwähnten Hersteller alle dafür notwendigen Funktionen in einer Suite vereint, aber das Rennen hat begonnen.

Secure SD-WAN von AVANTEC
New Gartner report on secure access service edge (SASE) (Registrierung erforderlich)