Konnektivität der Zukunft

Sicher - Aktuell - Zuverlässig!

Netzwerk der Zukunft

Das IT Netzwerk der Zukunft ist, angetrieben durch die Cloud, zwangsweise eine Konnektivität ins Internet. Die Komplexität des lokalen Netzwerkes wird drastisch reduziert.
Die Zukunft ist Wireless und Mobil. Mit WiFi 6 und 5G wird es von überall möglich sein auf die Clouddienste zuzugreifen und das mit schnellen und zuverlässigen Zugriffszeiten, ohne langes warten. Die Aufgabe vom Netzwerk bedeutet heute, viele mobile Geräte zuverlässig und sicher mit dem Internet zu verbinden. Der Benutzer greift mit seinem “Modern Workplace” auf viele Cloudbasierte Anwendungen zu. Echtzeit Applikationen wie Videokonferenzen oder Telefonie können zur Herausforderung werden. Hier bemerkt man Engpässe im Netzwerk sehr schnell. Das Netzwerk der Zukunft muss Disziplinen wie SD WAN, SASE und Zero Trust beherrschen, um für Hybrid- und Cloud-Szenarien gerüstet zu sein.

Was bedeutet SASE?

SASE steht für “Secure Access Service Edge”. SASE ist ein Sicherheits Framework, welches der digitalen Transformation von “On Premise” zur “Cloud” Rechnung trägt.

Entscheidet man sich für eine Cloud Strategie, sind plötzlich die Mehrheit der Daten ausserhalb des eigenen Netzwerkes bei Cloudanbietern. Die bisherigen Sicherheitsmassnahmen zur Absicherung des eigenen Netzwerkperimeters sind in so einem Szenario nicht wirksam.

SASE gibt eine ganzheitliche Sicht auf die Probleme von morgen und bietet Lösungsansätze. Dabei kommen Technologien wie SD-WAN, SWG (Secure Web Gateway), CASB (Cloud Access Security Broker), ZTNA (Zero Trust Network Access) zum Einsatz.

MPLS Netzwerke waren gestern und machen in einer Hybrid oder Cloud zentrischen Welt keinen Sinn mehr.

Was ist SD WAN? Ist SD WAN ein VPN?

SD WAN steht für Software Defined Wide Area Network. Ist SD WAN ein VPN? Ja und Nein. SD WAN ist mehr als ein VPN. Mit SD WAN lassen sich Bürostandorte verbinden. Es können auch mehrere Internetanschlüsse gleichzeitig genutzt werden oder es kann MPLS mit Internet kombiniert werden.

Mit SD WAN lässt sich auch sehr viel mehr machen, zum Beispiel kann der Netzwerkverkehr regelbasiert gesteuert werden. Basierend auf Messgrössen wie Latenzzeit, Paketverlust und Jitter kann definiert werden, welchen Weg der Netzwerkverkehr nehmen soll. So können Echtzeitapplikationen wie Telefonie, Video oder Remote Desktop einen anderen Weg nehmen als der restliche Verkehr ins Internet.

Mittels SD WAN lässt sich der Netzwerkverkehr auch priorisieren, damit geschäftskritische Applikationen Vorrang erhalten sollen, gegenüber anderen Applikationen. So lassen sich beliebige Regeln rein softwarebasiert erstellen.

Mit der folgenden Grafik wird SD WAN einfach erklärt:

Was ist SWG? Was ist der Unterschied zwischen Firewall und SWG?

SWG steht für Secure Web Gateway und ist viel mehr als eine einfache Firewall. Der SWG beinhaltet zusätzlich zur reinen Firewall meistens noch Module für das URL Filtering, Intrusion Detection und Prevention, Advanced Malware Protection, sichere DNS abfragen, geobasierte Regeln und so weiter. Mit den SWG’s kann auch verschlüsselter Netzwerkverkehr inspiziert und auf Anomalien untersucht werden.

Was ist CASB? CASB und Microsoft?

CASB steht für Cloud Access Service Broker. Cloud Access Security Broker sind lokale oder Cloud-basierte Stellen zur Durchsetzung von Sicherheitsrichtlinien, die zwischen Cloud-Service-Nutzern und Cloud-Service-Anbietern platziert werden, um die Sicherheitsrichtlinien des Unternehmens beim Zugriff auf die Cloud-basierten Ressourcen zu kombinieren und durchzusetzen. CASBs konsolidieren mehrere Arten der Durchsetzung von Sicherheitsrichtlinien. Beispiele für Sicherheitsrichtlinien sind Authentifizierung, Single Sign-On, Autorisierung, Credential Mapping, Device Profiling, Verschlüsselung, Tokenization, Logging, Alerting, Malware-Erkennung/-Prävention und so weiter.

Bei Microsoft heissen die CASB Bausteine Cloud App Security, Azure Active Directory, Conditional Access, Identity and Access Management.

Was ist ZTNA?

Zero Trust Network Access (ZTNA) ist ein Produkt oder ein Dienst, der eine identitäts- und kontextbasierte, logische Zugriffsgrenze besitzt, um eine Anwendung oder eine Reihe von Anwendungen zu schaffen. Eine Cloud basierte Infrastruktur und deren Daten sind per Definition vom Internet her erreichbar und zugreifbar. Die Kontrolle der Endgeräte ist fast unmöglich. Endgeräte sind Firmengeräte, Mobiltelefone, Tablets, BYOD und so weiter. Deshalb geht man bei Zero Trust davon aus, dass man dem Endgerät per se nicht trauen kann. Deshalb schützt man beim ZTNA Konzept die persönliche Identität und die Daten.

Bei Microsoft sind dies Konzepte wie Multifactor Authentication, Passwordless Authentication, Conditional Access, Risk Based Access, Azure Information Protection.

ZTNA vs. VPN?

Zero Trust Access Network macht in der Regel ein VPN überflüssig. Die Daten werden bei der Übermittlung “in transit” mittels Industriestandards wie https verschlüsselt. Die Identität, bzw. die Login Informationen sind mittels Multifaktor Authentisierung geschützt, und bei Bedarf werden die Daten noch zusätzlich mit Azure Information Protection bei der Speicherung “at rest” verschlüsselt.

Was ist WiFi 6?

WiFi 6 läutet das Ende des LAN Kabels ein. WiFi 6 oder auch 802.11ax ist der neue WiFi Standard. Dieser Standard wurde entwickelt, um die immer zahlreicher werdenden Endgeräte mit einer guten Übertragungsrate versorgen zu können. WiFi 6 bietet einen höheren Datendurchsatz. Das wird durch den Einsatz von bis zu 8 Antennen und einer besseren Auslastung der Funkfrequenzen erreicht. WiFi 6 Access Points können zu 4-mal mehr Endgeräte als ein herkömmlicher Access Point bedienen.

Der WiFi6 Standard optimiert das WLAN für Echtzeitapplikationen wie Videokonferenzen oder Telefongespräche. Und die Funktion TWT “target wake time” verlängert die Batterielaufzeit der Endgeräte um bis zu 67%.

WiFi 6 oder 5G

Oftmals hört man, dass der neue Standard 5G das WLAN ablösen wird. Das mag sein. In näherer Zukunft zumindest sieht es aber nach einer Koexistenz von 5G und WiFi6 aus. Beide Initiativen zielen jedoch auf eine deutliche Verbesserung der “End User Experience” beim Nutzen von Echtzeitapplikationen über Funk. Dabei wird 5G diese Aufgabe im öffentlichen Raum übernehmen, während WiFi6 in der Unternehmenswelt Einzug hält.