Die Netzwerkarchitektur richtig vorbereiten

Fallstricke der Cloud-Migration

| Autor / Redakteur: Claus Vaupel / Andreas Donner

"Vor der Einführung von Cloud-Anwendungen muss die Infrastruktur auf die neuen Anforderungen vorbereitet werden", sagt Claus Vaupel von Zscaler.
"Vor der Einführung von Cloud-Anwendungen muss die Infrastruktur auf die neuen Anforderungen vorbereitet werden", sagt Claus Vaupel von Zscaler. (Bild: Zscaler)

Die Cloud ist mittlerweile auch in deutschen Unternehmen angekommen. Bei der Einführung von Cloud-Projekten bestehen aber immer noch Unsicherheiten. Am Beispiel von Office 365 erklärt Zscaler Solution Architect Claus Vaupel, worauf es bei der Migration ankommt.

Die Einführung Cloud-basierter Anwendungen steht in vielen Unternehmen aufgrund von Kosten- und Produktivitätsvorteilen auf der Tagesordnung. Damit die Implementierung nicht mit Fallstricken und Rückschlägen angesichts unzufriedener Anwender oder steigender Kosten verbunden ist, müssen Unternehmen bereits vor der Einführung ganzheitliche Migrationskonzepte erarbeiten.

Dabei gilt es, unterschiedliche Kompetenzfelder im Unternehmen an den runden Tisch zu bringen. Neben der Fachabteilung für die Anwendung sind zudem Netzwerkarchitekten, Sicherheits- und Identity-Management-Spezialisten oder auch Datacenter Operations einzubeziehen. Denn die Neugestaltung des Netzwerk-Designs ist ebenso zu berücksichtigen, wie die damit verbundenen Prozesse und Workflows sowie geänderte Sicherheitsanforderungen beim Internetzugriff.

Viele Unternehmen verharren noch in ihren alten IT-Modellen und Strukturen, in denen sie mit Hardware-Appliances einen Schutzwall um ihr Netzwerk und das Rechenzentrum im Glauben errichten, damit dem Sicherheitsaspekt Rechnung zu tragen. Längst schon bewegen sich die Mitarbeiter aber außerhalb dieses Walls und greifen mit mobilen Geräten ungesichert auf Unternehmensdaten in der Cloud zu. Daten fließen damit jenseits des Unternehmensnetzwerks und der gesicherten Infrastrukturen in das Internet – ein Sicherheitsleck, das das gesamte Netzwerk angreifbar macht.

Viel entscheidender ist allerdings, dass die für die Cloud-Anwendung gedachten Datenströme des Unternehmens den Umweg über das Rechenzentrum in der Unternehmenszentrale nehmen. Dies sorgt nicht nur für größere Latenz beim Zugriff der Mitarbeiter auf Anwendungen, sondern lässt auch die Kosten für die MPLS-Verbindungen in die Höhe schnellen. Um das volle Potenzial von Cloud-Anwendungen mit deren Flexibilität und Kosteneffizienz auszuschöpfen und den Anforderungen an Mobilität der Mitarbeiter zu entsprechen, müssen Unternehmen ihre Netzwerkinfrastruktur und damit verbunden das Sicherheitskonzept adaptieren.

Was vor dem Roll-out von Office 356 zu bedenken ist

Unternehmen, die ihre Office-Anwendungen in die Cloud migrieren wollen, müssen bedenken, dass Microsoft Office 365 eine sehr netzwerkintensive Applikation ist, die eine enorme Last erzeugt. Typischerweise stellen Unternehmen fest, dass ihre Netzwerkbelastung nach der Einführung um bis zu 50 Prozent ansteigt. Das liegt daran, dass Anwendungen wie Outlook, Excel oder Skype for Business parallele Verbindungen ins Netzwerk starten. Pro Anwender fallen damit zwischen zwölf und 20 dauerhaft bestehende Verbindungen an, was auch die Anzahl der Sessions auf der Firewall in die Höhe schnellen lässt und dort nicht nur die NAT-Tabellen an ihre Grenze bringen kann. Unternehmen müssen sich also vorausblickend die Frage stellen, ob ihre aktuelle Infrastruktur aus Firewalls, NAT Routern, Loadbalancern und anderen aktiven Komponenten diesem Datenaufkommen gewachsen ist.

Hub-and-Spoke-Struktur.
Hub-and-Spoke-Struktur. (Bild: Zscaler)

Aus der Perspektive des WANs muss entschieden werden, welchen Weg der Office 365-Datenstrom vom Anwender in das Cloud-basierte Rechenzentrum von Microsoft nehmen soll. Bei Hub & Spoke-Netzwerkarchitekturen fließt der gesamte Datenverkehr über das MPLS- oder IPSec-VPN zum zentralen Standort des Unternehmens, bevor er in die Office 365 Cloud geht. Dies hat erheblichen Einfluss auf die Infrastrukturkosten.

Komplexität der Anforderungen an das Netzwerk

Ein solches Modell geht zudem mit hoher Netzwerkkomplexität einher. Die Empfehlung von Microsoft, dass für jeweils 2000 Benutzer eine öffentliche IP-Adresse zur Verfügung stehen sollte, kommt nicht von ungefähr: Bei 20 parallelen Sessions pro User ist schnell die maximale Anzahl an Source Ports klassischer TCP/IP-Stacks erreicht. Unternehmen mit einer hohen Mitarbeiteranzahl haben damit einhergehend einen hohen Bedarf an den ohnehin knappen öffentlichen IP-Adressen.

Will ein Unternehmen nicht generell sämtliche http(s)-Kommunikation erlauben, geht das mit intensivem Prüfungsaufwand der URLs in den Firewall-Einstellungen einher. Ziel ist meist jedoch nur, explizit die URLs und IP-Adressen für Office 365 freizugeben oder etwa den Zugriff bestimmter User- oder Benutzergruppen einzuschränken, die Office 365 benötigen.

Die Herausforderung besteht in der permanenten Pflege, die nicht nur durch Mitarbeiterfluktuation, sondern auch durch Aktualisierungen und Erweiterungen in der Microsoft-Cloud entstehen. Dieser Aufwand des kontinuierlichen Nachpflegens an allen Firewalls in allen Standorten ist bereits in der Planungsphase zu berücksichtigen.

Appliance-basierte Sicherheit mit Firewalls in jeder Niederlassung.
Appliance-basierte Sicherheit mit Firewalls in jeder Niederlassung. (Bild: Zscaler)

Aus Perspektive der Internet-Security gilt es, auch die Leistungsfähigkeit der weiteren vorhandenen Sicherheits-Infrastruktur zu berücksichtigen. Angesichts von oft mehr als 50 Prozent SSL-verschlüsselter Internet-Inhalte, ist die Inspektion der Datenströme auf darin enthaltenen Schadcode einzukalkulieren. Auch hier müssen sich Unternehmen die Frage stellen, ob der Datenverkehr in die Cloud durch die herkömmlichen Filtermechanismen nicht zusätzlich verlangsamt wird.

Nachdem sich alle diese Punkte einer Cloud-Migration auf die Netzwerk-Komplexität bei auswirken, sollten Unternehmen alternative Möglichkeiten des Infrastruktur-Designs evaluieren. Letztlich muss oberste Priorität haben, dass die Anwender schnell und sicher auf Cloud-Applikationen zugreifen können. Übersteigt die Latenz beim Zugriff vom Client zur Applikation 50 Millisekunden, sind Nutzerbeschwerden in der IT-Abteilung vorprogrammiert.

Alternative Netzwerk-Architektur

Behält ein Unternehmen sein Hub-&-Spoke-Modell bei, so wird vom Rechenzentrum eine schnelle Verbindung via Express Route in die Microsoft Cloud aufgebaut. Die Mitarbeiter im Hauptstandort profitieren beim Zugriff von einer guten Performance, wohingegen die Angestellten in Niederlassungen und Zweigstellen Abstriche in der Geschwindigkeit hinnehmen müssen. Als tragfähige Alternative bietet sich das lokale Ausbrechen der Datenströme in die Cloud an. Das zeitaufwändige Umleiten der Daten in die Zentrale entfällt durch einen solchen Ansatz.

Unternehmen sollten in der Planungsphase auch hierbei unterschiedliche Konzepte gegeneinander abwägen. Durch lokale Internet-Breakouts wird die Herausforderung der Benutzererfahrung gelöst, allerdings unter Umständen zu Lasten der Kostenstruktur. Denn die Standorte benötigen nun die entsprechende Sicherheits-Infrastruktur in Form von UTMs oder Next Generation Firewalls. Will ein Unternehmen keinen Kompromiss in puncto Sicherheit für seine Niederlassungen eingehen, müssen bei einem traditionellen Ansatz Kosten für Hardware und Verwaltungsaufwand der Security-Stacks einkalkuliert werden.

Lokale Internet Breakouts durch die Cloud.
Lokale Internet Breakouts durch die Cloud. (Bild: Zscaler)

Ein alternativer Lösungsansatz für lokale Internet Breakouts basiert auf der Cloud. Um Hardware-Stacks zu vermeiden, raten die Zscaler Solution Architects zum Einsatz von Cloud-basierter Sicherheit zum Absichern lokaler Internet-Breakouts. Bis zu 30 Netzwerk-Hops werden beim Überwinden der traditionellen Sicherheitsansätze im internen Netzwerk benötigt, die schnell mehrere 100 Millisekunden Latenz verursachen. Im Gegensatz dazu kommt ein Cloud-basiertes Sicherheitsmodell mit Plattformansatz mit einem einzigen Hop aus und führt darüber hinaus durch direktes Peering mit Cloud-Anbietern wesentlich schneller zur gewünschten Applikation.

Schnelle und sichere Migration in die Cloud

Unternehmen umgehen durch einen Cloud-Service die ressourcenintensive Verwaltung der Security-Hardware und erhalten damit unter Umständen sogar ein höheres Sicherheitsniveau. Denn in der Cloud erfolgen bis zu 120.000 Security-Updates täglich, die automatisch für jeden Kunden zur Verfügung stehen. Somit entfällt nicht nur die Administration, auch potenzielle Sicherheitslücken im Zuge eines verzögerten Patch-Managements entstehen gar nicht erst.

Eine Security-Plattform mit unterschiedlichen Modulen, wie Internet Security, Bandbreiten-Management und Next Generation Firewall, sorgt darüber hinaus nicht nur für die Priorisierung der geschäftskritischen Office-365-Anwendung gegenüber beispielsweise YouTube, sondern umgeht auch den manuellen Aufwand der Firewall-Administration. Letztlich wird sogar die eigentliche Implementierung von Office 365 erleichtert, wenn ein Deployment Service zur Verfügung steht, der die benötigten Security-Regeln im Hintergrund automatisch erstellt.

Claus Vaupel.
Claus Vaupel. (Bild: Zscaler)

Fazit

Unternehmen tun gut daran, vor der Einführung einer Cloud-Anwendung die Weichen für die infrastrukturellen Anforderungen zu stellen. Denn die passende Netzwerk-Architektur erlaubt nicht nur eine reibungslose Migration, sondern sorgt auch für die Zufriedenheit der Mitarbeiter mit Cloud-Anwendungen.

Über den Autor

Claus Vaupel ist Solution Architect Central Europe bei Zscaler.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44505447 / Networking)