Suchen

Gegen Netzüberlastung und Sicherheitslücken Mit Private-Cloud-Gateways das öffentliche Internet umgehen

| Autor / Redakteur: Filipe Pereira Martins und Anna Kobylinska* / Elke Witmer-Goßner

Mit privaten Direktverbindungen können Unternehmen dedizierte Konnektivität zu ihren Cloud-Diensten herstellen, um die Netzwerkperformance und die Sicherheit der Datenübertragung zu verbessern. Wie diese Dienste funktionieren und was sie wirklich kosten.

Firma zum Thema

Private Cloud Gateways können die Performance um bis zu 100.000-fach verbessern und die Sicherheit der Cloud-Konnektivität auf ein ganz neues Niveau heben.
Private Cloud Gateways können die Performance um bis zu 100.000-fach verbessern und die Sicherheit der Cloud-Konnektivität auf ein ganz neues Niveau heben.
(Bild: gemeinfrei© 12019 / Pixabay )

Beim Zugriff auf Cloud-Dienste über öffentliche Netze ist die Netzüberlastung nur das kleinste aller Übel. Denn der Datenverkehr über öffentliche Netze wie eben das Internet ist kontinuierlich dem Risiko von MITM-Attacken (Man-in-the-Middle-Angriffe) ausgesetzt; gängige Transportprotokolle bieten bisher nur unzureichenden Schutz für geschäftskritische Daten (siehe dazu auch den Artikel „Tief im Rechenzentrumsnetz. Encrypted Traffic Analytics (ETA) im Datacenter ersetzt Deep Packet Inspection“.

Mit Private-Cloud-Gateways wollen Cloud-Anbieter dem Risiko entgegensteuern und ihren Kunden zur verbesserten DSGVO-Konformität verhelfen. AWS bietet einen Service namens Direct Connect, Azure hat ExpressRoute, Google das Cloud Interconnect, IBM den Cloud-Direct-Link- und Oracle den Cloud-Infrastructure-FastConnect-Dienst.

Regulierte Industrien wie das Finanzwesen greifen auf private Cloud-Konnektivität zur Erfüllung ihrer besonderen regulatorischen Auflagen zu. Unternehmen aus anderen Branchen machen sich direkte Cloud-Verbindungen hauptsächlich in performancekritischen Anwendungsszenarien zu Nutze: zur Übertragung von bandbreitenlastigen Datensätzen oder Echtzeitdaten-Feeds, zum Beispiel aus Edge-Standorten, und zur verstärkten „Hybridisierung“ ihrer Unternehmens-IT.

Das Azure VPN Gateway

Bei einem VPN-Gateway handelt es sich um eine spezielle Art von Netzwerkkopplung für verschlüsselten Datenverkehr zwischen einem virtuellen Azure-Netzwerk und einem lokalen Standort, welches die Kommunikation aber über das öffentliche Internet sendet. Ein VPN-Gateway kann aber auch verschlüsselten Datenverkehr zwischen virtuellen Azure-Netzwerken über das Microsoft-Netzwerk senden. Ein virtuelles Netzwerk auf Azure verfügt jeweils nur über ein einzelnes VPN-Gateway; es lassen sich jedoch mehrere Verbindungen über das gleiche VPN-Gateway herstellen. Wer mehrere Verbindungen mit dem gleichen VPN-Gateway herstellt, wird die für das Gateway zur Verfügung stehende Bandbreite auf alle VPN-Tunnel aufgeteilt.

Ein Gateway für virtuelle Netzwerke besteht aus mindestens zwei VMs, das Microsoft in einem speziellen Subnetz, dem sogenannten Gatewaysubnetz, bereitstellt. VMs für das Gateway für virtuelle Netzwerke enthalten Routingtabellen und führen bestimmte Gatewaydienste aus, sind jedoch nicht benutzerkonfigurierbar. Der Typ des Gateways bestimmt die Art der Konnektivität.

Azure bietet derzeit zwei solche Gatewaytypen: VPN und ExpressRoute. Ein virtuelles Netzwerk auf Azure kann über beide diese virtuellen Netzwerkgateways, je eins des jeweiligen Typs, gleichzeitig verfügen. Zur Anbindung von Kunden-Standorten an Azure über eine private Verbindung, die sogenannten Microsoft Azure ExpressRoute, kommt ein VPN-Gateway namens ExpressRoute zum Einsatz. Hierbei ist von einer privaten Verbindung zu Microsoft Azure, Office 365 und Dynamics 365 über dedizierte Infrastruktur eines Netzwerkanbieters wie EdgeConneX die Rede. Die Kommunikation über Azure ExpressRoute umgeht das öffentliche Internet. Dies verbessert sowohl die Performance als auch die Datensicherheit.

Die Feinheiten und Tücken von Azure ExpressRoute

Ein virtuelles Netzwerk auf Azure kann über zwei virtuelle Netzwerkgateways verfügen, ein VPN-Gateway und ein ExpressRoute-Gateway. ExpressRoute erfordert die Bereitstellung von zwei Elementen: eines ExpressRoute-Gateways in der zugehörigen Azure-Region und einer ExpressRoute-Verbindung (engl. ExpressRoute Circuit) an einem der sogenannten ExpressRoute-Standorte, die über die Zuordnung zu der betreffenden Zone verfügen.

Azure-Regionen im Überblick: Die Netzwerkisolation geopolitischer Cloud-Zonen entzieht sich im ersten Anlauf der Nachvollziehbarkeit.
Azure-Regionen im Überblick: Die Netzwerkisolation geopolitischer Cloud-Zonen entzieht sich im ersten Anlauf der Nachvollziehbarkeit.
(Bild: Microsoft)

Bei den ExpressRoute-Standorten (den sogenannten Peering- oder Meet-Me-Standorten) handelt es sich um Kollokationsumgebungen, in denen sich MSEE-Geräte (Microsoft Enterprise Edge) befinden; sie sind der Einstiegspunkt in das Netzwerk von Microsoft. An diesen Standorten stellen Microsofts ExpressRoute-Partner und ExpressRoute Direct-Kunden Querverbindungen mit dem Microsoft-Netzwerk her. Hierbei muss der ExpressRoute-Standort der Azure-Region nicht entsprechen, er muss sich jedoch innerhalb derselben geopolitischen Region befinden. Der Dienst „Globales Azure Commercial“ fasst ganzes Europa zu einer einzigen geopolitischen Zone zusammen. Bei den nationalen Clouds bildet Deutschland eine eigene geopolitische Zone mit den Azure-Regionen Deutschland/Mitte und Deutschland/Ost.

Nationale Azure-Clouds sind voneinander und vom Dienst „Globales Azure Commercial“ abisoliert. ExpressRoute für eine Azure-Cloud kann keine Verbindung mit den Azure-Regionen in den anderen Clouds herstellen. Nationale Cloud-Umgebungen gibt es in Deutschland derzeit zwei: Frankfurt (mit den Konnektivitätsanbietern Colt, Equinix, Interxion) und Berlin (mit den Dienstleistern e-shelter/NTT Global Data Centers, Megaport+ und T-Systems).

Im Rahmen von Globales Azure Commercial sind im DACH-Raum derzeit vier lokale Azure-Regionen aktiv: Deutschland/Norden (in Berlin mit NTT Global DataCenters); Deutschland/Westen-Mitte (in Frankfurt mit den Anbietern AT&T NetBond, CenturyLink Cloud Connect, Colt, DE-CIX, Equinix, euNetworks, GEANT, Interxion, Megaport, Orange, Telia Carrier) sowie Schweiz/Norden (in Zürich mit Intercloud, Interxion, Megaport, Swisscom) und Schweiz/Westen (in Genf mit Equinix, Megaport).

Implementierungsbeispiel von Azure ExpressRoute für Edge-Standorte via Satelliten-Anbindung.
Implementierungsbeispiel von Azure ExpressRoute für Edge-Standorte via Satelliten-Anbindung.
(Bild: SES S.A.)

Darüber hinaus ist Konnektivität über sogenannte Exchange-Anbieter möglich. Unternehmen können so ihr Netzwerk auf einen Peeringstandort erweitern und/oder eine ExpressRoute-Verbindung mit der Exchange als Konnektivitätsanbieter für die Verbindung mit Microsoft bestellen. Remote-Standorte, die über keine Glasfaserkonnektivität verfügen, beispielsweise Edge-Standorte der Industrie 4.0, können sich alternativ über Satellitenoperatoren mit der Azure-Cloud verbinden lassen. Spezialisierte ExpressRoute-Systemintegratoren wie die Bright Skies GmbH aus Hamburg können Unternehmen mit ihrer Expertise bei der Einrichtung der Cloud-Konnektivität unter die Arme greifen.

Die Auffahrt zur Multi-Cloud

Das Aufkommen der Multi-Cloud hat die Entstehung von Service-Angeboten rund um private Gateways cloud-übergreifend umgestaltet. So bietet beispielsweise die Shamrock Consulting Group, LLC. private Konnektivität von jedem beliebigen Standort der Welt über AWS Direct Connect, Azure ExpressRoute, Google Cloud Interconnect und IBM Cloud Direct Link mit einer Bandbreite von bis zu 100G mit einer weltweiten Preisgarantie und einer kostenfreien Implementierung. Auf Mbps-Basis seien Cloud-Direktverbindungen „wesentlich kostengünstiger“ als herkömmliche Punkt-zu-Punkt-Verbindungen, verspricht der Anbieter.

Azure ExpressRoute trifft Oracles Cloud Infrastructure FastConnect: Direktes privates Interconnect zwischen Microsoft Azure und Oracle Cloud am Beispiel der Region Japan East/Tokyo.
Azure ExpressRoute trifft Oracles Cloud Infrastructure FastConnect: Direktes privates Interconnect zwischen Microsoft Azure und Oracle Cloud am Beispiel der Region Japan East/Tokyo.
(Bild: Oracle)

Konkurrenz belebt das Geschäft. Die führenden Cloud-Anbieter arbeiten ja auch mittlerweile direkt miteinander, um die Bereitstellung direkter Konnektivität und einer möglichst reibungslosen Interoperabilität zwischen ihren Diensten gemeinsam zu implementieren. Cloud-Nutzer können so zum Beispiel ein privates Interconnect zwischen der Azure-Cloud und der Oracle-Cloud in einer Region einrichten, indem sie auf der einen Seite Microsoft Azure ExpressRoute und auf der anderen Seite der Verbindung Oracle Cloud Infrastructure FastConnect einspannen.

AWS Direct Connect und Direct Connect Partners

Mit AWS Direct Connect können Unternehmen eine Verbindung zu all ihren AWS-Ressourcen in einer AWS-Region aufbauen und ihre geschäftskritischen Daten direkt von ihrem Rechenzentrum, ihrer Colocation-Umgebung oder ihrem Büro nach AWS und umgekehrt übertragen. Hierbei umgehen Nutzer ihren Internetdienstanbieter und das öffentliche Internet.

Direkte Anbindung vom Datencenter an zwei verschiedene AWS Direct-Connect-Verbindungen, im Beispiel Asburn, Virginia oder Las Vegas, Nevada.
Direkte Anbindung vom Datencenter an zwei verschiedene AWS Direct-Connect-Verbindungen, im Beispiel Asburn, Virginia oder Las Vegas, Nevada.
(Bild: Amazon Web Services)

AWS bietet in der deutschen Region EU Zentral (Frankfurt) derzeit vier Direct-Connect-Standorte: Equinix FR5 (erreichbar auch via FR4), Equinix MU1 München (erreichbar auch über MU3), Interxion FRA6 (Erreichbar über alle Standorte des Anbieters in Frankfurt), sowie IPB Berlin. Jeder Direct-Connect-Standort ist einer bestimmten AWS-Region zugeordnet. Anders als bei Azure können AWS-Nutzer ein Direct Connect-Gateway verwenden, um über eine Schnittstelle an einem beliebigen Direct Connect-Standort auf ihre Ressourcen in einer beliebigen AWS-Region zuzugreifen.

Theoretisch. Denn wenn es alles so einfach und übersichtlich wäre, wäre es nicht AWS. Den Dienst in der Edition Dedicated Connections stellt AWS in Eigenregie bereit. Und dann gibt es ja noch den Dienst AWS Direct Connect Partners von Dritten. Für Hosted Connections zeichnen Direct-Connect-Partner von Amazon verantwortlich; diese Anbieter stellen ihre Netzwerkverbindungen mehreren AWS-Kunden gleichzeitig bereit.

AWS Direct Connect-Partner stellen jede gehostete Verbindung über eine Netzwerkverbindung zwischen sich selbst und AWS bereit. Die Implementierung kann in einem von drei Bereitstellungsmodellen erfolgen: als dedizierte Verbindungen, gehostete Verbindungen und gehostete virtuelle Schnittstellen (kurz: VIF). Dedizierte Verbindungen sind physische Ethernet-Ports mit einer definierten Kapazität, die für einen einzelnen Kunden exklusiv reserviert sind. Die Kapazität von diesem Dienst lässt sich durch Linkaggregation erhöhen.

Gehostete Verbindungen werden von mehreren Unternehmen gemeinsam genutzt. Bei einer gehosteten virtuellen Schnittstelle handelt es sich um eine Schnittstelle, die einem anderen AWS-Konto zugeordnet wurde als jenes, welches über die zugehörige dedizierte Verbindung verfügen darf. Eine virtuelle Schnittstelle hat selbst keine von AWS zugewiesene Kapazität. Manche AWS Direct Connect-Partner erstellen gehostete VIFs, um diese dem AWS-Konto ihres Kunden zuzuweisen. Eine gehostete VIF wird erst dann aktiv, wenn der Nutzer sie über die AWS-Konsole, CLI oder die API akzeptiert. Diese Netzwerkverbindung nutzen dann ebenfalls mehrere Kunden. Jede gehostete VIF hat Zugriff auf die gesamte verfügbare Kapazität der Netzwerkverbindung in der Richtung von AWS zum AWS Direct Connect-Partner.

Damit Unternehmen AWS Direct Connect für die Verbindung mit AWS verwenden können, müssen sie AWS an einem Direct Connect-Standort erreichen, indem sie eine Standard-Querverbindung zwischen ihren Geräten und dem AWS-Netzwerk herstellen. Cloud-Nutzer müssen hierzu entweder ihre Last-Mile-Konnektivität auf den Direct Connect-Standort selbst ausweiten oder diese Aufgabe einem AWS Direct Connect-Partner überlassen.

Der Kostenfaktor: Preiskalkulation am Beispiel von AWS

Jeder Cloud-Anbieter hat für private Konnektivität ein eigenes Preismodell entwickelt. Hinzu kommen dann noch die Kosten externer Dienstleister und Integratoren. Das Ganze ist dementsprechend recht unübersichtlich. Bei AWS setzen sich die Preise für private Cloud-Konnektivität aus zwei Hauptkostenpunkten zusammen. Unternehmen bezahlen einmal für die Portnutzung ihrer AWS Direct Connect-Standorte pro Stunde. Hinzu kommen die eigentlichen Datenübertragungsgebühren.

Die Provisionierung einer 1-GB-Verbindung in Deutschland schlägt in der Variante Dedicated Connections mit rund 220 Euro pro Monat an Portgebühren zu Buche (abgerechnet pro Stunde). Eine zehnfach schnellere Verbindung kostet 7,5-mal mehr. Im Falle der Hosted Connections sind die Gebühren je nach Anbieter nur etwas teurer, dafür sind die Preise granulierter gestaffelt. Hinzu kommen in beiden Fällen noch die Gebühren pro GB an ausgehenden Daten. Ein Datenübertragungsvolumen von einem TB aus Europa nach Europa schlägt mit rund 20 Euro zu Buche. Der Gesamtpreis setzt sich aus beiden diesen Kostenstellen zusammen, also aus den Portgebühren pro Stunde zuzüglich der Datentransferraten. Eingehender Datentransfer ist bei Amazon kostenfrei. Der Preis für ausgehenden Datenverkehr hängt von der AWS-Quellregion und dem AWS Direct Connect-Standort ab. Die Preise sind generell recht moderat angesetzt. Denn den größten Nutzen aus der Integration zieht ja der Cloud-Anbieter.

* Das Autorenduo Anna Kobylinska und Filipe Pereira Martins arbeitet für McKinley Denali Inc. (USA).

(ID:46915326)