Suchen

Internet-basierte Ressourcen ohne Latenz Schulterschluss von Netzwerk und Sicherheit durch die Cloud

Autor / Redakteur: Wolfgang Hustädt* / Florian Karlstetter

Die Pandemie brachte die alten Animositäten zwischen Netzwerk- und Sicherheitsverantwortlichen in Unternehmen erneut zum Aufflammen: Die unterschiedlichen Zielsetzungen von Geschwindigkeit und Sicherheit ließen sich für eine Belegschaft im Homeoffice nur schwer in Einklang bringen.

Firmen zum Thema

Geschwindigkeit und Sicherheit auch aus dem Homeoffice.
Geschwindigkeit und Sicherheit auch aus dem Homeoffice.
(Bild: © Production Perig - stock.adobe.com)

Dennoch sollte es für Unternehmen oberstes Ziel sein, ihren Mitarbeitern unabhängig von deren Arbeitsort schnellen und sicheren Zugang zu ihren Anwendungen zu ermöglichen. Die Cloud soll‘s nun richten.

Die Haßliebe zwischen Netzwerk- und Sicherheitsteams mit ihren gegenläufigen Aufgabenstellungen kam durch die Homeoffice-Welle in vielen Unternehmen erneut zu Ausbruch. Die Aufgabe der Netzwerker, der Belegschaft die schnellstmögliche Verbindung zu ihren Anwendungen zu ermöglichen, wird seit jeher von der Sicherheitsabteilung durchkreuzt. Denn deren Zielsetzung ist es, eine Verbindung nicht möglichst schnell, sondern möglichst sicher zu gestalten.

Die nötigen Sicherheitskontrollen führen in aller Regel zu Einschränkungen im Datenverkehr, die sich beim Anwender in Latenzen bemerkbar machen. Und über solche Flaschenhälse, die den Zugriff auf benötigte Anwendungen verlangsamen, beschwert sich dann der Mitarbeiter wiederum bei der Stabsstelle, die für die Bereitstellungen der Anwendungen verantwortlich ist, die heute in aller Regel in der Cloud vorgehalten werden...

Netzwerkherausforderungen durch Working from Home

Zu Beginn der Pandemie fanden sich unzählige Unternehmen in folgender Situation wieder: ihr LAN mit dem klassischen Netzwerkkabel aus der Dose versorgte die Mitarbeiter im Büro mit komfortablen Geschwindigkeiten im Gigabyte-Bereich und die Sicherheits-Hardware am Perimeter schuf Sicherheit beim Zugriff auf Anwendungen im Rechenzentrum. Die Netzwerkanforderungen steigen allerdings mit dem Trend, Anwendungen nach AWS oder Azure zu verlagern, denn dadurch schnellt der Datenverkehr in die Höhe, den die Leitungen bewältigen müssen. In den meisten Firmen war der Fernzugriff für mobile Mitarbeiter via VPN auf 30 Prozent der Belegschaft ausgelegt. Mitarbeiter, die nicht im Büro sitzen, müssen sich über die RAS-VPN Infrastruktur verbinden, werden durch die Sicherheitskontrollen im Netzwerk geleitet und erhalten somit Zugriff auf das Rechenzentrum oder public und private Cloud-Umgebungen.

Auf die sprunghaft ansteigenden Zahlen an Mitarbeitern, die aufgrund der allgemeinen Kontaktbeschränkungen ins Homeoffice verlagert wurden, waren die meisten Unternehmen nicht ausreichend vorbereitet. Die Anzahl der VPN-Verbindungen war zu klein dimensioniert in einem Szenario, bei dem die Netzwerkbandbreite mehrfach genutzt werden musste, um die Datenpakete der Mitarbeiter ins Firmennetzwerk zu lenken und erst in einem zweiten Schritt Zugriff auf die Anwendungen im Rechenzentrum oder der Cloud zu erhalten und den gleichen Weg wieder zurück ins Homeoffice zum Mitarbeiter zu nehmen. Ein solches Modell skalierte nicht mit den Anforderungen und zeigte, dass Netzwerke nicht für solche Krisensituationen vorbereitet waren.

Der kurzfristige Workaround aufgrund des Engpasses an Bandbreite und VPN-Lizenzen sah in vielen Firmen so aus, dass Sicherheitsrichtlinien außer Kraft gesetzt wurden und Mitarbeiter direkt und ohne Umweg via VPN direkt auf das Internet zugreifen konnten. Die sichere VPN-Verbindung war dem Zugriff auf das interne Rechenzentrum vorbehalten. Ein solches Split-Tunnel Modell sorgte zwar für die notwendige Geschwindigkeit, ließ aber die erforderliche Sicherheit beim Zugriff auf das Internet völlig außer Acht.

Ein Spiel mit dem Feuer, angesichts der ansteigenden Malware-Bedrohungen, die auf Mitarbeiter im Homeoffice abzielen, laut dem jüngsten ThreatLabz Malware Report von September 2020. In der globalen Security-Cloud wurden in einem Monat ein Anstieg um 400 Prozent auf RDP brute-force Angriffe verzeichnet, ein Sprung um 2.000 Prozent in Zoom-basierter Malware und Mitarbeiter klickten auf dreimal mehr Phishing-Scams als noch im Vormonat.

Im Zeichen der Pandemie gab der Spezialist für die sichere digitale Transformation eine Umfrage bei Atomik Research in Auftrag, um zu erheben, wie sich Digitalisierung und Sicherheit im Zeitalter von Working from Anywhere beeinflussen. 30 Prozent der befragten 606 Unternehmen in EMEA haben eine Remote Access VPN-Lösung im Einsatz, um ihren Mitarbeitern den Zugriff auf Anwendungen in der Cloud und im Rechenzentrum zu ermöglichen und ein Drittel setzten auf das Remote Desktop Protokoll (RDP). Knapp ein Fünftel (19 Prozent) benutzen IAM für die Zugangskontrolle und bereits 17 Prozent haben eine Zero-Trust-basierte Lösung im Einsatz.

Allerdings sind nur etwas mehr als ein Drittel der befragten Entscheider zuversichtlich, dass sie ihrer remote Belegschaft einen sicheren Fernzugriff auf die benötigten Geschäftsanwendungen bieten können (35 Prozent). 29 Prozent hingegen zweifeln an der Sicherheit ihrer Fernzugriffslösung und 34 Prozent evaluieren bereits neue Lösungsansätze. Vor dem Hintergrund, dass fast die Hälfte der befragten Unternehmen (48 Prozent) davon ausgehen, dass die Anzahl der remote Mitarbeiter zwischen 25 und 50 Prozent steigen wird, wird der Handlungsbedarf verständlich.

Sicherheit aus der Cloud schafft Abhilfe

Angesichts der drohenden Gefahren von Cyberangriffen stellen sich viele Firmen die Frage, wie sie die Anforderungen an Geschwindigkeit und Security übereinandergelegt bekommen, so dass Sicherheits- und Netzwerkabteilung nicht gegeneinander ausgespielt werden und jedes Team seine Ziele umsetzen kann. Gegen die Erweiterung der Kapazitäten an Bandbreite und Lizenzen sprechen nicht nur die Kosten. Die Anschaffung neuer VPN-Hardware ist nicht nur kostenintensiv, sondern auch zeitaufwändig und damit nicht auf die Schnelle zu bewerkstelligen. Andererseits müssen alle User am Heimarbeitsplatz lückenlos geschützt werden, um die Bedrohung für Netzwerk und Intelectual Property zu minimieren.

Anstelle des kurzfristig eingerichteten Work-Arounds sollten zukunftsorientierte Modelle treten, die die Anforderungen von Netzwerk- und Cybersicherheitsteams kombinieren. Ziel sollte es sein, dass beide Abteilungen an einem Strang ziehen, um performanten und zugleich sicheren Zugriff der Anwender auf ihre benötigten Arbeitsumgebungen zu gewährleisten. Mit den Anforderungen an die erforderliche Skalierbarkeit für das „Working from Home“ kann ein Cloud-basiertes Sicherheits- und Netzwerkkonzept Schritt halten. Ein solches Modell ermöglicht es, die Last im Netzwerk zu reduzieren und zeitgleich das Sicherheitsniveau aufrechtzuerhalten, das der User auch innerhalb des LANs erhalten würde.

Laut der Atomik Research Umfrage evaluieren 34 Prozent der befragten Unternehmen bereits neue Lösungsansätze. Ein Sicherheitsmodell, das Netzwerk- und Security-Anforderungen gleichermaßen berücksichtigt ist, das SASE-Rahmenwerk von Gartner. Immerhin haben sich mehr als ein Drittel (36 Prozent) der europäischen Unternehmen bereits mit dem Secure Access Service Edge-Ansatz auseinandergesetzt, der dem Anwender auf Basis von identitätsbasierten Richtlinien direkten Zugriff auf seine Applikationen ermöglicht, ohne das gesamte Netzwerk einzubeziehen.

Unternehmen, die in der Cloud die Zukunft sehen und ihre Anwendungen in SaaS oder IaaS-Umgebungen verlagern müssen sicherstellen, dass ihre User auch auf Internet-basierte Ressourcen ohne Latenz zugreifen können. Das wird dann möglich, wenn der latenztreibende Umweg über das Unternehmensnetz wegfällt und die Mitarbeiter direkten Zugriff auf das Internet erhalten. Einerseits kann durch den direkten Zugriff Netzwerklast reduziert werden, anderseits die Performanz für den Unser gesteigert werden. Und zugleich wird den Sicherheitsanforderungen Rechnung getragen.

Wolfgang Hustädt, Solutions Architect, Zscaler CEUR.
Wolfgang Hustädt, Solutions Architect, Zscaler CEUR.
(Bild: Zscaler)

Aus Anwendersicht darf es also keine „Entweder-oder“-Entscheidung zwischen Netzwerk und Security sein, sondern die Gleichberechtigung von Sicherheit und Anwendererlebnis und damit der Schulterschluss von Netzwerk- und Sicherheitsanforderungen. Die Einsicht ist vorhanden, wie der ermutigende Zuspruch zu neuen Sicherheitsansätzen wie SASE zeigt, die beide Welten miteinander in Einklang bringen.

* Der Autor Wolfgang Hustädt ist Solutions Architect für Zscaler CEUR.

(ID:46978813)