Suchen

Cloud-Verbindung und Cloud-Sicherheit Was Peering-Verbindungen für die Sicherheit bringen

Optimierte Verbindungen zu einem Cloud-Provider bieten Vorteile bei Verfügbarkeit, Latenz und Bandbreite im Vergleich zu herkömmlichen Verbindungen über das Internet. In welchem Umfang die Sicherheit profitieren kann, kommt auf die genaue Art der Cloud-Verbindung an.

Firmen zum Thema

Peering-Verbindungen bieten – abhängig vom gewählten Dienst – zusätzliche Sicherheit beim Zugriff auf die Cloud.
Peering-Verbindungen bieten – abhängig vom gewählten Dienst – zusätzliche Sicherheit beim Zugriff auf die Cloud.
(Bild: © Have a nice day - stock.adobe.com)

Auch wenn Azure und Office 365 aus den neuen deutschen Microsoft-Cloud-Regionen mit lokaler Datenhaltung allgemein verfügbar sind, können spezielle Cloud-Verbindungen Sinn machen, gerade aus Sicht der Cloud-Sicherheit. Doch welche Cloud-Verbindungen gibt es, und was bedeuten sie für die Sicherheit? Wir geben einen Überblick am Beispiel von Azure Peering Service, Azure ExpressRoute und einer Cloud-Sicherheitslösung.

Was Peering Services leisten und was nicht

Azure Peering Service ist ein Netzwerkdienst, der die Kundenverbindung zu Microsoft Cloud-Diensten wie Office 365, Dynamics 365, SaaS-Diensten (Software-as-a-Service), Azure oder Microsoft-Diensten verbessert, auf die über das öffentliche Internet zugegriffen werden kann, so Microsoft. Microsoft hat sich dazu mit Internet Service Providern (ISPs), Internet Exchange Partnern (IXPs) und SDCI-Anbietern (Software Defined Cloud Interconnect) weltweit zusammengetan, um öffentliche Konnektivität mit Routing vom Kunden zum Microsoft-Netzwerk bereitzustellen. Mit dem Peering Service können Kunden einen Partnerdienstleister in einer bestimmten Region auswählen.

Kunden können sich auch für Peering Service-Telemetrie entscheiden, zum Beispiel zu Latenzzeiten der Benutzer im Microsoft-Netzwerk, für die BGP-Routenüberwachung (Border Gateway Protocol) und Warnungen vor Lecks und Hijacks. Das Routing erfolgt dabei über einen bevorzugten Pfad, der definiert wird, wenn der Kunde sich beim Peering Service registriert. Microsoft betont, dass der Datenverkehr immer über bevorzugte Pfade weitergeleitet wird, auch wenn böswillige Aktivitäten erkannt werden.

Damit können Peering Services wie in diesem Fall durchaus auch Leistungen für die Security erbringen, indem zum Beispiel vor Angriffen gewarnt werden kann. Doch Microsoft stellt auch klar: Ein Peering Service ist ein IP-Dienst, der das öffentliche Internet nutzt, in Verbindung mit einer Kollaborationsplattform mit Dienstanbietern und ein Mehrwertdienst, der dem Kunden ein Routing über Dienstanbieterpartner zur Microsoft Cloud über das öffentliche Netzwerk bietet.

Ein Peering Service ist aber explizit kein privates Konnektivitätsprodukt wie Azure ExpressRoute oder ein VPN-Produkt.

Private Konnektivität zum Cloud-Dienst

Mit Azure ExpressRoute können lokale Netzwerke über eine private Verbindung, die von einem Konnektivitätsanbieter bereitgestellt wird, mit der Microsoft Cloud verbunden werden. Mit ExpressRoute können also Verbindungen zu Microsoft Cloud-Diensten wie Microsoft Azure und Office 365 hergestellt werden. Die Konnektivität kann über ein beliebiges IP-Netzwerk (IP VPN), ein Punkt-zu-Punkt-Ethernet-Netzwerk oder eine virtuelle Verbindung über einen Konnektivitätsanbieter in einer Co-Location-Einrichtung erfolgen.

ExpressRoute-Verbindungen werden nicht über das öffentliche Internet hergestellt. Auf diese Weise bieten ExpressRoute-Verbindungen mehr Zuverlässigkeit, schnellere Geschwindigkeiten, konsistente Latenzen und höhere Sicherheit als typische Verbindungen über das Internet, wie Microsoft erklärt. Zusätzlich gibt es noch ExpressRoute Direct: Dies erlaubt eine physische Isolation für Branchen, die reguliert sind und dedizierte und isolierte Konnektivität erfordern können, wie beispielsweise Banken.

Was Cloud-Sicherheitsanbieter leisten

Microsoft empfiehlt direkte Internet-Verbindungen anstelle von ExpressRoute, wie der Sicherheitsanbieter Zscaler ausführt. In den meisten Unternehmen wird jedoch der Datenverkehr zentral durch Hub-and-Spoke-Netzwerke und ExpressRoute geleitet. Zscaler vereinfacht die Konnektivität zu Office 365 und sichert gleichzeitig den gesamten Datenverkehr über seine Cloud first-Sicherheitsarchitektur ab, so Microsoft.

Zscaler Internet Access zum Beispiel ist ein Internet- und Web-Gateway, das aus der Cloud bereitgestellt wird. Über Zscaler Internet Access können Unternehmen den Office-365-Verkehr aus den Niederlassungen an die Microsoft-Server routen und gleichzeitig ihre direkten Internet-Anbindungen der Niederlassungen absichern. Dabei können Sicherheitsdienste wie Cloud Firewall/IPS (Intrusion Prevention Service), Sandboxing, URL-Filterung, DLP (Data Loss Prevetion), CASB (Cloud Access Security Broker), Browser Isolation und CSPM (Cloud Security Posture Management) zum Einsatz kommen.

Eine weitere Lösung ist Zscaler Private Access (ZPA) für Microsoft Azure. Die ZPA-Plattform von Zscaler wird in der Azure Cloud ausgeführt, um direkten Zugriff auf Azure-Anwendungen zu ermöglichen. Bei Zscaler Private Access für Azure werden Zscaler Enforcement Nodes (ZEN), die einen Remote-User und eine interne Anwendung verknüpfen, in der Azure-Cloud ausgeführt. So können Administratoren das Azure-Netzwerk und seine zahlreichen Rechenzentren nutzen.

Die Nutzer haben damit einen direkten Cloud-Zugriff, ohne sich jedes Mal beim Remote Access-VPN anmelden zu müssen, der Zugang ist richtlinienbasiert, der Service setzt dynamische, anwendungsspezifische TLS-Verschlüsselung (Ende-zu-Ende) ein.

(ID:46652263)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research