Die Architekturen für den Einsatz von Netzwerksicherheit werden regelmäßig weiterentwickelt, was auf die verschiedenen Anforderungen von Unternehmen zurückzuführen ist. Einige der jüngsten Trends in der Industrie werden im Folgenden beschrieben:

• Minimierung der Kosten und des Wartungsaufwands, die mit unterschiedlichen und mehreren Netzwerksicherheitssystemen verbunden sind.
• Implementierung eines “Zero Trust Everywhere”-Mandats, das alle Netzwerke innerhalb von Rechenzentren, über WANs und innerhalb von Kubernetes-Clustern umfasst.
• Sicherstellung einer hohen Leistung (Durchsatz, reduzierte Latenz und minimaler Jitter), um das Benutzererlebnis zu verbessern und Echtzeitanwendungen wie WebRTC zu unterstützen.
• Anpassung an die Bedürfnisse einer verteilten Belegschaft.
• Erfüllen Sie die Anforderungen von Mitarbeitern im Außendienst.
• Verstärkte Nutzung von SaaS-Diensten durch Unternehmen.
• Wachsende Abhängigkeit von der Cloud für Unternehmensanwendungen.
• Umfassende Multi-Cloud-Implementierungen.
• Erforschung der potenziellen Vorteile von Edge- und Fog-Computing.
• Schwierigkeiten bei der Ausbildung oder Gewinnung von qualifiziertem Personal für Netzwerk- und Sicherheitsaufgaben.
• Minimierung der Ressourcen, die für die Verwaltung der Internetverbindung auf der letzten Meile für verteilte Büros erforderlich sind.

Veraltete Netzwerk- und Sicherheitsarchitektur

Unternehmen mit mehreren Niederlassungen und dezentralen Mitarbeitern haben traditionell erhebliche Ressourcen für die Beschaffung und Wartung ihrer Netzwerk- und Sicherheitsinfrastruktur bereitgestellt. Die nachstehende vereinfachte Abbildung zeigt die typische Architektur, die bisher verwendet wurde. In diesem Beispiel geht es um ein Unternehmen mit zwei Niederlassungen und zwei Hauptniederlassungen, die sich in verschiedenen Teilen der Welt befinden. In dem Bemühen, die Ausgaben für Sicherheitsanwendungen zu reduzieren und den Verwaltungsaufwand zu verringern, werden alle Sicherheitsmaßnahmen in den Hauptbüros zentralisiert. Der Datenverkehr von den Zweigstellen und Remote-Benutzern wird zur Durchsetzung der Sicherheit an die nahe gelegenen Hauptbüros weitergeleitet, bevor er sein Ziel erreicht. Thin CPE”-Geräte werden in der Regel in den Zweigstellen eingesetzt, um diesen Datenverkehr zu tunneln. Die Hauptbüros sind mit VPN-Konzentratoren ausgestattet, um die Tunnel zu terminieren, sowie mit mehreren Sicherheitsgeräten zur Erkennung und Beseitigung von Exploits, zur Implementierung granularer Zugriffskontrollen, zum Schutz vor Malware und zur Verhinderung von Phishing-Angriffen. Wie in den Verkehrsströmen (Ströme, die in der Abbildung mit 1 dargestellt sind) zu sehen ist, folgt der Verkehr von den Zweigstellen zu den Internet-Sites jedoch einer haarsträubenden Route. Dieses Routing kann zu erhöhten Latenzzeiten und damit zu suboptimalen Benutzererfahrungen führen, insbesondere wenn die Zweigstelle und die nahegelegene Hauptniederlassung weit voneinander entfernt sind. Einige Unternehmen versuchten, den Durchsatz zu erhöhen und den Jitter zu verringern, indem sie dedizierte Verbindungen einsetzten. Diese Lösungen waren jedoch kostspielig und konnten die Latenzprobleme nicht angemessen lösen. Darüber hinaus stellt die Verwaltung mehrerer Netzwerk- und Sicherheitsgeräte, die jeweils über eine eigene Konfiguration und ein Analyse-Dashboard verfügen, eine Herausforderung dar. Diese Komplexität kann zu fehleranfälligen Konfigurationen führen, da das Personal für mehrere Schnittstellen geschult werden muss. Diese alten Sicherheitsarchitekturen vernachlässigten oft das Prinzip des Null-Vertrauens und verließen sich eher auf Netzwerksegmentierung und IP-Adressen als auf eine benutzerbasierte Zugriffskontrolle, die auf der Authentifizierung der Benutzer beruht. Während dieser Ansatz zu dieser Zeit effektiv funktionierte, wurde die Identifizierung von Benutzern über IP-Adressen mit der Zunahme von Remote-Arbeitsszenarien und dem umfassenden Einsatz von NAT (Network Address Translation) immer schwieriger. Infolgedessen begann diese Belastung, die Grenzen der alten Architekturen aufzuzeigen.

Cloud/POP bereitgestellte Sicherheit

Als Reaktion auf die Herausforderungen im Zusammenhang mit der Wartung der Sicherheitsinfrastruktur vor Ort, der Anpassung an die Anforderungen der Fernarbeit, der Verringerung der Latenzzeiten im Zusammenhang mit dem Datenverkehr und der verstärkten Nutzung von Cloud- und SaaS-Diensten haben sich cloudbasierte Sicherheitslösungen als vielversprechende Alternative erwiesen. Viele Unternehmen haben begonnen, diese aus der Cloud bereitgestellten Sicherheitslösungen zu nutzen, um diese Probleme zu lösen, wie in der folgenden Abbildung zu sehen ist. Die Sicherheitsdienste werden vom Anbieter über verschiedene Points of Presence (POPs) verteilt. Unternehmen haben die Flexibilität, die POP-Standorte auf der Grundlage ihrer Bürostandorte und der Konzentration ihrer Remote-Mitarbeiter auszuwählen. Der Client-Datenverkehr, der für einen beliebigen Standort bestimmt ist, wird über den nächstgelegenen POP geleitet, wo die Sicherheit durchgesetzt wird. Dieses Routing wird durch CPE-Geräte in den Büros und VPN-Client-Software auf den Geräten der Remote-Benutzer erleichtert, wodurch die Latenzzeit, die mit der herkömmlichen Sicherheitsarchitektur aufgrund der Nähe der POP-Standorte verbunden ist, reduziert wird. Ursprünglich gab es in der Branche Sicherheitsdienste von mehreren Anbietern, aber es gibt eine Verlagerung hin zu Cloud-Sicherheitsdiensten eines einzigen Anbieters, die auf einer einheitlichen Technologie basieren. Diese vereinheitlichten Dienste bieten eine optimierte Verwaltung der Sicherheitskonfiguration und der Beobachtbarkeit und beheben die fragmentierte Sicherheitsverwaltung älterer Implementierungsarchitekturen. Während dieses Setup für den Verkehr, der für das Internet/SaaS-Standorte bestimmt ist, gut funktioniert, stellt es eine neue Herausforderung dar, wenn sich beide kommunizierenden Einheiten am selben Standort, im selben Rechenzentrum oder innerhalb eines Kubernetes-Clusters befinden, wie in den Flows (4) und (5) zu sehen ist. Fluss (4) zeigt, wie der Verkehr zwischen Einheiten innerhalb desselben Standorts zum nächsten POP-Standort getunnelt und dann zurück geleitet wird. Dies geschieht, um Sicherheitsmaßnahmen für alle Verkehrsströme zu erzwingen und die Zero-Trust-Anforderungen zu erfüllen. Fluss (5) veranschaulicht die Kommunikation zwischen zwei Anwendungsdiensten, die zur Erfüllung der Zero-Trust-Anforderungen aus dem Standort zum nächstgelegenen POP zur Sicherheitsverarbeitung geleitet wird, bevor sie zum selben Kubernetes-Cluster zurückkehrt. Dieser Prozess erhöht unbeabsichtigt die Latenzzeit für diese Datenströme und kann den Datenverkehr unnötigerweise zusätzlichen Entitäten aussetzen. Einige Unternehmen umgehen diese Latenz, indem sie verschiedene Sicherheits-Appliances vor Ort einsetzen, was jedoch wieder zu Problemen führt, die mit älteren Bereitstellungsarchitekturen verbunden sind. Eine weitere Herausforderung bei der von POP gelieferten Sicherheit ist die Leistungsisolierung. Da diese Anbieter Dienste für mehrere Kunden/Mieter bereitstellen, gibt es Fälle von Leistungsproblemen im Zusammenhang mit lärmenden Nachbarn. Das heißt, das Verkehrsaufkommen anderer Unternehmen kann sich auf die Verkehrsleistung Ihres Unternehmens auswirken. Das liegt daran, dass derselbe Ausführungskontext für den von mehreren Unternehmen stammenden Verkehr verwendet wird. Da Unternehmen nach Lösungen suchen, die Zero-Trust-Anforderungen erfüllen, eine einheitliche Richtlinienverwaltung bieten, eine Leistungsisolierung ermöglichen und unnötige Latenzzeiten durch Hair-Pinning verringern, hat die Netzwerksicherheitsbranche ihre Bereitstellungsarchitekturen weiterentwickelt, um diese Bedenken zu berücksichtigen. Unified Secure Access Service Edge (SASE), der von Unternehmen wie Aryaka angeboten wird, spielt in dieser Landschaft eine entscheidende Rolle.

Vereinheitlichte SASE mit hybriden und verteilten Sicherheitsdiensten

Eine ideale Architektur ist eine, die die Komplexität der Verwaltung in früheren Architekturen verringert, strenge Zero-Trust-Anforderungen erfüllt, ein gleiches Maß an Sicherheit für Nord-Süd- und Ost-West-Verkehrsströme gewährleistet, eine einheitliche Richtlinienverwaltung bietet, eine Leistungsisolierung ermöglicht und die mit Hair-Pinning verbundenen Latenzprobleme umgeht. Unified SASE von Unternehmen wie Aryaka bietet eine Architektur, die viele der oben genannten Anforderungen erfüllt. Bitte sehen Sie sich das Bild unten an. In der dargestellten Architektur gehen die Netzwerk- und Sicherheitsdurchsetzung über POP/Cloud-Standorte hinaus und umfassen auch CPE-Geräte, die alle vom selben Dienstanbieter bereitgestellt und einheitlich verwaltet werden. Diese Strategie mindert die Bedenken der Kunden hinsichtlich der Wartung dieser CPE-Geräte. Nur wenn diese Geräte mit dem Datenverkehr überlastet sind, wird der neue Datenverkehr zur Durchsetzung der Sicherheit an nahe gelegene POP-Standorte geleitet. Das Volumen des Datenverkehrs, der zu den POP-Standorten umgeleitet wird, hängt von den ausgewählten CPE-Gerätemodellen ab, wodurch der Fallback-Datenverkehr reduziert wird. Der Datenverkehr von Benutzern mit Fernzugriff (dargestellt als 6) verläuft ähnlich wie bei den vorherigen Architekturen. Der Datenverkehr von entfernten Benutzergeräten wird am nächstgelegenen POP-Standort einer Netzwerk- und Sicherheitsverarbeitung unterzogen, bevor er sein Ziel erreicht. Die Datenflüsse (1) und (2) innerhalb dieser Architektur umgehen die POP-Standorte und eliminieren selbst minimale Latenzen, die bei Cloud-Delivery-Konfigurationen auftreten. Darüber hinaus umgehen die auf einen Standort beschränkten Ströme (4) und (5) nicht nur den Latenz-Overhead, sondern reduzieren auch die Angriffsfläche. Diese lokale Sicherheitsdurchsetzung ist für Echtzeitanwendungen wie WebRTC, die empfindlich auf Latenzprobleme reagieren, unerlässlich. Für Anwendungsdienste an verschiedenen Standorten, die eine deterministische, jitterarme Leistung erfordern, bieten einige SASE-Anbieter dedizierte Verbindungen zwischen den Standorten über die nächstgelegenen POP-Standorte an. Fluss (3) ist ein Beispiel für einen Verkehrsfluss, der von dedizierter Bandbreite und Links profitiert und das Internet-Backbone umgeht, um einen deterministischen Jitter zu erreichen. Es ist wichtig zu wissen, dass nicht alle Unified SASE-Angebote identisch sind. Einige SASE-Anbieter leiten den gesamten Büroverkehr aus Gründen der Netzwerkoptimierung und Sicherheit immer noch an die nächstgelegenen POP-Standorte um. Auch wenn sie den Latenz-Overhead mit mehreren POP-Standorten abmildern können, erweist sich jede Reduzierung der Latenz für Unternehmen als vorteilhaft, insbesondere im Hinblick auf den potenziellen Bedarf an Anwendungen mit niedriger Latenz. Unternehmen werden wahrscheinlich nach Lösungen suchen, bei denen Benutzerfreundlichkeit und hohe Sicherheit im Vordergrund stehen, ohne dass die Leistung oder das Benutzererlebnis beeinträchtigt werden. Angesichts der Notwendigkeit eines geringen Jitters zwischen den Büros sollten Unternehmen Anbieter in Betracht ziehen, die dedizierte virtuelle Verbindungen zwischen den Büros anbieten, die das Internet-Backbone umgehen. Ein weiterer entscheidender Faktor für Unternehmen ist die Auswahl von Anbietern, die Wartung und Software-Updates für SASE-CPE-Geräte verwalten. Bei älteren Modellen trugen die Unternehmen die Verantwortung für Upgrades und Ersetzungen. Um diese Bedenken zu vermeiden, sollten Unternehmen Service Provider in Betracht ziehen, die umfassende verwaltete White-Glove-Services anbieten, die den gesamten Lebenszyklus der SASE-Infrastruktur abdecken und Aufgaben wie die Verwaltung von Endgeräten (Customer Premises Equipment, CPE), Konfiguration, Upgrades, Fehlerbehebung und Beobachtbarkeit umfassen. Diese Anbieter bieten alle Aspekte des Netzwerks und der Sicherheit aus einer Hand und bieten gleichzeitig Co-Management- oder Self-Service-Optionen für Unternehmen.

Blick in die Zukunft – Universal und Unified SASE

Obwohl das bestehende architektonische Rahmenwerk, ‘Unified SASE with Distributed Security’, einige der in diesem Artikel beschriebenen ursprünglichen Anforderungen zufriedenstellend erfüllt, gibt es zusätzliche Strategien, um die Anwendungsleistung zu verbessern, ohne die Sicherheitsintegrität zu beeinträchtigen. Wenn wir in die Zukunft blicken, erwarten wir Fortschritte bei der Durchsetzung der Sicherheit und der Optimierung des Datenverkehrs über die POPs und den Edge of the Offices hinaus. Diese neuen architektonischen Ansätze zielen auf die Ströme (5) und (7) ab und zielen speziell auf die Verbesserung des Latenzaspekts der Leistung ab. Wie in der Abbildung dargestellt, kann das Konzept, Sicherheit und Optimierung universell zu implementieren, insbesondere am Ursprung des Datenverkehrs, eine optimale Leistung erbringen. Die wichtigsten Verkehrsströme sind in (5) und (7) abgebildet. Die Verbreitung von Mikro-/Mini-Service-basierten Anwendungsarchitekturen wird zum Standard in der Anwendungslandschaft. Diese Mini-Dienste können innerhalb von Kubernetes-Clustern, über Cluster innerhalb von Rechenzentren oder über verschiedene geografische Standorte verteilt bereitgestellt werden. In Szenarien, in denen kommunizierende Dienste innerhalb desselben Kubernetes-Clusters existieren, ist es vorteilhaft, sicherzustellen, dass der Datenverkehr innerhalb des Clusters bleibt, was die Anwendung von Sicherheits- und Optimierungsmaßnahmen direkt innerhalb der Kubernetes-Umgebung ermöglicht. Kubernetes erleichtert das Hinzufügen von Sidecars zu den PODs, die die Mini-Services hosten. Wir gehen davon aus, dass SASE-Anbieter diese Funktion in Zukunft nutzen werden, um umfassende Sicherheits- und Optimierungsfunktionen bereitzustellen, die Zero-Trust-Anforderungen erfüllen, ohne die Leistung zu beeinträchtigen. Durch die Entscheidung für einen einzigen universellen SASE-Anbieter erhalten Unternehmen eine einheitliche Verwaltungsschnittstelle für alle ihre Sicherheitsanforderungen, unabhängig von der Platzierung der kommunizierenden Dienste. Fluss (5) in der Abbildung zeigt die Durchsetzung der Sicherheit durch Seitenwagen (SC). Es ist wichtig zu wissen, dass Sidecars in der Kubernetes-Welt nicht neu sind; Service-Mesh-Technologien verwenden einen ähnlichen Ansatz für das Traffic-Management. Einige Service Mesh-Anbieter haben damit begonnen, Bedrohungsschutz wie WAAP in die Sidecars zu integrieren. In Anbetracht der Tatsache, dass die Dienste mit dem Internet und anderen SaaS-Diensten kommunizieren können, sind umfassende Sicherheitsmaßnahmen unerlässlich. Es ist daher absehbar, dass es in Zukunft zu einer Konvergenz von Service Mesh und SASE kommen wird, da Unternehmen eine umfassende und einheitliche Lösung suchen. Der als (7) dargestellte Datenverkehr ist eine Überlegung, mit der sich viele SASE-Anbieter befassen. Dabei geht es nicht nur um die VPN-Client-Funktionalität, sondern auch um die Durchführung von SASE-Funktionen direkt auf dem Endpunkt. Die Ausweitung von SASE auf die Endpunkte hilft, die mit POP-Standorten verbundenen Latenzprobleme zu umgehen. Da die Endgeräte immer leistungsfähiger werden und bessere Kontrollmöglichkeiten bieten, um Dienstverweigerungen durch böswillige Entitäten zu verhindern, ist es nun möglich, die Durchsetzung von SASE auf die Endgeräte auszuweiten. Während Service Provider den Wartungsaufwand auf der SASE-Seite übernehmen, müssen Unternehmen möglicherweise dennoch sicherstellen, dass die Implementierung von SASE auf den Endgeräten keine neuen Probleme mit sich bringt. Daher suchen Unternehmen nach Flexibilität bei der Erweiterung von SASE auf Endgeräte speziell für Power-User.

Abschließende Überlegungen

Dieser Artikel veranschaulicht die Entwicklung von Netzwerken und Sicherheit, indem er den Weg von Altsystemen zu modernen Cloud-Lösungen, Unified SASE mit verteilter Durchsetzung und zukünftigen Architekturen aufzeigt. Es ist wichtig, dass Sie die Unterschiede in den Lösungsangeboten erkennen. Unternehmen müssen Dienstanbieter gründlich evaluieren und nach “As-a-Service”-Lösungen suchen, die eine verteilte Durchsetzung über PoPs und CPE-Geräte hinweg abdecken, Betriebssystem- und Software-Upgrades umfassen und gleichzeitig konsistente Verwaltungspraktiken aufrechterhalten, die sowohl die Sicherheit als auch die Leistung gewährleisten. Darüber hinaus ist es für Unternehmen wichtig, verwaltete (oder Co-verwaltete) Dienste von einem einzigen Anbieter zu bevorzugen. Diese Dienste sollten nicht nur Internet-Konnektivitätslösungen mit fortschrittlicher technischer Unterstützung bieten, sondern sich auch schnell an neue Anforderungen anpassen und aufkommenden Bedrohungen begegnen. Wenn Sie sich für einen Managed Service Provider entscheiden, der As-a-Service von anderen SASE-Anbietern nutzt, kann dies zu Komplikationen bei zukünftigen Erweiterungen führen, die langwierige Verhandlungen zwischen Managed Service- und Technologieanbietern nach sich ziehen. Angesichts des dringenden Bedarfs an schnellen Lösungen bin ich der Meinung, dass Unified SASE-Lösungen mit umfassenden Managed Service-Angeboten von einem Anbieter die ideale Wahl für Unternehmen sind.

The post Maximierung der SASE-Leistung: Die entscheidende Rolle der verteilten Durchsetzung in großem Maßstab appeared first on Aryaka.

*** This is a Security Bloggers Network syndicated blog from Srini Addepalli, Author at Aryaka authored by Srini Addepalli. Read the original post at: https://www.aryaka.com/blog/maximierung-der-sase-leistung-die-entscheidende-rolle-der-verteilten-durchsetzung-in-grossem-massstab/