Wie Unternehmen fit für die Cloud werden können
Ein Unternehmen fit für die Cloud zu machen, ist mehr als Datenserver und Applikationen in die Cloud zu verschieben – SD-WAN, SASE und Zero-Trust-Network-Access müssen problemlos mit- und nebeneinander arbeiten. So kann die digitale Transformation auch beschleunigt werden.
Als Anfang 2016 die Analysten von Gartner den Begriff "SD-WAN" prägten, begannen die meisten Unternehmen gerade erst damit, Rechenzentren in die Cloud auszulagern, um Kostenvorteile und zusätzliche Flexibilität zu geniessen. Gleichzeitig machte das Rechenzentrum aber weniger als ein Viertel der Gesamtkosten des Unternehmensnetzwerks aus. Konnektivität bot viel grösseres Potenzial für Einsparungen.
Win-win mit SD-WAN
Dadurch begann sich der Übergang zur SD-WAN-Technologie zu beschleunigen, und alle waren optimistisch, diese neue Technologie zur Lösung des WAN-Kostenproblems nutzen zu können. In kürzester Zeit tauchten allerorten neue spezialisierte SD-WAN-Anbieter auf. Heute enthalten die meisten Firewalls SD-WAN-Technologie zur Traffic-Steuerung.
Durch die Implementierung von SD-WAN wurde es möglich, auf kostspielige Standleitungen zu verzichten und reguläre Internetanbindungen auch für geschäftskritischen Traffic zu nutzen. SD-WAN ist mittlerweile technisch ausgereift und leitet damit den nächsten Schritt in der digitalen Transformation ein.
Im Februar 2019 gab ebenfalls wieder Gartner eine Studie heraus, die sich mit Rechenzentren in der Cloud beschäftigte. Eine der Kernaussagen dieser Studie war, dass im Jahr 2025 rund 80 Prozent der Rechenzentren in einer Public Cloud laufen werden. Zu diesem Zeitpunkt waren es 10 Prozent, die bereits dort gehostet waren. Durch die allgegenwärtige Covid-19-Pandemie werden die 80 Prozent vermutlich früher erreicht werden, weil Serviceeinsätze in lokalen Rechenzentren nicht nur aufgrund von Reisebeschränkungen schwerer zu realisieren sind.
Diese Bewegung in die Public Cloud führte fast schon automatisch zu neuen Fragestellungen: Warum nicht "all-in" gehen und Sicherheit, Routing, Endpunkt-Management und alle anderen Funktionen ebenfalls in die Cloud verlagern?
All-in mit SASE und Zero-Trust-Network-Access
Hinter dem etwas sperrigen Namen Secure Access Service Edge (kurz SASE) verbirgt sich ein einfaches Konzept: Es beschreibt das Zusammenfassen von SD-WAN, Security Services, Networking und Management in einem Cloud-Service, der eine vereinfachte WAN-Bereitstellung, verbesserte Effizienz und Sicherheit sowie die Gewährleistung der benötigten Bandbreite pro Applikation verspricht.
Da es sich um einen Cloud-Service handelt, kann SASE leicht skaliert und je nach Nutzung abgerechnet werden. Infolgedessen kann dieser Ansatz in einer Zeit des schnellen Wandels eine attraktive Option sein.
IT-Administratoren können Richtlinien zentral über cloudbasiertes Management festlegen, und die Richtlinien werden automatisch auf den Endgeräten durchgesetzt.
Endbenutzer haben unabhängig davon, welche Ressourcen sie benötigen und wo sie und die Ressourcen sich befinden, die gleiche ortsunabhängige Nutzererfahrung. SASE vereinfacht auch den Authentifizierungsprozess, indem es auf der Grundlage der anfänglichen Anmeldung geeignete Richtlinien für die vom Benutzer gewünschten Ressourcen anwendet.
Das SASE-Modell unterstützt auch Zero-Trust-Network-Access (ZTNA). Dieses Modell entzieht den Netzwerkteilnehmern grundsätzlich jedwedes Vertrauen und setzt den Zugriff auf Applikationen und die Erkennung auf Grundlage von Benutzer-ID, Gerätesicherheitsstatus und geografischen Standortbeschränkungen durch. Durch die Eliminierung impliziten Vertrauens verringert ZTNA die Angriffsfläche für eine Organisation erheblich.
Klaus Gheri ist General Manager Network Security bei Barracuda Networks. Im Interview sagt er, was sich für IT-Abteilungen und Endanwender mit dem Umstieg auf SASE ändert und wo oft übersehene Kosten lauern. Autor: René Jaun.
Was ist ein zentraler erster Schritt für ein Unternehmen, welches bereits Cloud-Technologien nutzt und nun SASE einführen möchte?
Klaus Gheri: Firmen, die einen Teil oder alle Applikationen bereits in der Public Cloud haben, sollten als ersten Schritt einen Teil des SASE-Konzepts, nämlich ZTNA (Zero-Trust-Network-Access), umsetzen. Es liegt in der Natur der Sache von ZTNA, dass man klein anfangen kann und einen Pilot mit nur wenigen Applikationen und einer begrenzten Benutzergruppe durchführt.
Was ändert sich mit SASE für IT-Abteilungen?
Kurz gesagt, beschreibt SASE die Nutzung der Cloud nicht nur, um Applikationen zu hosten, aber auch um Security, Applikationskontrolle, Routing, Zugangskontrolle und weitere Funktionen in der Cloud zu bewerkstelligen. Dazu wandern diese Funktionen von den Geräten in den Aussenstellen und dem Datacenter in die Cloud. Die Geräte werden dadurch "schlanker", mit weniger Funktionen, und haben den Fokus auf immer und überall Konnektivität in die Cloud. Dadurch werden Routineaufgaben einfacher, da diese alle im Web UI des SASE-Anbieters erledigt werden. Für nicht alltägliche Aufgaben ist in der Regel ein Anruf oder Web-Ticket beim SASE-Anbieter nötig.
Was müssen Organisationen beachten, die eine hybride Infrastruktur – Cloud und On-Prem kombiniert – einsetzen?
Die meisten SASE-Anbieter bringen allen Netzwerkverkehr zuallererst in ihre Cloud und leiten ihn dann von dort weiter. Wird ein nennenswerter Anteil an IT-Ressourcen On-Prem gehostet, ist dieser Ansatz von Nachteil. Als Teil von ZTNA kann dieser Nachteil ausgeglichen werden, indem die On-Prem-Ressourcen direkt verfügbar gemacht werden. Dazu ist eine ZTNA-Infrastruktur nötig, die direkt vom Endpunkt ausgeht. Die SASE-Cloud dient hierbei nur zur Steuerung und Authentisierung.
Gibt es beim Umstieg auf SASE oft übersehene Kosten?
Mit dem vollen Buy-in in die Public Cloud steigt die zur effektiven Nutzung benötigte Bandbreite drastisch an. Problematisch ist dies in entlegeneren Regionen, in denen zwar produziert wird, aber kein kostengünstiges All-inclusive-Internet mit guter Qualität verfügbar ist. Schlimmstenfalls kann es hier zu einer drastischen Verteuerung der Internetkosten durch aufwendige Leitungsbündelung kommen.
Welche Herausforderungen bringt die Umstellung auf den Ansatz des Zero-Trust-Network-Access mit sich?
Bei dem Konzept "Endpoint Initiated ZTNA" muss eine App auf jedem Gerät installiert werden, diese stellt im Hintergrund eine transparente Verbindung zu einem Connector/Proxy vor den Applikationen her. Bei jeder Client-Applikation können im niedrigen Prozentbereich Installationsprobleme auftreten. Am Ende der Applikation wiederum müssen die Connectors/Proxys ausgerollt werden. Auch dies ist ein manueller Vorgang. Bei dem Konzept "Service Initiated ZTNA" entfällt die Applikation auf jedem Endgerät. Falls eine Applikation noch nicht als Web-Applikation läuft, muss diese jedoch "webifiziert" werden, das heisst, die Applikation läuft auf einem Terminalserver und der Benutzer greift über den Browser darauf zu.
Was ändert sich konkret für Unternehmensmitarbeiter, wenn die IT-Abteilung auf ZTNA umstellt?
Beim Konzept "Enpoint Initiated ZTNA" kümmert sich eine kleine Applikation automatisch um die Verbindung zu der aufgerufenen Applikation oder der Ressource. Das Einzige, was der Endbenutzer sieht, ist ein anderes Authentifizierungsfenster. Im Gegensatz dazu müssen sich die Anwender bei "Service Initiated ZTNA" jeweils manuell in dem Cloud-Portal des Anbieters einloggen und dann von dort aus die Applikation aufrufen. Dies bedingt eine komplette Änderung des Arbeitsablaufes.
Wenn der Zufall Betrügern in die Hände spielt
Competec sucht CIO
Cyberkonferenz an der EPFL lädt zum Capture-the-Flag-Turnier
Dienstleistungen könnten 2024 zum grössten IT-Bereich werden
visiONstage – wo Business auf Zukunft trifft
Das Galaxy S24 Ultra zeigt: KI ist gut, Kontrolle ist besser
Swisscom ärgert Stammkundschaft mit automatischem Abo-Wechsel
Eiskunstlaufendes Hühnchen hebt ab
United Security Providers bekommt neuen Chef
