Netzwerkarchitektur neu definiert von Mathias Widler, Regional Director Zscaler DACH

Die Post-PC-Ära stellt etablierte Geschäftsabläufe grundsätzlich in Frage. Mitarbeiter arbeiten längst nicht mehr nur von einem Unternehmensstandort aus. Die Arbeitsweise basiert auf mobilen Anwendungen, die zunehmend in die Cloud verlagert werden. Beides zusammen erfordert eine neuartige Netzwerkarchitektur: ein Direct-to-Cloud Network.

  • Thursday, 6th February 2014 Posted 10 years ago in by Phil Alsop

Das Internet hat unsere Arbeitsweise grundlegend verändert. Klassische Arbeitsabläufe und Geschäftstätigkeiten wurden innerhalb kurzer Zeit erodiert. Die Cloud bringt weitere Umwälzungen mit. Unternehmen verlegen Anwendungen sukzessive in „die Wolke“. Das betrifft zum Teil einzelne Abteilungen oder gar ganze Geschäftsbereiche und geht mit veränderten Anforderungen an die Netzwerkarchitektur einher.

Bisher haben Unternehmen ihre Daten und Anwendungen in einem zentralen Rechenzentrum verwaltet. Eine "Hub and Spoke"-Architektur hat alle Niederlassungen mit dem Rechenzentrum in der Unternehmenszentrale verbunden. Derzeit verlegen Unternehmen aber Daten und Anwendungen zunehmend in die Cloud. Nach aktuellen Schätzungen entfallen bis zu 80% des Datenverkehrs auf Internetverbindungen. Die herkömmliche Vorgehensweise, den kompletten Traffic durch ein zentrales Rechenzentrum zu leiten, wird dadurch ineffizient. Denn alle Datenströme vom und zurück zum Anwender auf dem Weg in die Cloud müssen den Umweg über die Zentrale nehmen.

Netzwerktopografien haben sich bisher stetig der Dezentralisierung der Arbeitswelt angepasst. In den Anfängen wurden Zweigstellen über feste Verbindungen wie zum Beispiel Frame Relay mit dem zentralen Rechenzentrum verbunden. Die Außenstellen hatten keine Möglichkeit auf Netzwerke außerhalb der Zentrale zuzugreifen. Eine zentrale IT-Abteilung hat sämtliche Kommunikation kontrolliert, abgesichert und gesteuert. Allerdings hat diese Architektur den Nachteil eines Single Point of Failure: war eine Spoke-Verbindung zusammengebrochen, war auch die Zweigstelle vom Kommunikationsfluss abgeschnitten. Die Kosten für die Implementierung und den Unterhalt solcher Infrastrukturen waren erheblich. Inzwischen haben neuartige Technologien diese Art der Direktverbindung weitgehend abgelöst.

Mit dem Aufkommen des Internets wurde Frame-Relay durch MPLS  (Multi-Protocol Label Switching) ersetzt. MPLS erlaubte bereits ein deutlich intelligenteres Netzwerkmanagement und ermöglichte es Zweigstellen außerhalb des eigenen Rechenzentrums zu kommunizieren, da Punkt-zu-Punkt-Konnektivität über unterschiedliche Netzwerke hinweg möglich war. Diese Lösung war flexibler, redundanter und skalierbarer, als einfache Point-to-Point-Protokolle, aber nicht günstiger als beispielsweise Single Frame Relay oder ATM. Mit der Kommunikation von Zweigstellen, die nicht mehr den Weg über die Zentrale nahm, wanderte das Thema „Kontrollverlust“ auf die Agenda der IT-Abteilungen. Datenschutz und –sicherheit zu gewährleisten und Unternehmensrichtlinien für alle Außenstellen und Mitarbeiter durchzusetzen erwies sich als deutlich komplexer denn zuvor.

Mehr Mobilität, mehr Sicherheitsrisiken

Einen Ausweg aus dem Dilemma der Zweigstellenanbindung bot dann die VPN-Technologie. IPSec-VPN ermöglichte den direkten Internetzugang von Außenstellen. Bei Bedarf konnte ein sicherer Tunnel zum zentralen Rechenzentrum über eine verschlüsselte Punkt-zu-Punkt-Verbindung hergestellt werden. IPSec -VPN ist günstiger als MPLS und einfacher zu verwalten. Auf der anderen Seite traten Qualitätsprobleme auf, und es war eine höhere Netzwerkleistung erforderlich.

Heute sind Mitarbeiter vielfach außerhalb ihres Büros tätig. Mobile Endgeräte sind somit unerlässlich geworden, um auf Firmendaten oder das Internet zuzugreifen. Backhauling zum zentralen Rechenzentrum mittels MPLS, VPN oder Standleitung wird folglich immer aufwendiger und teurer. Der mobile Datenzugriff ist aber nicht nur vielfach teurer, auch die Zugriffszeit leidet. Gerade die mangelhafte Geschwindigkeit verleitet Anwender dazu, die Sicherheitsinfrastruktur zu umgehen. Von unterwegs aus wird direkt, und damit unter Umgehung der Firewall, ungesichert auf das Internet zugegriffen. Sensible Geschäftsdaten sind gefährdet.

Darüber hinaus hat sich nicht nur die Art des Traffics weg vom klassischen Firmenserver in die Cloud verlagert. Unternehmen stehen angesichts der veränderten Arbeitswelt vor der Herausforderung,  Sicherheit, Kontrolle und die Einhaltung von Unternehmensrichtlinien neu zu definieren. Sie müssen den neuen Arbeitsanforderungen gerecht werden, ohne den gesamten Webverkehr über zentrale Server zu routen.

Ein Direct-to-Cloud-Ansatz

Eine Option ist es, die Sicherheitsinfrastrukturen in jeder Zweigstelle über Appliances bereitzustellen. Das erfordert vergleichsweise hohe Investitions- und laufende Wartungskosten, ohne dass eine akzeptable Skalierbarkeit oder ein zuverlässiger Failover-Support gewährleistet ist. Darüber hinaus gibt es in vielen Unternehmen bereits mehr mobile Endgeräte als fest installierte PCs. Die mobile Arbeitsweise, Anwendungen und Nutzergewohnheiten machen entsprechende Sicherheitsinfrastrukturen erforderlich. Denn der herkömmliche Perimeter, auf den Appliances zugeschnitten waren, ist durch die Mobilität und die Cloud verschwunden: Der Geschäftsalltag findet außerhalb der traditionellen Firewall statt.

Neuartige Netzwerkarchitekturen wie ein Direct-to-Cloud Netzwerk (DCN) bieten eine Lösung an. Über ein DCN können Zweigstellen und mobile Mitarbeiter direkt über das Internet auf Anwendungen und Daten in der Cloud zugreifen. Datenströme ins Web müssen für den Zugriff somit nicht mehr über die Zentrale geroutet werden. Der direkte Datenzugang spart den Kapitalaufwand für die Infrastruktur der Backhaul-Pipes oder die Kosten für Sicherheits-Hard- und Software und deren operativen Aufwand. Backhaulkosten für den Verkehr zwischen Zentrale und Zweigstellen entfallen. Der Effekt derartiger Kosteneinsparungen fällt um so deutlicher ins Gewicht, je weiter ein Unternehmen regional verzweigt ist, oder je mehr Web-2.0 -Technologien und mobile Anwendungen eingesetzt werden. Der Daten-Traffic wird direkt in die Cloud übertragen, so dass potenzielle Serviceeinschränkungen entfallen. In einem DCN besteht zudem die Möglichkeit unternehmenseinheitliche Richtlinien und Sicherheitsvorschriften für alle Standorte zentral festzulegen und zu überwachen, ohne dass die einzelnen Niederlassungen in-House-Lösungen verwalten müssen.

In der Cloud wird der komplette Anwender-Traffic bidirektional auf Advanced Threats und Malware untersucht und damit der dynamischen Entwicklung von derzeitigen Web-Bedrohungen Rechnung getragen. Blacklist/Whitelist-Lösungen und periodische Patches mit Sicherheits-Updates entsprechen dem heutigen Bedrohungspotenzial nicht mehr. Die IT-Abteilung erhält durch ein Cloud-Network die Kontrolle über die Datensicherheit und die Einhaltung von Unternehmensrichtlinien zurück. Da die Richtlinien in der Cloud-umgesetzt werden, ist jeder Anwender in den Geltungsbereich der Sicherheitsrichtlinien einbezogen und kann sie nicht einfach umgehen. Ein Direct-to-Cloud-Ansatz ist eine logische und notwendige Weiterentwicklung der klassischen Netzwerkarchitektur.