Aktueller Channel Fokus:

Output Management

Blick auf das Ganze richten

SD-WANs wirkungsvoll schützen

| Autor / Redakteur: Pierre Langlois / Andreas Donner

Wer ein SD-WAN einsetzt, darf die Sicherheit der Systeme selbst nicht außer Acht lassen.
Wer ein SD-WAN einsetzt, darf die Sicherheit der Systeme selbst nicht außer Acht lassen. (Bild: © – sdecoret – stock.adobe.com)

Ein SD-WAN hat viele Vorteile. Einer davon ist die Sicherheit der Integrität von Daten und Anwendungen. In dieser Hinsicht lässt sich ein hohes Niveau erreichen. Doch diese Sicherheit ist bedroht, wenn nicht die SD-WAN-Infrastruktur selbst ebenfalls vor Angriffen geschützt wird.

Marktforschungsunternehmen wie IDC und MarketsandMarkets gehen davon aus, dass der weltweite Umsatz mit SD-WANs im Jahr 2021 bei acht bis neun Milliarden Dollar liegen wird – bei Zuwachsraten von rund 70 Prozent pro Jahr. Ein Grund dafür ist, dass Cloud-Anwendungen wie Software und Infrastruktur as a Service (SaaS, IaaS) mit einem SD-WAN eine zuverlässige, preisgünstige und flexible Weitverkehrstechnik zur Verfügung steht.

Hinzu kommt das hohe Sicherheitsniveau. So lassen sich für Anwendungen separate Sicherheitsregeln (Policies) definieren. Zudem ist es möglich, eine Mikrosegmentierung des Datenverkehrs vorzunehmen. Allerdings ist beim Thema Sicherheit ein weiterer Aspekt zu beachten: Auch die SD-WAN-Infrastruktur selbst muss vor Angriffen geschützt werden. Dabei spielen drei Faktoren eine Rolle:

  • der Schutz der SD-WAN-Appliances in Niederlassungen gegen Cyberangriffe,
  • das Beseitigen von CVE-Schwachstellen (Common Vulnerabilities and Exposures), die vor allem Open-Source-Komponenten von SD-WANs tangieren sowie
  • die physische Absicherung der Appliances.

Integrierte Sicherheitsfunktionen

Wichtig ist, dass eine SD-WAN-Appliance nicht nur über ein Passwortmanagement verfügt. Systeme wie Silver Peaks Unity-EdgeConnet-Appliances stellen weitere Sicherheitsfunktionen zur Verfügung. Dazu gehört eine Firewall, mit der sich mehrere Zonen einrichten lassen und die ankommende SSH-Datenströme blockiert.

Noch besser ist eine benutzerfreundliche Zero-Touch-Implementierung von Sicherheitsfunktionen wie einer Zwei-Faktor-Authentifizierung. Sie sperrt verdächtige Systeme aus dem SD-WAN aus. „Zwei Faktor“ bedeutet, dass eine Appliance zunächst beim Cloud-Portal von Silver Peak registriert wird. Anschließend bindet ein Administrator des Nutzers das System mithilfe der Unity-Orchestrator-Managementlösung in das SD-WAN ein. Das ist der zweite Faktor. Eine weitere Sicherheitsmaßnahme ist die Verschlüsselung der Kommunikation zwischen den Appliances, der Managementlösung (Unity Orchestrator) und dem Cloud-Portal. Dabei sollten standardmäßig starke Verschlüsselungsverfahren genutzt werden, etwa TLS (Transport Layer Security).

CVEs ausschalten

Open-Source-Software-Komponenten, die Sicherheitslücken enthalten, schwächen eine SD-WAN-Lösung. Manche Schwachstellen sind bereits mehr als zehn Jahre alt. Das ist nicht akzeptabel, schon gar nicht in Systemen, die in Unternehmen zum Einsatz kommen. Daher ist es wichtig, Programmcode aus externen Quellen auf potenzielle Lücken hin zu untersuchen. Silver Peak hat für diesen Zweck ein eigenes Product Security Incident Response Team (PSIRT) zusammengestellt.

Außerdem sollten Anbieter von SD-WAN-Lösungen regelmäßig Sicherheitsratgeber (Security Advisories) veröffentlichen. Ein weiteres Qualitätskriterium ist, wie schnell Spezialisten eines Anbieter Sicherheits-Updates zur Verfügung stellen. Auch solche Faktoren sollten Interessenten bei der Auswahl eines SD-WAN-Produkts berücksichtigen.

Hände weg von den Appliances

Ein weiteres Sicherheitsrisiko wird häufig unterschätzt: der Zugriff Unbefugter auf Netzwerkhardware wie SD-WAN-Appliances. Es ist meist kein Problem, sich Zugang zu solchen Systemen zu verschaffen, denn die Appliances sind oft in Verteilerschränken untergebracht, zu denen etliche Fachleute Zugang haben – etwa Servicetechniker und Systemverwalter. Ein Schaden kann allein durch die Unachtsamkeit eines Mitarbeiters entstehen, etwa wenn er versehentlich Netzwerk- oder Stromkabel löst.

Deshalb gilt auch hier: Im Vorfeld prüfen, wie es um den physischen Schutz eines SD-WAN-Systems bestellt ist. Hochwertige Lösungen sind mit Hardware- und Software-Schutzmaßnahmen ausgestattet. Sie verhindern Manipulationen und geben Rückmeldung, wenn sich jemand am Gehäuse oder anderen Komponenten zu schaffen macht.

Fazit: Ganzheitliche Sichtweise erforderlich

Pierre Langlois.
Pierre Langlois. (Bild: Silver Peak)

Sicherheit bei SD-WANs umfasst mehr als den Schutz der Integrität von Daten und Anwendungen, die über eine solche Infrastruktur transportiert werden. Gefordert ist eine ganzheitliche Sicht. Diese sollte auch die Hard- und Software der Appliances miteinbeziehen, über die letztlich diese Applikationen bereitgestellt werden. Denn eines ist klar: Wer ein softwarebasiertes WAN einsetzt, um seine Weitverkehrsinfrastruktur flexibler und sicherer zu machen, darf nicht an der Sicherheit der Systeme selbst sparen.

Über den Autor

Pierre Langlois ist bei Silver Peak als Director Sales EMEA tätig.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45181126 / Security)