Zurück 
Dieser Blog ist Teil der fortlaufenden Reihe „I&O Perspectives“, die Einblicke von Branchenexperten zu den Auswirkungen aktueller Bedrohungen, der Vernetzung und anderer Trends in der Cybersicherheit bietet.
Da ich eine neue Rolle im Netskope Platform Engineering-Team antrete, bin ich gespannt darauf, zu erfahren, wie die Vision unseres Unternehmens die Entwicklung der Netzwerksicherheit in Unternehmen beeinflusst. Dieser erste Artikel in einer Reihe ist ein Beweis für meine technische Selbstbeobachtung und stellt die Hintergründe, Herausforderungen und Anforderungen vor, die zu SASE (Security Access Service Edge) geführt haben.
Im Laufe des letzten Vierteljahrhunderts haben Unternehmen das Internet nach und nach als zuverlässiges Transportmittel für Anwendungen erkannt. Die Fernarbeit hat diesen Wandel weiter beschleunigt und den Arbeitsplatz in eine grenzenlose Umgebung verwandelt. In Verbindung mit dem Aufkommen von SaaS-Anwendungen für Unternehmen hat dies zu einer neuen Ära der Konnektivität geführt.
In dieser neuen Ära ist das Internet jedoch zu einem kritischen Vektor für Cyberbedrohungen geworden. Da sich Unternehmen für die Konnektivität immer mehr auf das Internet verlassen, sind sie zunehmend komplexen Bedrohungen ausgesetzt, darunter Datenschutzverletzungen, Malware und Phishing-Angriffe. SASE entstand als Antwort auf die Einschränkungen traditioneller Netzwerk- und Sicherheitsmodelle.
Lassen Sie uns vor diesem Hintergrund eine Reise durch die jüngste Geschichte der WANs unternehmen, um zu verstehen, in welche Richtung sich Sicherheit und Netzwerke bewegen.
Die Entwicklung von Weitverkehrsnetzen prägt unsere Gegenwart und Zukunft
Im Jahr 2000, bevor die Internetblase platzte, hatte Cisco Systems die weltweit höchste Marktkapitalisierung und war der unangefochtene Marktführer in der Unternehmensnetzwerkbranche. Internet-Sicherheitsprodukte spielten in den Umsatzrechnungen von Cisco eine vernachlässigbare Rolle und trugen nur einen winzigen Bruchteil des Umsatzes bei. Insgesamt war die Cybersicherheit noch ein relativ kleiner Sektor. Unternehmensnetzwerke und das Internet existierten früher als zwei unterschiedliche Silos, eine Trennung, die von Natur aus Sicherheit bot, ohne dass eine Verschlüsselung erforderlich war.
Die WAN-Backbones (Wide Area Network), die definitionsgemäß auf einer privaten physischen Infrastruktur ausgeführt wurden, stützten sich auf veraltete dedizierte Punkt-zu-Punkt-Leitungen und -Protokolle, wie z. B. Frame Relay und ATM.
Darüber hinaus waren Cloud-Anwendungen für Unternehmen nicht so wichtig. Neben E-Mail waren auch die elektronische Kommunikation und die IT-Ressourcen hauptsächlich privat.
Einige Early Adopters begannen, mehr IPsec-Site-to-Site-Tunnel für WAN-Backups zu verwenden und Datenverkehr mit niedriger Priorität über das Internet auszulagern. Ich erinnere mich, dass ich 2002 eine solche Implementierung für ein großes Unternehmen demonstriert habe, aber es ging nicht über einen Proof-of-Concept hinaus. Zu dieser Zeit galt das Best-Effort-Internet nicht als geeignet, sensiblen Unternehmensdatenverkehr zu transportieren. Heute hat sich dies mit intelligenter Servicequalität und Orchestrierung innerhalb einer grafischen Oberfläche weiterentwickelt, die den SD-WAN-Teil von SASE darstellt.
Multiprotocol Label Switching (MPLS), ein virtuelles privates Netzwerk (VPN), eine echte IP-orientierte Lösung, war der aufstrebende Stern.
MPLS und VRF: Verbesserung des IP-Routings und der Netzwerkisolation
MPLS ist eine Reihe von Core-Switching-Protokollen, die entwickelt wurden, um das IP-Routing zu beschleunigen. Es kombiniert die Vorteile von IP und ATM.
Netzbetreiber und Anbieter haben die VPN-Anwendung von MPLS entwickelt, um eine Netzwerkisolierung auf Layer 3 zu ermöglichen. In einem MPLS-VPN-Netzwerk ist jedes VPN ein privater Routingkontext. Kunden erwerben einen oder mehrere VPN-Kontexte, um ihre WAN-Routing-Umgebungen über dieselbe physische Infrastruktur zu trennen.
Der Datenverkehr über MPLS-VPN wird in der Regel nicht verschlüsselt und das Netzwerk ist vertrauenswürdig. In den meisten Fällen wurden diese VPN-Instanzen auf natürliche Weise zu den Langstreckenerweiterungen der VLANs des lokalen Netzwerks. Computer mit demselben Nutzungsprofil befinden sich in denselben LAN-Segmenten und VPNs.
Die Auswirkungen von SLAs auf die Unterscheidung von MPLS-VPN und Internetdiensten
Für Unternehmen (oder zumindest ihre Rechtsabteilungen) waren SLAs und die damit verbundenen Strafen die wichtigste Qualitätskennzahl. Mit anderen Worten, wie können die Strafen für die Dienstleister schädlich genug sein, um eine angemessene Servicequalität zu gewährleisten und zu erreichen?
In MPLS-VPN-Netzwerken unterliegen die Paketzustellung, Roundtrip-Verzögerungen und die Verfügbarkeit von Diensten SLAs. Im Gegensatz dazu bieten die meisten Internetdienste nur SLAs für die Wiederherstellungszeit oder die Verfügbarkeit an. Diese Vertragsbestandteile waren das Hauptargument für Telekommunikationsunternehmen, MPLS-VPN von IPsec über das Internet zu unterscheiden.
SLAs gelten nicht, wenn die Verknüpfung aufgrund eines Ereignisses höherer Gewalt unterbrochen wurde: Naturkatastrophen, Kriegshandlungen, staatliche Maßnahmen und Pandemien, um nur einige zu nennen. Wenn beispielsweise ein Bagger ein Glasfaserkabel durchtrennt und selbst wenn dies nicht als Ereignis höherer Gewalt angesehen wird, macht es keinen Unterschied, ob es sich um einen Internet- oder MPLS-VPN-Dienst handelt. Es besteht nur eine geringe Chance, dass der Anbieter die Verknüpfung innerhalb der SLA-Zeit wiederherstellt.
Aufbau widerstandsfähiger und leistungsfähiger Netzwerke: Einhaltung von SLAs inmitten komplexer Einschränkungen
Um SLAs zu unterstützen, waren Resilienz und Kapazitätsmanagement schon immer vorherrschende Themen bei der Entwicklung von Kommunikationsnetzwerken. Bei diesen Attributen geht es im Wesentlichen darum, sicherzustellen, dass das Netzwerk umfangreich, redundant, schnell und agil genug ist, um die Kundenerwartungen unter allen Netzwerkbedingungen zu erfüllen. Um dies zu erreichen, müssen Sie jedoch eine komplexe Reihe von Einschränkungen bewältigen, wie z. B.:
- Mehrere Routen zwischen zwei Punkten verfügbar.
- Jede Verbindung verfügt über ein eigenes Kapazitätsmanagement.
- Backup-Routen müssen schnell genug wiederhergestellt werden, um die laufenden Sitzungen (z. B. einen Telefonanruf) zu erhalten, ohne dass die Benutzer bemerken, wenn eine Route ausfällt.
- Bei IP verfügen nicht alle Anwendungen (z. B. Sprache) über reservierte Bandbreite. Das Netzwerk kann Anwendungen mit niedriger Priorität bei Überlastungsereignissen drosseln, aber nicht übermäßig.
Die Ansätze in privaten Backbones wie MPLS und dem gemeinsamen Internetnetzwerk sind natürlich grundlegend unterschiedlich. Das Internet galt schon immer als "Best Effort", während MPLS-VPN die Servicequalität garantiert. Die Benutzer erwarten jedoch, dass das Internet unter den meisten Netzwerkbedingungen einen anständigen Dienst bietet. Der Wettbewerb unter den Internetdienstanbietern hat zu Qualitätsverbesserungen geführt. Techniken und Toolkits für die Verwaltung der Internetkapazität haben sich erheblich weiterentwickelt
Es wurden auch viele Anstrengungen unternommen, um das Arsenal an Traffic-Engineering-Techniken in IP-Protokollen und MPLS-Umgebungen zu erweitern, einschließlich Online-Kapazitätsmanagement, Bandbreitenreservierungen, Anwendungsprioritäten, Richtlinien für End-to-End-Pfade, schnelles Rerouting und mehr.
Die gute Nachricht ist, dass MPLS als Backbone-Technologie jetzt der zugrunde liegende Carrier für alles ist, von Mobilfunknetzen bis hin zum Internet, und einige dieser Bemühungen kommen auch dem Internet zugute, nicht nur MPLS-VPN.
Der Aufstieg des Internets: Von der Notwendigkeit zu Hause zum Rückgrat des Unternehmens
Für die Verbraucher bot das Internet schnell so wertvolle Anwendungsfälle, dass es bald unerlässlich wurde, einen Internetdienst zu Hause zu abonnieren. Einige dieser Beispiele sind persönliche E-Mails, Online-Shopping, Suchmaschinen, enzyklopädische Inhalte, soziale Medien und Instant Messaging.
Um 2008 eroberte das Internet den mobilen Raum mit dem benutzerfreundlichen Smartphone, seinem Ökosystem und den Hochgeschwindigkeits-Mobilfunkdaten. Smartphones erschlossen den Zugang zu diesen allgegenwärtigen Anwendungsfällen, was zu einem seismischen Anstieg des Datenflussvolumens und der Nutzerzahlen führte.
Neben dem Wachstum des Verkehrsaufkommens, das durch das Wachstum der Internet-Videodienste vervielfacht wurde (siehe Abbildung 1), stieg die Zahl der Internetnutzer drastisch an.
Auch die Internetnutzung in Unternehmen beschleunigte sich. Neben verbraucherfreundlichen Anwendungen wurde der Zugang zu SaaS-Anwendungen, beginnend mit Salesforce, zu einem wichtigen Thema für IT-Abteilungen. SaaS-Lösungen boten skalierbare, kostengünstige Alternativen zu herkömmlicher On-Premises-Software und reduzierten den Bedarf an umfangreicher IT-Infrastruktur und Wartung.
Einige CIOs beschlossen sogar, den Datenverkehr der Benutzer zurückzuleiten und private und teure Konnektivität wie Secure Cloud Direct Interconnect (SDCI) bereitzustellen, um Dienste zu erreichen, die hauptsächlich im (kostenlosen) öffentlichen Internet verfügbar sind. Lange Zeit konnten wir den Konflikt zwischen der Allgegenwart des Internets und der garantierten Servicequalität durch private Backbones nie vollständig lösen.
Remote-Arbeit: Der Wechsel zu SASE
Innovation drängte auf Veränderungen. Die Pandemie hat eine dramatische Wende bewirkt. Remote-Mitarbeiter wurden zur Norm. Sie konnten von zu Hause aus von Geschäftsanwendungen profitieren, als befänden sie sich in den privaten und verborgenen Bereichen der Unternehmensstandorte und WAN-Netzwerke. Cloud- und insbesondere virtuelle Meeting-Anwendungen wie Microsoft O365/Teams wären in einer zentralisierten Konfiguration mit einem einzigen oder wenigen WAN-Breakouts zum Internet betroffen. Benutzer verlangen, dass ihr Internetverkehr den kürzestmöglichen Weg zurücklegt.
Internetplayer stellten weiterhin massive Bandbreite bereit, um mit dem Tempo Schritt zu halten und die zusätzliche Last zu absorbieren. Das Internet hat die Last, die sich plötzlich von den Endpunkten der Bürogebäude auf die Heimatstandorte verlagerte, sehr gut bewältigt.
Natürlich wurde der Arbeitsplatz des Benutzers zur einzigen verbleibenden Barriere für den Schutz der Unternehmensdaten. Geistiges Eigentum, geheime Geschäftsdaten und alle zu schützenden Informationen müssen über das Gerät der Mitarbeiter und Cloud-Dienste erreicht werden, die sich überall befinden können.
Nichtsdestotrotz konnten CIOs keine Abstriche bei der Servicequalität und -sicherheit machen. Der Erhalt der Produktivität und die Gewährleistung der Privatsphäre und des Datenschutzes sind von entscheidender Bedeutung. Die Beseitigung des unternehmensweiten "Perimeters" hat zur Ausbreitung und Zunahme von ausgeklügelten Angriffen, Ransomware, unfreiwilligen Verletzungen der Vertraulichkeit und Insider-Bedrohungen geführt. Diese Bedrohungslandschaft erfordert ein allgegenwärtiges und granulares Sicherheitsmodell, um Benutzer und Daten überall zu schützen, von traditionellen Abwehrmaßnahmen, dem Burggraben, bis hin zu einer globalen, ständig aktiven Sicherheitsebene. Daraus entstand logischerweise SASE.
Im nächsten Teil dieser Blogserie untersuchen wir das SASE-Konnektivitätsparadigma und wie Netskope in dieser neuen Landschaft hochwertige Konnektivität bereitstellt.
Bleiben Sie dran für die kommenden Folgen unserer I&O Perspective-Serie. Besuchen Sie uns auf der SASE Week 2024 , um die neuesten Entwicklungen in Sachen SASE und Zero Trust zu erfahren und zu erfahren, wie Sie die Sicherheits- und Netzwerktransformationsstrategie Ihres Unternehmens verbessern können. Verpassen Sie nicht den "SASE for Networkers Roundtable" am 25. September, bei dem Kunden über ihre digitale Transformation in Richtung SASE berichten
Den Blog lesen