Immer mehr Unternehmen arbeiten heute auf die Einführung einer SASE-Architektur hin. Dabei hat sich gezeigt, dass die traditionelle Marktdefinition von SASE (SSE + SD-WAN) zu kurz greift: Sie zwingt manche Teams dazu, zur Erfüllung ihrer spezifischen Anforderungen mit mehreren Anbietern zusammenzuarbeiten und Zugeständnisse bei Performance und Sicherheit zu machen. Noch besorgniserregender ist, dass eher eine Checkliste von Diensten als die zugrundeliegenden Architektur eines Anbieters im Fokus steht. Doch wenn Unternehmen ihren Datenverkehr letzten Endes durch ein fragmentiertes und fehleranfälliges Netzwerk leiten, spielt keine Rolle, wie fortschrittlich einzelne Sicherheitsservices oder Trafficanbindungen sind.
SASE aus einer Hand ist ein wichtiger Trend bei der Zusammenführung unterschiedlicher Sicherheits- und Netzwerktechnologien. Eine vollvermaschte Vernetzung (Any-to-Any-Konnektivität) innerhalb von Unternehmen erfordert aber eine echte Netzwerkmodernisierung, damit SASE auch für alle Teams funktioniert. In den letzten Jahren hat Cloudflare Funktionen eingeführt, die Unternehmen bei der Modernisierung ihrer Netzwerke unterstützen, während sie die Umsetzung ihrer kurz- und langfristigen Pläne für SASE-Anwendungsfälle verfolgen. Wir haben dazu beigetragen, die SASE-Implementierung zu vereinfachen, und zwar unabhängig davon, welches Team die Initiative leitet.
Weitere flexible Anbindungsmöglichkeiten für SASE aus einer Hand
Heute geben wir eine Reihe von Updates unserer SASE-Plattform Cloudflare One bekannt, die das Versprechen einer SASE-Architektur aus einer Hand erfüllen. Durch diese neuen Funktionen macht Cloudflare SASE-Netzwerke flexibler und zugänglicher für Sicherheitsteams und effizienter für herkömmliche Netzwerkteams. Zugleich wird die Reichweite auf einzigartige Weise auf einen bislang unterversorgten technischen Bereich im übergeordneten Kontext der SASE-Vernetzung ausgedehnt: DevOps.
Die Aktualisierung der Plattform umfasst:
- Flexible Möglichkeiten zur Einführung von Site-to-Site-Verbindungen, die sowohl Agenten-/Proxy-basierte als auch Appliance-/Routing-basierte Implementierungen ermöglichen und so die SASE-Vernetzung für Sicherheits- und Netzwerkteams vereinfachen.
- Neue WAN as a Service (WANaaS)-Funktionen wie Hochverfügbarkeit, Anwendungskonformität (Application Awareness), eine Option zur Bereitstellung virtueller Maschinen sowie verbesserte Übersicht und Analysen, die die betriebliche Effizienz steigern und gleichzeitig die Netzwerkkosten durch einen „Light Branch, Heavy Cloud“-Ansatz senken.
- Zero Trust-Verbindungen für DevOps: Mesh- und Peer-to-Peer (P2P)-Funktionen für sichere Netzwerkdienste zur Erweiterung von ZTNA, um Service-to-Service-Arbeitsabläufe und bidirektionalen Datenverkehr zu unterstützen.
In einem anderen Blogbeitrag haben wir uns kürzlich mit dem Magic WAN Connector befasst und erläutert, wie alle unsere Anbindungen in unserer SASE-Referenzarchitektur ineinandergreifen, einschließlich unseres neuen WARP Connectors. In diesem aktuellen Blogbeitrag konzentrieren wir uns nun auf die wichtigsten Auswirkungen dieser Technologien für Kunden, die SASE-Netzwerke aus verschiedenen Blickwinkeln betrachten.
Höhere Flexibilität und Zugänglichkeit für Sicherheitsteams
Während der Implementierung einer SASE-Architektur kann der Status quo eines Unternehmens in Bezug auf interne Zuständigkeiten und die Zusammenarbeit zwischen der IT-, Sicherheits- und Netzwerksabteilung infrage gestellt werden. Einzelne Teams nutzen unterschiedliche Sicherheits- oder Netzwerktechnologien, deren Austausch nicht unbedingt aufeinander abgestimmt wird. Das kann die Bereitschaft des Unternehmens verringern, bestimmte Projekte zu unterstützen.
Sicherheits- oder IT-Experten müssen in der Lage sein, Ressourcen unabhängig von ihrem Standort zu schützen. Manchmal würde ihnen schon eine kleine Anpassung der Konnektivität dabei helfen, eine bestimmte Ressource effizienter abzusichern, doch dies liegt nicht in ihrem Einflussbereich. Sicherheitsteams wollen nicht von Netzwerkteams abhängig sein, um ihre Arbeit zu erledigen. Sie wollen aber aber auch keine nachgelagerten Probleme mit der bestehenden Netzwerkinfrastruktur verursachen. Zum Beispiel brauchen sie eine einfachere Möglichkeit, Subnetze ohne bürokratische Hürden zu verbinden.
Agenten-/Proxy-basierte Site-to-Site-Verbindungen
lDamit diese sicherheitsorientierten Projekte nicht an traditionellen Silos scheitern, bietet Cloudflare sowohl Agenten-/Proxy-basierte als auch Appliance-/Routing-basierte Implementierungen für Site-to-Site- oder Subnet-to-Subnet-Verbindungen an. So können Netzwerkteams die klassischen Netzwerkkonzepte, mit denen sie vertraut sind, über unser Appliance/Routing-basiertes WANaaS weiterverfolgen. Anstelle der herkömmlichen SD-WAN-Overlays kommen sie in den Genuss einer modernen Architektur. Gleichzeitig können Sicherheits- und IT-Teams Konnektivität über leichter zu implementierende Agenten- und Proxy-basierte Software-Konnektoren (wie den WARP Connector) erreichen. Dieser Agenten-basierte Ansatz verwischt die Grenzen zwischen den Branchenstandards für Zweigstellen-Konnektoren und Anwendungs-Konnektoren und bringt die WAN- und ZTNA-Technologie näher zusammen. Das trägt dazu bei, überall das Prinzip der geringsten Zugangsrechte anwenden zu können.
Agent/Proxy-basierte Verbindungen können eine ergänzende Lösung für einen Teil der Netzwerkkonnektivität eines Unternehmens sein. Zu diesen softwaregesteuerten Site-to-Site-Anwendungsfällen könnten Microsites ohne Router oder Firewalls gehören oder Fälle, in denen Teams keine IPsec- oder GRE-Tunnel konfigurieren können, wie in streng regulierten verwalteten Netzwerken oder Cloud-Umgebungen wie Kubernetes. Je nach Bedarf können Unternehmen verschiedene Traffic-Zugänge kombinieren. Alle Optionen sind kombinierbar und können gleichzeitig verwendet werden.
Unser Agent/Proxy-basierter Ansatz für Site-to-Site-Verbindungen beruht auf derselben Technologie, mit der Sicherheitsteams VPN vollständig ersetzen können. Er unterstützt ZTNA für Anwendungen mit Server-initiiertem oder bidirektionalem Datenverkehr. Dazu gehören Dienste wie Voice over Internet Protocol (VoIP) und Session Initiation Protocol (SIP)-Datenverkehr, der System Center Configuration Manager (SCCM) von Microsoft, Active Directory (AD)-Domain-Replikation und – wie weiter unten beschrieben – DevOps-Arbeitsabläufe.
Diese neue Cloudflare-Anbindung ermöglicht Site-to-Site-, Bidirektional- und Mesh-Netzwerk-Verbindungen ohne Änderungen an der zugrundeliegenden Netzwerk-Routing-Infrastruktur. Sie fungiert als Router für das Subnetz innerhalb des privaten Netzwerks, um den Datenverkehr über Cloudflare hinein- und herauszuleiten.
Höhere Effizienz für Netzwerkteams
Die aktuellen Branchenstandards zwingen Netzwerkteams, die eine auf der Netzwerkschicht angesiedelte Appliance/Routing-basierte Implementierung für Site-to-Site-Verbindungen bevorzugen, jedoch immer noch, in vielerlei Hinsicht zwischen Sicherheit, Performance, Kosten und Zuverlässigkeit abzuwägen. Viele (wenn nicht sogar die meisten) großen Unternehmen verlassen sich nach wie vor auf ältere Formen der privaten Konnektivität wie MPLS. MPLS gilt im Allgemeinen als teuer und unflexibel, ist aber sehr zuverlässig und verfügt über Funktionen wie Quality of Service (QoS), die für das Bandbreitenmanagement genutzt werden.
Standard-Internetanschlüsse sind in den meisten Teilen der bewohnten Welt weit verbreitet, haben aber eine Reihe von Nachteilen, die sie zu einem unvollkommenen Ersatz für MPLS machen. In vielen Ländern ist das Hochgeschwindigkeitsinternet schnell und billig, aber das gilt nicht für alle. Geschwindigkeit und Kosten hängen von der lokalen Infrastruktur und dem Markt für regionale Provider ab. Zudem ist das Breitbandinternet im Allgemeinen nicht so zuverlässig wie MPLS. Ausfälle und Verlangsamungen sind nichts Ungewöhnliches, wobei die Kunden unterschiedlich tolerant sind, was die Häufigkeit und Dauer der Unterbrechungen angeht. Für Unternehmen sind Ausfälle und Verlangsamungen nicht tolerierbar. Netzwerkstörungen bedeuten Geschäftsverluste, unzufriedene Kunden, geringere Produktivität und frustrierte Mitarbeitende. Obwohl sich ein Großteil des Datenverkehrs von Unternehmen ohnehin ins Internet verlagert hat, haben viele deshalb Schwierigkeiten, von MPLS loszukommen.
Mit SD-WAN wurde eine Alternative zu MPLS eingeführt, die transportneutral ist und die Netzwerkstabilität im Vergleich zu herkömmlichen Breitbandverbindungen erhöht. Hinsichtlich Topologie und Sicherheit bringt dieser Ansatz aber neue Herausforderungen mit sich. Beispielsweise erhöhen viele SD-WAN-Implementierungen unter Umständen das Risiko, wenn sie die Überprüfung zwischen Zweigstellen umgehen. Außerdem bestehen implementierungsspezifische Herausforderungen, z. B. die Skalierung und die Verwendung/Kontrolle (oder genauer gesagt das Fehlen) einer „mittleren Meile“. Deshalb gelingt es vielen Unternehmen nicht, vollständig auf Internet-Konnektivität umzusteigen und MPLS abzuschaffen. Diese Probleme liegen für einige Kunden zum Zeitpunkt der Anschaffung nicht klar auf der Hand und erfordern eine kontinuierliche Aufklärung am Markt.
Die Entwicklung des Firmen-WAN
Die Cloudflare-Lösung Magic WAN folgt einem anderen Prinzip, das auf Grundlage der Connectivity Cloud von Cloudflare entwickelt wurde. Dabei wird ein „Light Branch, Heavy Cloud“-Ansatz verfolgt, um bestehende Netzwerkarchitekturen, einschließlich MPLS-Leitungen und SD-WAN-Overlays, zu ergänzen und letzten Endes zu ersetzen. Magic WAN verfügt über ähnliche cloudnative Routing- und Konfigurationskontrollen, wie sie Kunden von traditionellem SD-WAN erwarten würden. Das Produkt ist aber leichter zu implementieren, zu verwalten und zu nutzen. Es kann mit den sich ändernden Geschäftsanforderungen skaliert werden und bietet integrierte Sicherheit. Solocal und andere Kunden sind sich darin einig, dass dank der Vorteile dieser Architektur letztlich ihre Gesamtbetriebskosten sinken:
„Der Magic WAN Connector von Cloudflare ermöglicht ein zentrales und automatisiertes Management der Netzwerk- und Sicherheitsinfrastruktur mit einem intuitiven Ansatz. Als Teil der SASE-Plattform von Cloudflare bietet er eine einheitliche und homogene Single-Vendor-Architektur, die auf Marktstandards und Best Practices beruht. Die Kontrolle über alle Datenströme ist gewährleistet und das Risiko von Sicherheitsverstößen oder -lücken wird gesenkt. Es ist für uns offensichtlich, dass Solocal dadurch erhebliche Einsparungen erzielen kann, da wir alle Kosten für die Anschaffung, Installation, Wartung und Aufrüstung unserer Zweigstellennetzgeräte um bis zu 40 Prozent reduzieren. Diese Konnektivitätslösung hat hohes Potenzial für unsere IT-Abteilung bei der Modernisierung unseres Netzwerks.“
– Maxime Lacour, Network Operations Manager, Solocal
Dies unterscheidet sich deutlich von den Ansätzen anderer SASE-Anbieter. Diese versuchen, Anschaffungen unter einen Hut zu bringen, die anhand völlig verschiedener Designphilosophien entwickelt wurden. Solche versatzstückhaften Lösungen führen aufgrund ihrer fragmentierten Architekturen zu einer uneinheitlichen Erfahrung – ähnlich der, die Unternehmen erleben könnten, wenn sie ohnehin mehrere verschiedene Anbieter verwalten würden. Die Zusammenführung der SASE-Komponenten bei einem einzigen Anbieter mit einer einheitlichen, integrierten Lösung anstelle einer Kombination aus verschiedenen Netzwerk- und Sicherheitslösungen vereinfacht die Bereitstellung und Verwaltung erheblich: Komplexität, die Umgehung von Sicherheitsmaßnahmen und potenzielle Integrations- oder Konnektivitätsprobleme werden verringert.
Magic WAN kann automatisch IPsec-Tunnel zu Cloudflare aufbauen. Dies erfolgt über unser Connector-Gerät, manuell über Anycast IPsec- oder GRE-Tunnel, die auf einem Edge-Router oder einer Firewall des Kunden initiiert werden, oder über Cloudflare Network Interconnect (CNI) an privaten Peering-Standorten oder auf Public Cloud-Instanzen. Damit geht man über den Anspruch der „Integration“ mit SSE hinaus, um Sicherheits- und Netzwerkfunktionen wirklich zusammenzuführen und Unternehmen dabei zu helfen, ihre Netzwerke auf effizientere Weise zu modernisieren.
Neue Funktionen des Magic WAN Connector
Im Oktober 2023 haben wir die allgemeine Verfügbarkeit des Magic WAN Connector bekanntgegeben. Das schlanke Gerät kann von Kunden in bestehende Netzwerkumgebungen eingefügt werden, um eine Zero Touch-Verbindung zu Cloudflare One herzustellen und letztendlich andere Netzwerkhardware wie SD-WAN-Geräte, Router und Firewalls zu ersetzen. Wir freuen uns, heute neue Funktionen des Magic WAN Connector vorstellen zu können. Dazu zählen unter anderem:
- Hochverfügbarkeitskonfigurationen für kritische Umgebungen: Unternehmen wünschen sich bei neuen internen Implementierungen in der Regel eine Unterstützung von Hochverfügbarkeit, um das Risiko von Hardwareausfällen zu verringern. Bei der Hochverfügbarkeit werden zwei Magic WAN Connector verwendet (die als VM oder auf einem unterstützten Hardwaregerät laufen). Diese arbeiten zusammen, um den Betrieb nahtlos wieder aufnehmen zu können, wenn ein Gerät ausfällt. Kunden können die Hochverfügbarkeitskonfiguration, wie alle anderen Aspekte des Magic WAN Connector, über das Cloudflare One-Dashboard verwalten.
- Anwendungskonformität (Application Awareness): Eines der zentralen Unterscheidungsmerkmale von SD-WAN gegenüber herkömmlichen Netzwerkgeräten ist die Möglichkeit, auf bekannten Anwendungen beruhende Datenverkehrsrichtlinien zu erstellen – zusätzlich zu Netzwerkschicht-Attributen wie IP-Adress- und Portbereichen. Anwendungsspezifische Richtlinien ermöglichen eine einfachere Verwaltung und eine größere Granularität der Datenverkehrsströme. Die Cloudflare-Implementierung von Application Awareness nutzt Informationen aus unserem globalen Netzwerk und dieselbe Kategorisierung/Klassifizierung, die bereits von Sicherheitstools wie unserem Secure Web Gateway verwendet wird. Somit können IT- und Sicherheitsteams ein einheitlicheres Verhalten bei Routing- und Überprüfungsentscheidungen erwarten. SASE-Lösungen, die von zwei Anbietern bereitgestellt oder zusammengestückelt sind, können das nicht bieten.
- Möglichkeit der Bereitstellung virtueller Maschinen: Der Magic WAN Connector ist jetzt als virtuelles Appliance-Software-Image verfügbar, das für den sofortigen Einsatz auf jeder unterstützten Virtualisierungsplattform/jedem unterstützten Hypervisor heruntergeladen werden kann. Der virtuelle Magic WAN Connector bietet dasselbe extrem einfache Bereitstellungsmodell und zentralisierte Flottenmanagement wie die Hardware-Appliance und wird allen Magic WAN-Kunden ohne zusätzliche Kosten zur Verfügung gestellt.
- Verbesserte Übersicht und Analysen: Der Magic WAN Connector ermöglicht einen verbesserten Einblick in wichtige Kennzahlen wie Verbindungsstatus, CPU-Auslastung, Speicherverbrauch und Gerätetemperatur. Diese Analysedaten sind über ein Dashboard und eine API verfügbar, sodass Betriebsteams die Daten in ihre Network Operation Center integrieren können.
Ausdehnung der Reichweite von SASE auf DevOps
Komplexe Continuous Integration- und Continuous-Delivery (CI/CD)-Pipelines sind für ihre Agilität bekannt. DevOps-Teams verlassen sich allzu oft auf herkömmliche VPN, um den Fernzugriff auf verschiedene Entwicklungs- und Betriebstools zu ermöglichen. VPN sind mühsam zu verwalten, anfällig für bekannte Sicherheitslücken oder Zero-Day-Schwachstellen und verwenden ein veraltetes Hub-and-Spoke-Konnektivitätsmodell, das für moderne Workflows zu langsam ist.
Unter allen Gruppen von Mitarbeitenden sind Entwickler besonders gut dazu in der Lage, kreative Workarounds zu finden, die die Reibung bei ihren alltäglichen Arbeitsabläufen verringern. Deshalb müssen alle Sicherheitsmaßnahmen des Unternehmens auf einfache Weise funktionieren, ohne sie zu behindern. Im Idealfall sollten alle Nutzer und Server in Build-, Staging- und Produktivumgebungen durch zentralisierte Zero Trust-Zugriffskontrollen gesteuert werden – unabhängig davon, welche Komponenten und Tools verwendet werden und wo sie sich befinden. Ad-hoc-Richtlinienänderungen sollten ebenso möglich sein wie ein vorübergehender Zero Trust-Zugriff für Auftragnehmer oder sogar Notfallhelfer während eines Vorfalls auf einem Produktivserver.
Zero Trust-Konnektivität für DevOps
ZTNA eignet sich gut als Branchenprinzip für den sicheren Zugriff von Nutzern auf Anwendungen mit den geringsten Rechten, sollte aber auch auf sichere Netzwerkanwendungen ausgedehnt werden, die von Servern initiierten oder bidirektionalen Datenverkehr umfassen. Dies folgt einem aufkommenden Trend, der ein Overlay-Mesh-Konnektivitätsmodell für Clouds, VPC oder Netzwerksegmente ohne Router vorsieht. Für echte vollvermaschte Verbindungen benötigen Kunden Flexibilität, um alle Anwendungsfälle für Netzwerkkonnektivität und Anwendungszugriff abzudecken. Nicht jeder SASE-Anbieter kann mit seinen Netzwerkanbindungen mehr als den vom Kunden initiierten Datenverkehr bedienen, ohne dass Änderungen am Netzwerk-Routing erforderlich sind oder Sicherheitszugeständnisse gemacht werden müssen. Allgemeine Versprechungen einer Any-to-Any-Konnektivität sollten daher nicht unbesehen geglaubt werden.
Cloudflare erweitert die Reichweite von ZTNA, um sicherzustellen, dass alle Nutzer-zu-Applikation-Anwendungsfälle abgedeckt sind. Außerdem werden sichere Mesh- und P2P-Netzwerkdienste angeboten, um die Konnektivitätsoptionen so breit und flexibel wie möglich zu gestalten. DevOps-Service-to-Service-Workflows können effizient auf derselben Plattform ausgeführt werden, die ZTNA, VPN-Ersatz oder unternehmensgerechten SASE ermöglicht. Cloudflare fungiert als Konnektivitäts-„Klebstoff“ für alle DevOps-Nutzer und -Ressourcen – bei jedem Schritt und unabhängig vom Datenverkehrsfluss. Dieselbe Technologie, d. h. WARP Connector, ermöglicht Admins die Verwaltung verschiedener privater Netzwerke mit überlappenden IP-Bereichen. Abgedeckt werden VPC und RFC1918, die Unterstützung von serverinitiiertem Datenverkehr und P2P-Anwendungen (z. B. SCCM, AD, VoIP- und SIP-Datenverkehr), die Verbindung über bestehende private Netzwerke, der Aufbau privater P2P-Netzwerke (z. B. CI/CD-Ressourcenströme) und die deterministische Weiterleitung von Datenverkehr. Darüber hinaus können Unternehmen die Verwaltung ihrer SASE-Plattform mit dem Terraform-Anbieter von Cloudflare automatisieren.
Cloudflare macht den Unterschied
Die SASE-Plattform von Cloudflare, Cloudflare One, basiert auf unserer Connectivity Cloud – der nächsten Evolutionsstufe der Public Cloud. Sie bietet eine einheitliche, smarte Plattform mit programmierbaren und modularen Diensten, die Verbindungen zwischen allen Netzwerken (Unternehmen und Internet), Clouds, Anwendungen und Nutzern ermöglichen. Unsere Connectivity Cloud ist flexibel genug, um Any-to-Any-Verbindungen für Unternehmen, die eine SASE-Architektur implementieren, leicht zugänglich zu machen, indem sie Implementierungsvorlieben neben festgelegten Leitlinien berücksichtigt. Cloudflare bietet die erforderliche Breite und Tiefe, um Unternehmen dabei zu helfen, mit SASE aus einer Hand und vielem mehr die Kontrolle über ihre IT zurückzuerlangen. Gleichzeitig ist es möglich, die Arbeitsabläufe für jedes Team zu vereinfachen, das zu der Entwicklung beiträgt.
Andere SASE-Anbieter haben ihre Rechenzentren für an das Internet gerichteten ausgehenden Traffic konzipiert. Sie sind deshalb ursprünglich nicht für die Verarbeitung oder Absicherung von Ost-West-Datenverkehr ausgelegt und bieten weder Middle Mile- noch Sicherheitsdienste für den Traffic zwischen den Zweigstellen und der Firmenzentrale oder zwischen verschiedenen Zweigstellen an. Das globale Middle-Mile-Backbone von Cloudflare unterstützt Sicherheits- und Netzwerkfunktionen für Any-to-Any-Verbindungen – unabhängig davon, ob die Nutzer vor Ort oder anderswo sind und ob sich die Anwendungen im Rechenzentrum oder in der Cloud befinden.
Mehr zu diesem Thema können Sie unserer Referenzarchitektur „Umstellung auf eine SASE-Architektur mit Cloudflare“ entnehmen. Alternativ können sich gern an einen Cloudflare One-Experten wenden.