Wie VPN funktioniert und weshalb es an seine Grenzen stösst
Die sichere Datenkommunikation zwischen Firmenstandorten, Remote Usern, Cloud-Anbindungen und Anbindung zu Lieferanten und Partnerfirmen ist ein Rückgrat heutiger Unternehmungen. Der ortsunabhängige Zugriff auf Daten unterstützt Geschäftsmodelle, welche ohne VPN-Technologie nicht denkbar wären. Doch kommt der klassische VPN-Ansatz an seine Grenzen.
In den letzten Monaten mussten Unternehmen von heute auf morgen auf Homeoffice umstellen. Den meisten ist der Begriff "VPN" bestimmt vertraut und so manche Nutzer und Nutzerinnen haben sich dabei bestimmt über zusätzliche Schritte oder langsame Verbindung geärgert. Trotzdem war die Technik ein Segen, denn sie hat Homeoffice erst möglich gemacht. Es gibt aber nicht nur das "eine" VPN, wie man es aus dem Homeoffice-Umfeld kennt. Durch die globale Ausdehnung der Geschäftstätigkeit, die steigende Zahl mobiler User und die zunehmende Nutzung von Cloud-Services gewinnen auch weitere VPN-Ansätze an Bedeutung.
Grenzen des traditionellen Fernzugriffs
Die grosse Herausforderung heutiger Netzwerkinfrastrukturen ist es, die Dynamik des Business zu unterstützen oder dieses erst zu ermöglichen. Ein Virtual Private Network (VPN), welches das Internet als Transportmedium nutzt, ermöglicht die sichere Kommunikation zwischen Firmenstandorten (Site-to-Site VPN) oder Remote Access (Client-to-Site VPN). Mit der globalen Verfügbarkeit von qualitativ hochstehenden und im Verhältnis günstigen Internetanbindungen lassen sich VPN-Netzwerke innerhalb von Stunden aufbauen.
Nebst der Verfügbarkeit der Netzwerkinfrastruktur hat die Sicherheit höchste Priorität. Um den sicheren Datentransport zu gewährleisten, werden deshalb die Daten zwischen den beiden Endpunkten verschlüsselt übermittelt. So sind sie vor Einsicht, Veränderung oder Missbrauch der Daten durch Unberechtigte geschützt. Darüber hinaus muss natürlich auch die Sicherheit auf den Endpunkten und die Authentisierung dieser sichergestellt werden. Denn mit dem Einsatz von VPN-Technologien verschiebt sich die Netzwerkgrenze auf diese Endpunkte.
Wie funktioniert ein VPN?
Ein VPN stellt eine private Verbindung zwischen zwei Endpunkten, einen sogenannten "Tunnel", über ein öffentliches Netz her. Auf diese Weise können Remote-Benutzer und Zweigstellen eine sichere Verbindung zu einem Unternehmensnetzwerk oder einer Webanwendung herstellen. Grundsätzlich lassen sich VPNs in zwei klassische Typen unterteilen:
Client-to-Site VPN
Beim Client-to-Site VPN ist auf der Remote-Seite ein Nutzer oder eine Nutzerin mit dem Endgerät (Notebook, Tablet, Smartphone und weitere), das sich über einen VPN-Tunnel zu einem VPN-Gateway (Router oder Firewall) am Hauptstandort verbindet, meist über das Internet. Sobald ein Gerät über das VPN mit dem Unternehmensnetzwerk verbunden ist, verhält es sich so, als ob es sich im lokalen Netzwerk befindet. Zudem werden die IP-Adressen der Endgeräte vor neugierigen Blicken geschützt. Dies ist der typische VPN-Ansatz für Homeoffice-Umgebungen.
Die zwei derzeit am häufigsten verwendeten Tunneling-Protokolle sind das Internet Protocol Security (IPsec) und das Transport Layer Security (TLS), mit welchen die Vertraulichkeit, Authentizität und Integrität der übermittelten Daten gewährleistet wird. Wie bei allen sicherheitsrelevanten Systemen gilt natürlich auch hier: Es soll die neuste Version des eingesetzten Protokolls zur Anwendung kommen, um so den grösstmöglichen Schutz bieten zu können.
Client-to-Site VPNs sind sternförmig aufgebaut, sprich der Datenverkehr wird immer über ein zentrales Gateway geleitet. Dieser "Umweg" kann die Nutzererfahrung von Cloud-Anwendungen stark beeinträchtigen. Wenn die Mitarbeitenden nicht über das VPN verbunden sind, kann das Unternehmen weder den Zugriff auf nicht genehmigte Anwendungen unterbinden noch sonstige Sicherheitsrichtlinien durchsetzen.
Site-to-Site VPN
Ein Site-to-Site VPN kommt zur Anwendung, wenn es darum geht, Firmenstandorte (etwa Filialen) mit dem Hauptstandort, einem Datacenter oder mit der Cloud zu verbinden. Als VPN-Endpunkte dienen meist Router oder Firewalls. In Abhängigkeit der Datenflüsse wird eine Hub-and-Spoke- oder eine Any-to-Any-VPN-Architektur gewählt. Die Hub-and-Spoke-Architektur eines Netzwerks erinnert an den Aufbau eines Rads mit Speichen (Spokes) und Nabe (Hub). Die einzelnen Filialen sind also sternförmig über eine Netzwerkverbindung mit dem zentralen Netzwerkknoten am Hauptstandort verbunden, wie beim Client-to-Site VPN. Möchten einzelne Filialen Daten austauschen, werden diese zunächst an den zentralen Knoten und dann weiter zum Endpunkt übermittelt. Es existieren keine direkten Verbindungen zwischen den einzelnen Endpunkten. Bei der Any-to-Any-Architektur kann auch jeder VPN-Endpunkt direkt mit einem anderen VPN-Endpunkt "sprechen", ohne den "Umweg" über den Hub. Hierbei spricht man auch von vollvermaschten Netzwerken.
SD-WAN (Software-Defined Wide Area Network)
Angesichts der steigenden Zahl der mobilen Mitarbeitenden und der cloudbasierten Anwendungen werden neue Ansätze verfolgt. Als nächster Evolutionsschritt in der Vernetzung von Firmenstandorten werden immer häufiger Software-definierte Netzwerke, kurz SD-WANs, eingesetzt. Ein SD-WAN ist eine virtuelle WAN-Architektur, mit der Unternehmen beliebige Transportmedien für die Datenübertragung kombinieren können, um Endpunkte auf sichere Weise mit Anwendungen zu verbinden. Dabei wird eine zentrale Steuerungsfunktion verwendet, um den Datenverkehr sicher und intelligent über das WAN (Wide Area Network) zu leiten. Mit der Trennung der Management-, Control- und Data-Plane bildet das SD-WAN ein virtuelles Overlay-Netzwerk, welches auf klassischen Transportnetzwerken aufsetzt.
Abbildung einer SD-WAN-Architektur. (Source: zVg)
SD-WAN-Endgeräte unterstützten unterschiedliche Arten von WAN-Verbindungen, etwa ADSL/DSL, Kabelmodem, Ethernet, Glasfaser, LTE/3G/4G/5G, MPLS oder WiFi. Über das zentrale Management kann sie für die Nutzung der vorhandenen Verbindungen so konfiguriert werden, dass preiswerte Breitbandverbindungen vor teuren MPLS- oder LTE-Verbindungen verwenden werden.
Im Weiteren überprüfen SD-WAN-Endgeräte permanent die Qualität der angeschlossenen Verbindungen und leiten den Datenverkehr bei Überschreitung von Qualitätsschwellwerten dynamisch auf eine bessere Verbindung um. So vereint SD-WAN die Vorteile beider Welten: Flexibilität, Verfügbarkeit und tiefe Kosten der Internet-basierten VPN's mit den garantierten End-to-End-SLA's (Service Level Agreement) und Quality of Service von Netzwerken wie MPLS (Multiprotocol Label Switching).
SASE
Mit der digitalen Transformation von Unternehmen wird auch die Sicherheit zunehmend in die Cloud verlagert. Nur so ist sichergestellt, dass sich die Nutzerinnen und Nutzer jederzeit sicher mit einem nahegelegenen Cloud-Gateway verbinden können. Dabei übernimmt dieser Cloud-Service nicht nur den sicheren Zugriff auf alle Anwendungen, sondern auch die Überprüfung und Überwachung des gesamten Datenverkehrs. Diese Entwicklung erfordert konvergente Dienste, um die Komplexität zu verringern, die Geschwindigkeit und Flexibilität zu erhöhen, Multi-Cloud-Netzwerke aufzubauen und den SD-WAN-Ansatz zu nutzen. Dies alles führt zum Secure Access Service Edge (SASE).
SASE ist eine Netzwerkarchitektur, die VPN- und SD-WAN-Funktionen mit Sicherheitsfunktionen aus der Cloud, wie etwa Firewall, Secure Web-Gateway, DNS Security, Data Loss Prevention, Cloud Access Security Broker und Zero Trust Network Access kombiniert. SASE verlässt sich also nicht auf Inspektions-Engines in Rechenzentren. Stattdessen werden diese zu einem nahe gelegenen Point-of-Presence (PoP) gebracht und der SASE-Client (etwa ein mobiles Gerät mit einem SASE-Agenten, ein IoT-Gerät, ein mobiles Gerät mit clientlosem Zugriff oder ein Gerät im Firmenstandort) sendet den Datenverkehr zur Inspektion und Weiterleitung zu diesem PoP.
Für die Verifizierung der Identität der User und die Vertrauenswürdigkeit der Geräte wird dabei ein Zero-Trust-Ansatz verfolgt - bevor der Zugriff auf die Anwendungen erfolgt. Dies verhindert den nicht autorisierten Zugriff, dämmt Bedrohungen ein und verhindert die laterale Bewegung von Bedrohungen und Kompromittierungen im Netzwerk.
Fazit
Der klassische VPN-Ansatz hat immer noch seine Berechtigung. Doch stösst er durch die zunehmende Anzahl von Remote-Stellen und Cloud-Diensten an seine Grenzen. Durch Evolution der Ansätze wie SD-WAN und SASE erlebt VPN aber Aufwind und bietet neue Möglichkeiten. Diese VPN-Ansätze erlauben es, Daten sicher auszutauschen, ohne auf einen zentralen Hub mit Sicherheitsfunktionen angewiesen zu sein, und zwar mit konsolidierter und einheitlicher Richtlinienverwaltung auf der Grundlage von Benutzeridentitäten und mit gleichzeitiger Flexibilität bei den Transportwegen.