Private, Hybrid oder Public – Cloud Services funktionieren nur mit einer geeigneten Netzanbindung. Allerdings gibt es hier ganz unterschiedliche Technologien, die einen Datenaustausch ermöglichen. Dabei werden verschiedene Methoden verwendet, um die Daten zu verschlüsseln und gegen den Einfluss Dritter zu sichern. Private Clouds stehen meist direkt beim Kunden oder sind wie selbstverständlich per MPLS in das Unternehmensnetz eingebunden. Das garantiert Sicherheit und Verfügbarkeit.

Was für die Private Cloud gilt, sollten IT-Verantwortliche auch bei hybriden Lösungen – also der Kombination aus privater und öffentlicher Cloud – beherzigen. Auch wenn IPsec und SSL als gängige Cloud-Anbindungen für Remote Access die Technologien der Wahl sind, reichen sie für eine echte Integration externer, virtueller RZ-Kapazitäten in der Regel nicht aus. Eine direkte Anbindung des RZs an die Unternehmensinfrastruktur per MPLS gewährleistet hingegen die Integration ohne öffentliches Internet. Auf diese Weise ist die Vertraulichkeit der Daten immer sichergestellt. Zudem ist bei der Wegeführung über das öffentliche Internet keine garantierte Bandbreite gewährleistet. Echtzeitanwendungen beispielsweise benötigen jedoch genau diese. Gleiches gilt für Quality of Service bei VoIP- oder Videoservices. Dienstgüte und Priorisierung sind über MPLS praktikabel sicherzustellen.

Mehr Sicherheit mit MPLS
Auch in Sachen Verfügbarkeit haben MPLS-VPNs eindeutige Vorteile, denn sie garantieren im Normalfall die mit dem Provider vereinbarten SLAs. Wer zusätzliche Sicherheit benötigt, verschlüsselt sein MPLS-VPN außerdem per IPsec over MPLS, insbesondere dann, wenn die genutzten Applikationen keine Transportverschlüsselung unterstützen. Auf diese Weise bleiben alle Vorteile von MPLS erhalten. Wer sich auch für seine hybride Cloud-Lösung auf reibungslose Leistung, Performance und höchste Sicherheit verlassen möchte, sollte MPLS-VPN und virtuelle RZ-Kapazitäten von einem Provider – und am besten aus einer Hand – beziehen.

IPsec ergänzt das einfache Internetprotokoll um Verschlüsselungs- und Authentifizierungsmechanismen und einen gesicherten Datenstrom zu gewährleisten. Die Sicherheit basiert auf Security Associations, die Umfang und Eigenschaften der gesicherten Datenübertragung zwischen den Gateways regeln. Um diese zu erlangen, findet im Vorfeld ein Austausch wichtiger Sicherheitsparameter statt: Er beinhaltet Informationen über Art und Weise der Verschlüsselung, Authentifizierung, den Schlüsselaustausch und die Dauer der Gültigkeit. Das Tunneling gewährleistet den geschützten Datentransport über ein unsicheres öffentliches Netz.

Kernstücke dieser Sicherheit sind der Authentication Header (AH) zur Authentifizierung, das ESP-Protokoll (Encapsulating Security Payload) zur Verschlüsselung und das Key Management. Zugriffe auf das Netzwerk sind nur autorisierten Geräten und Nutzern möglich. Mit IPsec lassen sich so Sicherheitsrichtlinien leichter durchsetzen und Angriffsversuche auf den Datenstrom verhindern. IPsec bietet sich vor allem zur Standortvernetzung von Unternehmen an, weil der Standard herstellerübergreifend fast alle Geräte unterstützt.

So können beispielsweise Router und Firewalls diese Funktion gleich mit übernehmen. Auch wenn es das Protokoll relativ lange gibt, hat es nichts von seiner Aktualität eingebüßt, zumal sich die Verschlüsselungsalgorithmen aktualisieren lassen. Für Remote Access eignen sich IPsec-Lösungen allerdings nur bedingt: Durch die erforderliche Client-Installation und komplexe Firewall-Einstellungen verursachen sie einen eher großen administrativen Aufwand, der mit einer mangelnden Flexibilität einhergeht. 

Gesicherter Zugang über den Browser
Citrix bietet umfassende Anwendungsmöglichkeiten für VPNs. Zwar gibt es die Möglichkeit, einen Client zu installieren, doch ist der Zugang über den Browser, gerade für mobile Endgeräte, die elegantere Lösung. Wie bei IPsec, ermöglicht Citrix den Aufbau eines Tunnels, um eine höhere Sicherheit zu gewährleisten. Über die Endpunktanalyse erfolgt die Identifizierung und Autorisierung der Geräte und Nutzer. Kompatibilität mit den gängigen Betriebssystemen und Browsern vereinfacht die Nutzung der Anwendungen.

Während des Zugriffs auf das VPN läuft kontinuierlich eine Überprüfung der Sicherheitsfunktionen der Endgeräte. Bei Verbindungsabbrüchen erfolgt eine automatische Wiederanbindung. Die unterschiedlichen Komponenten von Citrix ermöglichen während der Verbindung einen hohen Sicherheitsstandard. Nach Beenden der Sitzung im VPN wird der Browser-Cache gelöscht und eventuell gespeicherte Daten beseitigt.

Bei SSL hingegen erfolgt eine Unterscheidung in client- oder browserbasierten SSL-VPNs. Für die browserbasierte Variante entfällt die Installation eines Clients. Ein HTTPS-fähiger Browser und Java- oder ActiveX-Applikationen, die den Client ersetzen, ermöglichen jedoch eine Mischform aus beiden Varianten. Diese benötigten Werkzeuge machen eine SSL-VPN-Variante relativ einfach, da sie auf den meisten Rechnern zum Standard gehören und daher kein hoher Administrationsaufwand entsteht.

Zudem sind SSL-VPNs auch durch Firewalls nutzbar, ohne komplizierte Einstellungen und Konfigurationen im Vorfeld. Durch die einfache Inbetriebnahme der SSL-VPNs bieten sie sich für Remote-Access-Lösungen oder Extranet-Anwendungen an. Durch die auf Endgeräte zugeschnittene Architektur spielen SSL-VPNs für virtuelle Standortvernetzungen keine Rolle.

 

                                                Seite 1 von 2                     Nächste Seite>>

dr/Markus Schrader, Kommunikationsexperte bei BCC Business Communication Company GmbH