VPN-Lösungen in die Cloud auslagern

So geht das VPN in die Cloud

| Autor / Redakteur: Jürgen Hönig / Peter Schmitz

Will man eine VPN-Lösung in die Cloud auslagern ist es wichtig, sich im Vorfeld über das geforderte Sicherheitsniveau und die Anforderungen der Clients klar zu werden.
Will man eine VPN-Lösung in die Cloud auslagern ist es wichtig, sich im Vorfeld über das geforderte Sicherheitsniveau und die Anforderungen der Clients klar zu werden. (Bild: Pixabay / CC0)

Sicherheits-Services wie ein Virtual Private Network (VPN) lassen sich heute einfach in die Cloud auslagern. Wichtig ist, sich im Vorfeld über das geforderte Sicherheitsniveau und die Anforderungen und Einsatzumgebungen der Clients klar zu werden und dies für den Cloud-VPN-Provider nachvollziehbar zu dokumentieren. Best Practices für die Auswahl des Providers und den Ablauf des Projekts helfen dabei, schnell und möglichst kostengünstig zum Ziel zu kommen.

Cloud-Dienstleistungen setzen sich in immer mehr Bereichen als ebenbürtige Alternative zu On-Premise-Lösungen durch. Der Sicherheits-Anbieter Pure Storage ermittelte in einer Studie, dass Unternehmen im Schnitt noch 41 Prozent der Anwendungen mit traditioneller lokaler IT betreiben, während auf die öffentliche Cloud 26 Prozent und auf private Cloud-Dienste 24 Prozent entfallen. Nach ITK-Marktanalysen der techconsult wird der Markt für Software as a Service Lösungen (SaaS) in Deutschland in diesem Jahr um 14 Prozent steigen. Investitionen in SaaS machen mit 60 Prozent innerhalb der Cloud-Lösungen den größten Anteil aus. Auch in allen anderen Bereichen des Cloud-Computing Portfolios, wie Plattform as a Service, Security as a Service oder Network as a Service werden bis 2019 jährlich zweistellige Wachstumsraten seitens der Anwenderunternehmen prognostiziert. Barracuda Networks schätzt, dass 19 Prozent der IT-Budgets in Deutschland derzeit für öffentliche Cloud-Implementierungen ausgegeben werden. Mittlerweile können auch sicherheitsrelevante Dienste wie Virtual Private Networks problemlos in die Cloud ausgelagert werden.

Zahlreiche Anbieter aus den unterschiedlichsten Branchen sind im VPN-Markt aktiv und offerieren ein Komplettangebot, das Kunden im großen Maß auch an ihre individuellen Ansprüche anpassen können. Sicherheitsrelevante Dienste wie ein VPN in die Cloud auszulagern, ist vor allem für kleinere Unternehmen vorteilhaft. Sie sparen sich die Inhouse-Expertise für einen Service, der nicht zum Kerngeschäft gehört und der anders als beispielsweise Infrastructure-as-a-Service ohnehin externe Netzübergänge enthält. Doch auch große Organisationen schätzen das externe Dienstleistungsangebot, weil es die IT-Abteilung entlastet und sich aufgrund der Position außerhalb des Perimeters gut auslagern lässt. Zumeist gibt es sogar branchenspezifische Anbieter, welche die speziellen Anforderungen in einem konkreten Umfeld wie z.B. der Finanzindustrie kennen und in ihr Angebot integriert haben.

Anfängliche Annahmen anhand der Praxis korrigieren

Obwohl jedes Unternehmen und jedes Unternehmensnetzwerk unterschiedlich aufgebaut sind, verfügen einige VPN-Dienstleister bereits seit Jahren durch eine stabile Nutzerbasis über entsprechende Erfahrungswerte und wissen, wie ein VPN am besten in die Cloud verlagert werden kann. VPN-Betreiber wie die Deutsche Telekom raten dazu, sich zunächst Gedanken über die Dimensionierung zu machen. Die Anzahl der benötigten Lizenzen ist dabei ebenso relevant wie die Bandbreite, die remote angebundene Nutzer und Standorte in Anspruch nehmen. Laut Markus Schönel, Senior Produktmanager bei Business Services der Deutschen Telekom AG, werden die grundlegenden Anforderungen an Bandbreite und Lizenzen in der Regel überschätzt: „Die meisten Kunden gehen am Anfang von deutlich mehr gleichzeitig eingeloggten Nutzern aus als es dann tatsächlich der Fall ist. Das regeln wir in den ersten Wochen nach. Wenn es tatsächlich zu Spitzenbelastungen kommt, gibt es bei uns beispielsweise eine Toleranzregelung, die solche kurzen Lastschwankungen abfängt.“ Welche Netzanbindung genutzt wird, spielt für die Hoster keine Rolle. MPLS wird ebenso unterstützt wie der Zugang über IPsec. In der Regel nutzen Kunden, die bereits MPLS im Einsatz haben, diese Technik auch für den VPN-Zugang. Wird noch kein MPLS verwendet, ist IPsec die Technologie der Wahl.

Stefan Rech von dem auf die Finanzbranche spezialisierten Systemhaus Ratiodata GmbH rät seinen Kunden dazu, sich die Einsatzumgebungen ihrer Clients anzusehen und das Nutzungsszenario zu verstehen. „Es geht nicht nur um die Anzahl der Anwender, sondern auch um die Umgebung, in der sie ihre Endgeräte einsetzen,“ so Rech. „Welche Medien kommen für die Verbindung zum Einsatz? Müssen HotSpots eines gewerblichen Anbieters integriert werden oder sind die Mitarbeiter international unterwegs? Dann benötigen wir auch Daten über die Mobilfunkprovider, die im Ausland für die Datenverbindung benutzt werden sollen.“ Die meisten Anbieter haben Fragebögen, mit denen Daten über die dezentrale Infrastruktur gesammelt werden, beispielsweise die Anzahl der Anwender sowie die Art der Endgeräte und Betriebssysteme im Einsatz. Je nach VPN-Lösung müssen die verwendeten Betriebssysteme und Versionen mit den VPN-Clients kompatibel sein. Wird die Betriebssystemversion nicht offiziell unterstützt, raten die Experten bei Ratiodata von einer Nutzung ab, selbst wenn dies bislang funktioniert hat.

Benutzerdaten automatisiert verarbeiten

Darüber hinaus benötigen die VPN-Dienstleister Angaben über die Art der Einbindung in die Directory- und Metadirectory-Strukturen des Kunden. Bei einer Integration in Active Directory geht es darum, wie die Remote-Access-Berechtigungen vergeben sind. Bekommen alle Nutzer Zugang über RAS oder gibt es Gruppen mit RAS-Rechten, denen die entsprechenden Nutzer zugeordnet sind? Die Deutsche Telekom nutzt zwei Wege, um die Daten vom Kunden zu erhalten. Sie synchronisiert sich entweder mit dem Active Directory und liest die entsprechenden Informationen aus oder sie nutzt eine täglich aus LDAP exportierte CSV-Liste, in der die Daten aufgeführt sind. Beide Wege laufen automatisiert ab, sodass keine nennenswerten Aufwände und Kosten entstehen.

Auch die Ratiodata passt sich bei den Verwaltungsprozessen an ihre Kunden an. In der Regel wird das Active Directory ausgelesen, aber auch Kopplungen zu HR-Software wurden bereits umgesetzt. Stefan Rech weiß: „Wir versuchen das immer automatisiert zu lösen und uns an die Master-Datenbank zu hängen. Wie man das auch immer technisch löst, es muss in die Kundenumgebung passen. Kleinere Unternehmen kaufen die Benutzerverwaltung in der Regel ein, die größeren wollen das gern selbst machen. Die haben oft komplette Abteilungen, die sich um die Benutzerverwaltung kümmern.“

Auch bei späteren Änderungen stehen den Kunden mehrere Möglichkeiten offen. Wenn die Anbindung ohnehin automatisiert erfolgt, werden Änderungen auch darüber abgewickelt. Verlässt ein Mitarbeiter das Unternehmen oder wird ein neuer eingestellt, taucht die Änderung im Rahmen der regelmäßigen Synchronisation auf. In kleinen Installationen reicht häufig eine E-Mail an den Account-Manager oder es gibt ein standardisiertes Formular, in das der Change Request eingetragen wird. Ohne konkreten Ansprechpartner beim Kunden kommt übrigens auch eine Cloud-VPN-Lösung nicht aus. Die Kunden haben eine vertraglich festgeschriebene Mitwirkungspflicht und können die Verantwortung nicht komplett auf den Provider verlagern. Gesetzlich bleiben sie auch für die Daten verantwortlich, müssen also dafür Sorge tragen, dass persönliche Daten den Datenschutzbestimmungen gerecht behandelt werden.

Mehrere Möglichkeiten für Client-Roll-Out

In der Anfangsphase stellt die Verteilung der Client-Software noch eine maßgebliche Aufgabe dar. Auch hier sind zwei Varianten denkbar. Gibt es beim Kunden eine Software-Verteil-Lösung, kann der VPN-Client darüber ausgerollt werden. Große Unternehmen verlangen diese Vorgehensweise, weil sie in deren Reporting- und Ticketsystem eingebunden ist. Als Alternative bieten manche VPN-Lösungen einen eigenen Verteilmechanismus an. Sowohl die Deutsche Telekom als auch die Ratiodata nutzen den NCP Secure Enterprise VPN Server (Gateway), bei dem die Verteilung Bestandteil der Managementplattform NCP Secure Enterprise Management (SEM) ist. Aus der Erfahrung heraus bevorzugt Stefan Rech von der Ratiodata die Verteiloption über SEM, weil sie stabiler ist. Dann wird lediglich definiert, welche Gruppe das Update erhält und beim nächsten Anmelden über eine ausreichend schnelle Netzverbindung wird der Client heruntergeladen und installiert. Allerdings arbeitet die VPN-Lösung auch mit jeder anderen Distributionslösung.

VPN-Dienstleistern stehen zahlreiche Produkte und Implementierungsoptionen offen, um einen solchen Dienst anzubieten. Wichtig ist in jedem Fall, dass die verwendete Lösung mandantenfähig ist. So lassen sich unterschiedliche Kunden vollkommen getrennt über ein physikalisches oder virtuelles System bedienen. Durch die hohen Lastanforderungen, die beim Hosting von vielen Tausend VPN-Tunneln entstehen können, sollten die Gateways Load-Sharing unterstützen und skalierbar sein. Eine gemeinsame Management-Konsole, die sowohl mit mehreren Gateways als auch mit getrennten Mandanten zurechtkommt, unterstützt die Abläufe der Hoster und die Sicherheitsbedürfnisse der Kunden gleichermaßen. Ob Kunden ein geteiltes VPN-Gateway akzeptieren oder eine getrennte Lösung fordern, wird durch deren Sicherheitskonzept bestimmt. Die VPN-Cloud-Anbieter können in der Regel beide Wünsche erfüllen.

Redundante Ausführungen von Gateways und Netzzugängen liegen letztendlich ebenfalls am Anforderungsprofil der Kunden. Allerdings sind bestimmte Branchen wegen ihrer Compliance-Vorgaben in ihrer Entscheidungsfreiheit eingeschränkt. Die Ratiodata mit sehr vielen Kunden im Finanzsektor empfiehlt generell eine redundante Anbindung. Stefan Rech erläutert: „Wir sind unter anderem nach ISO 27001 zertifiziert und hosten unsere Lösung über zwei redundant angebundene Rechenzentren. Davon profitieren auch Kunden, die eigentlich geringere Ansprüche an die Verfügbarkeit stellen würden.“ Auch die VPN-Gateways sind redundant und über ein Hochverfügbarkeitsprotokoll verbunden, sodass sie Load-Sharing unterstützen.

Sicherheitsanforderungen bestimmen den Preis

Kunden, die über eine Auslagerung ihrer VPN-Dienste in die Cloud nachdenken, müssen im Vorfeld ihren Schutzbedarf festlegen und die angebotenen Lösungen dahingehend abfragen. Dies fängt bei den physischen Sicherheitsvorkehrungen des Hosters an. Je nach Risikoprofil können hochqualifizierte Rechenzentren mit Kameraüberwachung, Vereinzelungsschleusen, Vier-Augen-Prinzip und Disaster-Recovery-Spiegelung notwendig sein. Solche Maßnahmen treiben jedoch den Preis in die Höhe, sodass Kunden mit geringeren Ansprüchen auch eine geringer gesicherte Umgebung wählen können. Das gleiche gilt, wenn der Hoster bestimmte Zertifizierungen wie IT-Grundschutz, ISO 27001 oder PCI DSS aufweisen muss. Entsprechende Angebote existieren, sind aber nicht für jeden Kunden nötig.

Keine Risiken sollten Kunden hingegen bei der Authentifizierung eingehen. Benutzername und Passwort sind heute nicht mehr ausreichend, ein zweiter Faktor ist für externe Zugänge ins Netz absolut unumgänglich. Zwei-Faktor-Authentifizierung ist Bestandteil einiger VPN-Lösungen, viele zusätzliche Angebote decken jeden Anwendungsfall ab. So lässt sich ein auf einer Smartcard abgelegtes Zertifikat komfortabel als zweiter Faktor nutzen. Wichtig ist in diesem Fall, dass der Hoster auch die Zertifikatsverwaltung als Komplettangebot anbietet, sodass eine pünktliche Erneuerung der Zertifikate sichergestellt ist oder diese zum Stichtag entzogen werden. Unter Umständen sollte es auch möglich sein, weitergehende Authentifizierungsmechanismen einzusetzen, beispielsweise wenn der Remote-Zugang zur Verarbeitung von eingestuftem Material genutzt wird. Schon bei VS-NfD (Verschlusssache – Nur für den Dienstgebrauch) fordert das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Einsatz einer speziell zugelassenen Lösung, die zusätzliche Anforderungen an die Authentifizierung und die Unumgehbarkeit des Tunnels stellt.

Zeitaufwand hängt vor allem an administrativen Prozessen

Eine Sicherheitslösung im Unternehmen einzuführen ist in der Regel mit beträchtlichem Zeitaufwand verbunden. Gehostete VPNs in der Cloud können den Weg zum Ziel ein ganzes Stück abkürzen, weil die Kunden bereits auf eine voll funktionsfähige und optimal eingerichtete Lösung zurückgreifen können. Oft bestimmen eher administrative als technische Prozesse den zeitlichen Ablauf. „In der Regel vergehen zwischen den ersten Gesprächen und der Realisierung etwa zwei bis drei Monate,“ so Markus Schönel von der Deutschen Telekom. „Verzögerungen verursacht meist MPLS, wenn es erst beantragt und eingerichtet werden muss.“ Ähnliche Erfahrungen hat Stefan Rech gemacht, auch wenn bei der Ratiodata manche Kunden innerhalb von drei Wochen angebunden werden konnten. „Eine genaue Zeitspanne zu nennen ist schwierig,“ so Rech. „Meistens werden ja zuerst einige Pilotrechner aufgenommen und nicht alle Clients auf einmal. Dann dauert es nach der Freigabe nochmal, bis alle Endgeräte den Client heruntergeladen haben. Manchmal sind Mitarbeiter nur sehr selten online, sodass sich die endgültige Umsetzung auf mehrere Monate verteilen kann.“

Eine VPN-Lösung in die Cloud auszulagern ist heute keine Pionierleistung mehr. Zahlreiche Provider haben branchenspezifische Angebote im Programm. Weil die technische Realisierung und die Administration der laufenden Lösung komplett in die Hände des Providers gelegt werden, kommen Organisationen dadurch sehr schnell zu einer funktionierenden und höchsten Ansprüchen genügenden Sicherheitslösung. Wichtig ist, sich im Vorfeld über das geforderte Sicherheitsniveau und die Anforderungen und Einsatzumgebungen der Clients klar zu werden und dies für den Cloud-VPN-Provider nachvollziehbar zu dokumentieren.

Über den Autor: Jürgen Hönig ist seit 2007 bei der NCP engineering GmbH in Nürnberg tätig. In seiner Position als Marketing Leiter ist er für die weltweite Konzeption und Umsetzung der Marketingstrategie sowie die interne Kommunikation verantwortlich.

eBook „VPN und Endpoint-Security“

VPN und Endpoint-SecurityDas Grundprinzip eines verschlüsselten Tunnels ist bei einem Virtual Private Network (VPN) seit Jahrzehnten gleich. Jedoch gab es im Laufe der Zeit vor allem bei Implementierungsformen und Komfort eine Reihe von Neuerungen und Verbesserungen. Lesen Sie in diesem eBook, wie Sie die VPN-Funktionen gekonnt ausschöpfen, VPNs im großen Stil bewältigen und wie Sie einen optimalen Schutz für Ihre Endgeräte sicherstellen. (PDF | ET 26.10.2017)

eBook herunterladen »

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44987073 / VPN (Virtual Private Network))