Kontakt aufnehmen
Kontakt aufnehmen

SD-WAN-Sicherheit

SD-WAN-Sicherheit

Laut einer Statistik vonΒ AV-TEST – dem unabhΓ€ngigen Institut fΓΌr IT-Sicherheit – wurde im August 2019 deutlich mehr neue Malware entdeckt. Allein in diesem Monat registrierte das Institut 14,44β€―Millionen neue Schadprogramme, sodass die Gesamtzahl der registrierten Malware-Programme auf mehr als 938β€―Millionen anstieg. Die bloße Grâße dieser Zahlen ist ernΓΌchternd und verdeutlicht die Bedrohungen fΓΌr Unternehmensnetzwerke.

Da das WAN der Einstiegs- und Ausstiegspunkt von Unternehmensnetzwerken ist, spielt dessen Sicherung eine entscheidende Rolle bei der Risikominimierung und der Verbesserung der Sicherheitslage. Durch Cloudservices und mobile Benutzer sind Netzwerke jedoch viel dynamischer und dadurch schwieriger zu sichern als noch vor einem Jahrzehnt.

Diese grundlegenden VerÀnderungen in den GeschÀftsablÀufen erfordern einen neuen Ansatz für die WAN-Sicherheit. Ein appliancebasiertes SD-WAN und MPLS (Multiprotocol Label Switching) sind für diese AnwendungsfÀlle schlichtweg nicht ausgelegt. Dank einer cloudbasierten SD-WAN-Lâsung sind Unternehmen in der Lage, die heutigen Sicherheitsanforderungen in großem Umfang mit cloudnativer Software und Security-as-a-Service zu erfüllen.

Doch was unterscheidet die cloudbasierten SD-WAN-SicherheitslΓΆsungen vom Security-as-a-Service-Modell? Finden Sie es heraus.

WAN-Sicherheit und die Herausforderungen fΓΌr Unternehmen

Als Ausgangspunkt fΓΌr die ErklΓ€rung, warum das cloudnative SD-WAN aus Sicherheitsaspekten so vielversprechend ist, dienen die Schwachstellen von zwei Γ€lteren WAN-LΓΆsungen: MPLS und appliancebasiertes SD-WAN.

MPLS wurde entwickelt, um dedizierte, zuverlΓ€ssige und hochleistungsfΓ€hige Verbindungen zwischen zwei Endpunkten bereitzustellen, lange bevor die Cloud und MobilgerΓ€te die Welt eroberten. Doch MPLS-Leitungen bieten keine VerschlΓΌsselung, und alle Sicherheitsfunktionen wie Datenverkehrskontrollen, IPS (Intrusion Prevention System) und Anti-Malware-Programme mΓΌssen separat installiert werden. Ein appliancebasiertes SD-WAN bietet zwar meist eine VerschlΓΌsselung und lΓΆst so eines der Probleme von MPLS, aber ansonsten ist es mit MPLS vergleichbar. SD-WAN-Appliances sind keineβ€―Sicherheitsappliances. Um den Schutz durch eineβ€―Next-Generation Firewall (NGFW) zu ermΓΆglichen, wird beispielsweise eine separate Appliance im Randbereich des Netzwerks benΓΆtigt.

Der Ansatz β€žmehr Appliances fΓΌr mehr Sicherheitβ€œ bringt sowohl bei MPLS als auch bei appliancebasiertem SD-WAN einige Nachteile mit sich:

  • KomplexitΓ€t und schwierige Skalierung:Β Je mehr Appliances hinzugefΓΌgt werden, desto komplexer wird das Netzwerk. Jede weitere Appliance bedeutet nicht nur einen hΓΆheren Arbeitsaufwand, sondern birgt auch ein zusΓ€tzliches Risiko fΓΌr Fehler, die zu kostspieligen SicherheitslΓΌcken fΓΌhren. Eine einzige falsch konfigurierte Appliance kann ein erhebliches Sicherheitsrisiko darstellen und manuelle Konfigurationen fΓΌhren oft zu unbeabsichtigten Fehlern.
  • Hohe Kosten:Β Jede einzelne Appliance muss beschafft, lizenziert, bereitgestellt und gewartet werden, wodurch die Kosten schnell in die HΓΆhe schießen.
  • EingeschrΓ€nkte Funktionen fΓΌr Cloud- und Mobilanwendungen:Β Appliancebasierte Architekturen sind von Haus aus standortbezogen. FΓΌr die meisten Appliances gibt es – sowohl aus Sicherheits- als auch aus KonnektivitΓ€tssicht – keine unkomplizierte MΓΆglichkeit, Cloudanwendungen zu unterstΓΌtzen.

Der Durchbruch: SD-WAN-Sicherheitsfunktionen mit cloudnativer Software und Security-as-a-Service

Die cloudnative Netzwerkinfrastruktur, auf der Cato SASE Cloud aufbaut, setzt in Sachen Sicherheit beim SD-WAN neue MaßstÀbe, indem Sicherheitsfunktionen in die zugrundeliegende WAN-Struktur integriert werden. Die cloudnative Infrastruktur von Cato wurde von Grund auf speziell für heutige Unternehmensnetzwerke entwickelt. Durch die Integration von Sicherheitsfunktionen macht sie die meisten proprietÀren Hardwareintegrationen überflüssig. Zudem verringert sie die KomplexitÀt durch die Bereitstellung einer zentralen Verwaltungsschnittstelle und auch den Bedarf an technischen Fachkenntnissen sowie den Zeitaufwand für die WAN-Verwaltung.

ZusÀtzlich wird der TLS-Datenverkehr an den PoPs (Points of Presence) des globalen, privaten Backbone-Netzwerks von Cato geprüft, um den Datenverkehr zur und von der Cloud effizient zu schützen. Außerdem lassen sich mit dem Software-Defined Perimeter von Cato mobile Benutzer einfach und flexibel unterstützen.

Kurz gesagt: Durch die Verlagerung von Sicherheitsfunktionen in die Cloud liefert Cato ein Security-as-a-Service-Modell, das mehr SD-WAN-Sicherheit durch Skalierbarkeit in der Cloud, Skaleneffekte und die erforderliche FlexibilitΓ€t bietet.

Cloudbasierte SD-WAN-Sicherheitsfunktionen der Unternehmensklasse

Nachdem Sie einen Überblick über die architektonischen Vorteile der cloudbasierten SD-WAN-Sicherheitsfunktionen erhalten haben, erfahren Sie nun mehr über die besonderen Merkmale von Cato SASE Cloud.

  • NGFW:Β Die NGFW von Cato prΓΌft den WAN- und internetgebundenen Datenverkehr und gestattet die Durchsetzung detaillierter Sicherheitsrichtlinien auf der Grundlage von Netzwerkeinheiten, Zeitpunkt und Art des Datenverkehrs. Mit der Deep Packet Inspection-Engine der NGFW werden Anwendungen bzw. Services in Bezug auf einen bestimmten Datenverkehrsfluss klassifiziert, ohne dass Nutzlasten entschlΓΌsselt werden. Auf diese Weise kann die NGFW eine vollstΓ€ndige AnwendungsΓΌberwachung erreichen und den Datenverkehr kontextbezogen erfassen, um Richtlinien noch genauer durchzusetzen.
  • Secure Web Gateway (SWG):Β Malware, Phishing-Mails und Γ€hnliche Angriffe aus dem Internet stellen eine erhebliche Bedrohung fΓΌr die WANs von Unternehmen dar. Der Fokus von SWG liegt auf der Webzugriffskontrolle, um so das Herunterladen von verdΓ€chtiger oder schΓ€dlicher Software zu verhindern. Es gibt vordefinierte Richtlinien fΓΌr verschiedene Websitekategorien, aber Unternehmen kΓΆnnen auch eigene Regeln festlegen, um die Internetsicherheit im WAN weiter zu erhΓΆhen.
  • Anti-Malware-Programme:Β Zur Bereitstellung von Anti-Malware-Funktionen, die den Anforderungen von Unternehmen gerecht werden, verfolgt Cato SASE Cloud einen zweigleisigen Ansatz. Erstens ΓΌberprΓΌft eine auf Signaturen und Heuristiken basierende Engine, die mit den neuesten Informationen aus globalen Bedrohungsdatenbanken aktualisiert wird, den Datenverkehr auf Malware. Zweitens unterhΓ€lt Cato eine Partnerschaft mit SentinalOne, einem BranchenfΓΌhrer im Bereich Informationssicherheit, der kΓΌnstliche Intelligenz und maschinelles Lernen zur Identifizierung unbekannter Malware nutzt, die sich signaturbasierten PrΓΌfungen entziehen kann.
  • IPS:Β Das Intrusion Prevention System von Cato bietet kontextbezogene SD-WAN-Sicherheitsfunktionen. Kunden profitieren so von dem großen Umfang des Cato-Netzwerks in Form eines stabileren IPS. Die Cato Research Labs analysieren Big Data zur Optimierung der IPS-Leistung und zur Verringerung falsch-positiver und falsch-negativer Ergebnisse.
  • Managed Threat Detection and Response (MDR):Β Mit MDR kΓΆnnen Unternehmen die Erkennung kompromittierter Endpunkte an das Security Operations Center (SOC) von Cato auslagern. Dank MDR kΓΆnnen Unternehmen nicht nur den Supportaufwand fΓΌr ihre eigenen Mitarbeiter reduzieren, sondern auch einen der Haupttreiber fΓΌr die durch Malware verursachten SchΓ€den minimieren: Leerlaufzeiten. Das SOC von Cato kann mit dem MDR-Service Bedrohungen frΓΌhzeitig erkennen und eindΓ€mmen sowie Empfehlungen zur Problembehebung geben. Das SOC-Team erstellt außerdem Monatsberichte, die Aufschluss ΓΌber die Anzahl von SicherheitsvorfΓ€llen im Netzwerk geben.

Cato-Lâsung für zeitgemÀße und skalierbare SD-WAN-Sicherheitsfunktionen

Wie zuvor beschrieben, werden die KomplexitΓ€t und die Kosten fΓΌr Beschaffung, Bereitstellung, Patching und Wartung einer Flotte von Appliances mit Security-as-a-Service abstrahiert. Ein cloudbasiertes SD-WAN bietet verschiedene, spezifische Vorteile, die appliancebasiertes SD-WAN und MPLS einfach nicht bieten kΓΆnnen. Der Grund: Die cloudnative Software und das Security-as-a-Service-Modell von Cato ermΓΆglichen einen konvergenten Ansatz fΓΌr Netzwerk und Sicherheit. Dadurch profitieren die Benutzer im Hinblick auf die Informationssicherheit, aber auch in betrieblicher und wirtschaftlicher Hinsicht.

Dieser Aspekt wird von Cato-Kunde Jeroen Keet, Senior Network and System Architect bei Kyocera Senco, besonders hervorgehoben: β€žUnternehmen, die Bereiche in die Cloud auslagern mΓΆchten, sollten sich Cato einmal genauer ansehen. Die integrierten Funktionen fΓΌr mehr KonnektivitΓ€t, Sicherheit und Transparenz machen die LΓΆsung zu einem Meilenstein in der Entwicklung aller Unternehmen. Wenn man alle Funktionen nutzt, die Cato Networks zu bieten hat, bringt das fΓΌr die IT erhebliche finanzielle, funktionale und administrative Vorteile.β€œ

Wenn Sie mehr darΓΌber erfahren mΓΆchten, wie Cato den Bereich der SD-WAN-Sicherheit revolutioniert, oder Beratung bei der Auswahl einer WAN-KonnektivitΓ€tslΓΆsung benΓΆtigen, die Ihre Anforderungen erfΓΌllt, kontaktieren Sie uns. Sollten Sie von Cato SASE Cloud noch nicht ΓΌberzeugt sein und mΓΆchten die LΓΆsung in Aktion sehen, kΓΆnnen Sie gerne einen Termin fΓΌr eineΒ Live-DemoΒ vereinbaren.

FAQ zu SD-WAN

  • Was ist ein SD-WAN?

    SD-WAN-GerÀte (Software-Defined Wide Area Network) befinden sich an Unternehmensstandorten und bilden ein verschlüsseltes Overlay untereinander, wobei die zugrundeliegenden Übertragungsdienste über MPLS-, LTE- und Breitbandverbindungen genutzt werden.

  • Welche Vorteile bietet die SD-WAN-Technologie?

    Geringere Kosten fΓΌr die Bandbreite:Β MPLS-Bandbreite ist teuer. Gemessen in Euro pro Bit ist MPLS deutlich teurer als die Nutzung der ΓΆffentlichen Internetbandbreite. Die genaue HΓΆhe der Mehrkosten hΓ€ngt von verschiedenen Faktoren ab, nicht zuletzt vom Standort. Die Kosten fΓΌr MPLS entstehen jedoch nicht nur durch wesentlich hΓΆhere BandbreitengebΓΌhren. Die Bereitstellung einer MPLS-Verbindung dauert oft Wochen oder Monate, wΓ€hrend eine vergleichbare SD-WAN-Einrichtung oft innerhalb von Tagen abgeschlossen ist. In Unternehmen ist Zeit Geld, weshalb die Beseitigung des WAN als Engpass einen entscheidenden Wettbewerbsvorteil darstellen kann.
    Ein zuverlÀssiges Verbindungsnetz im unzuverlÀssigen Internet: Es besteht die Mâglichkeit, Standorte mit mehreren Datendiensten zu verbinden, die in Aktiv-Aktiv-Konfigurationen betrieben werden. Sekundenschnelle Netzwerk-Failover sorgen dafür, dass Sitzungen bei AusfÀllen ohne Unterbrechung der Anwendung auf neue Übertragungswege verlagert werden.
    Sichere Kommunikation: Verschlüsselte Verbindungen schützen den Datenverkehr wÀhrend des Routings auf allen Übertragungswegen.
    Bedarfsorientierte Bandbreitennutzung:Β Die Bandbreite lΓ€sst sich jederzeit nach oben oder unten zu skalieren, um sicherzustellen, dass kritische Anwendungen die benΓΆtigte Bandbreite dann erhalten, wenn sie sie benΓΆtigen.
    Sofortige Standortaktivierung:Β Die Einrichtung einer neuen Niederlassung dauert nur wenige Minuten, statt Wochen und Monate wie bei MPLS. SD-WAN-Knoten werden automatisch konfiguriert und kΓΆnnen 4G/LTE fΓΌr eine sofortige Bereitstellung nutzen.

  • Welche wichtigen Trends sprechen fΓΌr die EinfΓΌhrung einer SD-WAN-LΓΆsung?

    Die meisten Netzwerke in Unternehmen basieren auf veralteten Carrierservices, wie einem verwalteten MPLS-Service. Diese Services sind sehr kostenintensiv, es dauert Wochen oder sogar Monate bis zur Inbetriebnahme und auf einfache Γ„nderungen durch den Serviceprovider muss lange gewartet werden.
    Die SD-WAN-Technologie schafft hier Abhilfe, indem sie FlexibilitΓ€t und Kosteneffizienz fΓΌr IT-Netzwerke bietet. Das SD-WAN verbindet Standorte ΓΌber mehrere Internetverbindungen und bΓΌndelt diese durch einβ€―verschlΓΌsseltes Overlay. Richtlinien, anwendungsorientiertes Routing und eine dynamische Bewertung der Verbindungen im Overlay erlauben die bestmΓΆgliche Nutzung der vorhandenen Internetverbindungen.
    Letztendlich liefert ein SD-WAN die erforderlichen Leistungs- und VerfΓΌgbarkeitseigenschaften, indem es das kostengΓΌnstige ΓΆffentliche Internet mit der vom Unternehmen geforderten Sicherheit und ZuverlΓ€ssigkeit nutzt.

  • Wo liegen die Grenzen eines SD-WAN?

    Fehlendes globales Backbone-Netzwerk:Β SD-WAN-Appliances setzen auf der zugrundeliegenden Netzwerkinfrastruktur auf. Somit kann der Bedarf an einem leistungsfΓ€higen und zuverlΓ€ssigen Backbone-Netzwerk durch SD-WAN-Appliances allein nicht gedeckt werden.
    Fehlende erweiterte Sicherheitsfunktionen:Β SD-WAN-Appliances helfen bei der BewΓ€ltigung vieler gΓ€ngiger Netzwerkaufgaben, erfΓΌllen jedoch nicht die Sicherheitsanforderungen. Daher mΓΌssen Unternehmen oft einen Flickenteppich von Sicherheits- und Netzwerkappliances verschiedener Anbieter (wie CASBs) verwalten, um ihre Anforderungen zu erfΓΌllen. Dies wiederum fΓΌhrt zu hΓΆheren Netzwerkkosten und mehr KomplexitΓ€t, da jede Appliance von der internen IT-Abteilung oder einem MSP beschafft, bereitgestellt und verwaltet werden muss.
    Keine UnterstΓΌtzung fΓΌr mobile Mitarbeiter:Β SD-WAN-Appliances wurden ursprΓΌnglich fΓΌr die Verbindung verschiedener Standorte konzipiert. Die sichere Einbindung mobiler Benutzer wird von SD-WAN-Appliances nicht unterstΓΌtzt.

ISO 27001 Certified
SOC2 Approved
GDPR Compliant
Copyright Β© 2026. All rights reserved.