Privater Zugriff auf öffentliche Cloud-Anwendungen (auch bekannt als SaaS)
Software-as-a-Service-Angebote (SaaS) werden in allen Branchen immer häufiger eingesetzt, da Unternehmen nach immer dynamischeren und flexibleren Möglichkeiten suchen, Software zu nutzen und gleichzeitig Betriebsstabilität, Kostentransparenz, dynamische Skalierbarkeit und Agilität sicherzustellen.
Bevor wir jedoch zur von Drittanbietern bereitgestellten Anwendung kommen, müssen verschiedene Komponenten bereitgestellt sein, damit unsere Benutzer darauf zugreifen können. Dazu gehören Netzwerkkonnektivität, Speicher, Rechenleistung (in der Infrastrukturebene), Virtualisierung, Betriebssystem, Middleware, Laufzeit und alles, was erforderlich ist, damit die Anwendung in der Serviceebene ausgeführt werden kann. Erst dann betreten Sie den Bereich der RBAC-Konfiguration, der Benutzerverwaltung und der Verteilung der Anwendung an Ihre Endbenutzer.
Außerdem muss beachtet werden, dass es zwar bei vielen der oben genannten Ebenen zu einer Konsolidierung kommt und es innerhalb der Funktion zu Überschneidungen bei der zugrunde liegenden Technologie kommt, Organisationen jedoch normalerweise über unterschiedliche Teams mit einzigartigen Prozessen verfügen, die für ihre jeweilige Ebene verantwortlich sind. Meistens sind auf jeder Ebene mehrere Teams tätig.
In diesem Artikel werden die Ideen und Innovationen von Thad Széll (Distinguished Engineer bei UBS) und Nuno Ferreira (Field CTO bei Volterra) dargelegt, die es Unternehmen ermöglichen sollen, SaaS-Anwendungen in Echtzeit, auf sichere und vertrauliche Weise einzuführen, ohne die bestehende Umgebung zu beeinträchtigen oder zu verfälschen. Ihr Fokus begann mit Microsoft Office 365.a
Wie wir alle wissen, erfolgt der Zugriff auf SaaS-Anwendungen im Allgemeinen über das öffentliche Internet, und genau hier treten die ersten Probleme auf. Das erste Infrastrukturproblem ergibt sich aus der Tatsache, dass sich die Anwendung zuvor auf einer kontrollierten, hauptsächlich statischen Infrastruktur befand und nun über das Internet darauf zugegriffen werden soll, das äußerst dynamisch ist und nicht unter der Kontrolle einer bestimmten Entität steht.
Einige SaaS-Anbieter können dedizierte Leitungen (Azure bietet beispielsweise ExpressRoute an) oder VPNs bereitstellen, über die Organisationen eine private Verbindung zu ihnen herstellen können. Um solche Mechanismen einzuführen, müssen Organisationen zumindest Folgendes tun:
Peering (auf Netzwerkebene) mit dem SaaS-Anbieter und Pflegen von Routing-Beziehungen. Einfügen/Bewerben der öffentlichen IP-Adressen des SaaS-Anbieters im Unternehmensnetzwerk. Behandeln Sie den Dienst als Extranet oder DMZ und legen Sie Segmentierungs- und Sicherheitsebenen übereinander. In Fällen, in denen der SaaS-Anbieter dem Kunden lediglich einen VPN-Dienst anbietet, ist ein Gerät zum Erstellen und Pflegen dieses VPN erforderlich. Beachten Sie, dass diese Technologien das Latenzproblem nicht lösen.
Ein Forward-Proxy/NAT-Gerät kann einige Sicherheitsbedenken ausräumen, löst jedoch NICHT das Routing-Problem und die Notwendigkeit, öffentliche IP-Adressen von Drittanbietern in das Unternehmensnetzwerk einzuspeisen.
Darüber hinaus sind SaaS-Anbieter oft äußerst dynamisch und ihre angekündigten Adressen, DNS-Namen und veröffentlichten Endpunkte ändern sich sehr regelmäßig. Daher müssen Betriebsmechanismen vorhanden sein, um Peering-/Injection-/Advertising- und Sicherheitskontrollen aufrechtzuerhalten.
Eine Lösung, die Forward-Proxy/NAT ohne Routing ermöglicht, ist daher eleganter und notwendiger.
Nehmen wir zum Beispiel Office 365. Microsoft erweitert seinen Cloud-Footprint mit Azure und die Microsoft-Anwendungsdienste werden täglich erweitert. Diese Plattform ermöglicht großen Unternehmen private, dedizierte und schnelle physische Verbindungen zu Azure namens ExpressRoute.
Microsoft könnte daher die oben genannten Probleme (hinsichtlich Datenschutz und Latenz) lösen, indem es Unternehmensmitarbeitern den Zugriff auf Office 365 über diesen dedizierten privaten ExpressRoute-Schaltkreis ermöglicht.
ExpressRoute für Office 365 bietet einen alternativen Routingpfad zu vielen internetbasierten Office 365-Diensten. Die Architektur von ExpressRoute für Office 365 basiert auf der Bekanntgabe der öffentlichen IP-Präfixe von Office 365-Diensten, auf die bereits über das Internet zugegriffen werden kann, in Ihren bereitgestellten ExpressRoute-Schaltkreisen zur anschließenden Neuverteilung dieser IP-Präfixe in Ihrem Netzwerk. Mit ExpressRoute aktivieren Sie effektiv mehrere verschiedene Routingpfade für Office 365-Dienste – das Internet und ExpressRoute. Dieser Routing-Zustand in Ihrem Netzwerk kann eine wesentliche Änderung in der Gestaltung und Sicherung Ihrer internen Netzwerktopologie darstellen.
Ok, also vielleicht nicht so privat.
Das folgende Bild stellt dieses Szenario dar:
Dieser Ansatz stellt Netzwerk- und Sicherheitsteams vor drei unterschiedliche Herausforderungen:
Netzwerkrouting und NAT Das Team für die Netzwerkinfrastruktur des Unternehmens muss öffentlich routbaren IP-Bereich in das Unternehmensnetzwerk einfügen, damit Benutzer dem bevorzugten Pfad folgen können (über ExpressRoute). Um darüber hinaus zu verhindern, dass das Unternehmensnetzwerk für Microsoft zugänglich gemacht wird, muss das Netzwerkteam auch NAT für dieses Microsoft-Netzwerk implementieren. Dies bringt nicht nur die betriebliche Komplexität der Aufrechterhaltung des BGP-Peerings (zusammen mit NAT) mit Microsoft mit sich, sondern erfordert auch eine sorgfältige Planung, um den Netzwerkkomplexitäten gerecht zu werden, die sich daraus ergeben, dass Routing sowohl über einen dedizierten Schaltkreis mit in Ihr Kernnetzwerk eingespeisten Routen als auch über das Internet verfügbar ist. Die Adressen des Security Change Management von Office 365 ändern sich von Zeit zu Zeit, und daher müssen sich diese Änderungen in der internen Sicherheit und Proxy-Infrastruktur des Unternehmens widerspiegeln. Wenn Sie dies nicht tun, kann es bei aktiviertem ExpressRoute-Schaltkreis zu einem zeitweise auftretenden oder vollständigen Verlust der Verbindung zu Office 365-Diensten kommen. Microsoft stellt ein umfassendes und regelmäßig aktualisiertes Dokument (und eine REST-API) bereit, das eine Liste der Domänen, IP-Adressen und TCP/UDP-Ports enthält, die auf den Sicherheits- und Routing-Geräten des Unternehmens konfiguriert und kontinuierlich aktualisiert werden müssen, um die Sicherheits- und Governance-Richtlinien des Unternehmens durchzusetzen. Betriebs- und Sicherheitstransparenz: Bei NAT-Geräten besteht wenig bis keine Transparenz in der Anwendung. Wie sind wir also mit diesem Szenario umgegangen, als nichts gut genug schien?
Wir haben eine elegante Lösung ausgearbeitet, die die Verwaltung komplexer Netzwerkinfrastrukturen und Sicherheitsrichtlinien überflüssig macht und den Mitarbeitern gleichzeitig die Vorteile der ExpressRoute-Konnektivität für den Zugriff auf Office 365 und zugehörige Anwendungsdienste bietet.
Der integrierte Netzwerk- und Sicherheits-Stack von Volterra umfasst einen Anwendungsrouter mit programmierbarem Proxy und Lastausgleichsfunktionen, um diesem Bedarf gerecht zu werden. Abgesehen von diesen Funktionen bietet Volterra Unternehmen einen einfachen Weg zur Zero-Trust-Sicherheit.
Auf einer hohen Ebene verfügt das Unternehmen über ein Volterra Application Gateway-Cluster-Peering mit dem ExpressRoute-Router, auf dem Microsoft die Office 365-Routen/-Dienste bereitstellt. Das Volterra Application Gateway führt über diesen Router die automatische Erkennung der Office 365-Endpunkte durch und ermöglicht Unternehmen von dort aus auf Office 365-Dienste zuzugreifen. Dank dieser Innovation entfällt für die Betreiber die Notwendigkeit, einen weiteren Prozess zur Umsetzung dynamischer Konfigurationen in Regeln für ihre Infrastruktur zu verwalten. Die Auto-Discovery-Innovation des Volterra Gateways ermöglicht es den Clients, das Ziel ihrer Anfragen ständig zu ändern, und das Gateway löst für jede eingehende Anfrage die automatische Erkennung und TLS-Integrität aus.
Der zweite Teil der Lösung besteht darin, diese Dienste Unternehmensbenutzern zugänglich zu machen, ohne die öffentlichen Routen von Microsoft innerhalb des Unternehmensnetzwerks bekannt zu machen. Dies kann auf zwei Arten erreicht werden:
Die erste Methode besteht darin, dies direkt vom Volterra Application Gateway-Cluster in Azure über den ExpressRoute-Schaltkreis durchzuführen. Beachten Sie, dass die einzige IP-Einfügung in das Unternehmensnetzwerk die IP-Adresse des Volterra Application Gateway-Clusters in Azure ist. Der Veranschaulichung halber sagen wir, dass sich das Gateway in Azure befindet, es kann sich jedoch überall befinden, solange diese beiden Bedingungen erfüllt sind: a. Benutzer können auf das Gateway zugreifen, um Datenverkehr dorthin zu senden (oder das Gateway fängt ihn ab). b. Das Gateway ist mit einem Express Route-Schaltkreis verbunden, in dem sich Office 365-Endpunkte befinden bzw. erkennbar sind. Die zweite Methode besteht darin, einen (oder mehrere) Volterra Application Gateway-Cluster innerhalb des Unternehmensgeländes (und privater DCs) hinzuzufügen. Anschließend konfigurieren wir Richtlinien, um erkannte Office365-Endpunktdienste im lokalen Application Gateway-Cluster verfügbar zu machen. Diese Endpunkte werden über das Volterra Application Gateway erkannt, das sich in der Azure Cloud befindet (wie im ersten Teil erläutert). Darüber hinaus kann das Unternehmensbetriebsteam zusätzliche Sicherheits- und Authentifizierungsrichtlinien konfigurieren und gleichzeitig den gesamten Datenverkehr verschlüsseln. Die folgenden Bilder stellen diese Szenarien dar:
Der Volterra Application Gateway-Cluster implementiert auch Funktionen zur automatischen Skalierung. Dies bedeutet, dass, wenn ein Gateway einen bestimmten Schwellenwert überschreitet, ein anderes Gateway gestartet und zum Cluster hinzugefügt wird.
Weitere Funktionen der Volterra-Lösung, die den Unternehmensnetzwerk-, Sicherheits- und Betriebsteams erhebliche Vorteile bieten, sind:
Einfache Bedienung durch zentralisierte Richtlinien und SaaS-basierte Verwaltung. Integrierter/vereinheitlichter Proxy, Sicherheit und Routing mit programmierbarer Datenebene. Genaue und umfassende Transparenz, Protokollierung und Messgrößen für Anwendungsnutzung und -zugriff. Durch die erreichte Einfachheit und betriebliche Exzellenz sind wir davon überzeugt, dass diese Lösung die wahre Antwort für Unternehmen ist, die ähnliche Ziele wie UBS verfolgen. Wir können sicherstellen, dass private Zugriffe auf SaaS-Dienste wie Office 365 genutzt werden, ohne dass Ihr Unternehmensnetzwerk „für öffentliche Netzwerke verfügbar oder sogar Teil davon“ sein muss.