DER NETZWERK INSIDER – Ausgabe Mai 2023

Oft wird in der IT alter Wein in neuen Schläuchen verkauft. Manchmal ist es jedoch nicht ganz der alte Wein, sondern ein etwas anders zusammengesetztes Bouquet. So ist es auch mit dem Fernzugriff, also dem sogenannten Remote Access Service (RAS). RAS hat insbesondere seit dem Beginn der Pandemie im ersten Quartal 2020 signifikant an Bedeutung gewonnen. Vor Corona galt es, einem Teil des Personals für einen kleineren Teil seiner Arbeitszeit den Fernzugriff zu ermöglichen. Eine weitere Besonderheit von Pre-COVID-RAS bestand darin, dass der Fernzugriff vor allem auf Ressourcen im eigenen Rechenzentrum (RZ) einer Organisation zu ermöglichen war. Das gute alte Virtual Private Network (VPN), vor allem auf der Basis von Internet Protocol Security (IPsec) und alternativ dazu Secure Socket Layer (SSL) oder, der korrekten Terminologie folgend, Transport Layer Security (TLS), hat sich im Laufe von ungefähr zwei Jahrzehnten als wichtigste Technologie für RAS etabliert.

Und dann kamen Cloud und Corona

Im März 2020 änderte sich alles, auch für RAS. Der Fernzugriff, der bis dato von einem Teil des Personals während eines Teils seiner Arbeitszeit genutzt wurde, war plötzlich zum Rettungsanker fast aller Büroarbeiter geworden, oder in der Microsoft-Sprache aller Knowledge-Worker. Vor Corona galt RAS als „nice-to-have“, als eine Erleichterung, die es dem reisenden Personal und den wenigen Home-Office-Usern ermöglichte, auch fernab von den Büroräumen ihrer Arbeitgeber dessen IT-Ressourcen zu nutzen. Vor drei Jahren wurde RAS von einem bloß nützlichen zu einem lebenswichtigen Werkzeug. Jetzt mussten plötzlich alle diejenigen den Fernzugriff nutzen, die irgendwie mit IT zu tun hatten, von Schülern bis zu Unternehmensvorständen.

Vor Corona war die Cloud aber schon da. Auch wenn externe IT-Ressourcen seit der Entstehung des World Wide Web in den 1990er Jahren ebenfalls dienstlich genutzt wurden, war diese Nutzung anfangs noch additiv zur Nutzung interner IT-Ressourcen. Erst als die Ersetzung Letzterer durch Erstere begann, wurde Cloud Computing omnipräsent. Ganz sicher trug die Firma Apple mit dem Konzept iPhone dazu bei, also einem Gerät, dessen Applikationen über das Internet auf diverse Hintergrund-Ressourcen zugreifen. Ein weiterer wesentlicher Meilenstein war die Gründung vom Amazon Web Services (AWS), nach der Anekdote entstanden aus der Idee, die großen Rechenressourcen des Online-Händlers auch zu anderen Zeiten als den Einkaufssaisons Thanksgiving und Weihnachten gewinnbringend zu verkaufen. Doch erst in den 2010er Jahren begann die teilweise Substitution der unternehmensinternen RZ-Ressourcen durch die sogenannte Cloud. Da Investitionszyklen von Unternehmen eine gewisse Trägheit verursachen, wurde Cloud Computing nicht mit einem Urknall eingeführt, sondern im Zuge eines starken, jedoch auch anhaltenden Trends.

Die alles ändernde Kombination

Corona war wie ein Urknall: unvorhergesehen und plötzlich. Die Pandemie war ein Booster für den schon seit ungefähr einem Jahrzehnt wirkenden Cloud-Trend. Denn: Externe Clouds wurden zum Treffpunkt von Angehörigen unterschiedlicher Organisationen. Nehmen Sie als Beispiel mein Berufsleben: Es begann vor fast 35 Jahren mit einer regen Reisetätigkeit. Als externer Berater hatte ich keine Wahl – ich musste zu den Kunden reisen. Und das blieb über 30 Jahre so. Da die Meinesgleichen mit der Pandemie nicht plötzlich entbehrlich wurden, musste etwas her, das die Kommunikation und Zusammenarbeit mit externen Beratern möglich machte, und nicht nur mit externen Beratern, sondern generell mit Geschäftspartnern, Lieferanten und Kunden. Dieses Etwas waren die Cloud-Plattformen für Unified Communications and Collaboration (UCC). Marken wie Zoom, Teams und Webex wurden über Nacht weltberühmt. Auch wenn es UCC ohne Cloud gab und gibt, ist der Betrieb einer UCC-Plattform im eigenen RZ mit Nachteilen verbunden. Erstens muss man anhaltend die Ressourcen ausbauen, um mit der stark steigenden Quantität und Qualität der Echtzeitkommunikation Schritt zu halten. Zweitens muss man die Geschäftspartner, Lieferanten und Kunden dazu bringen, die Client-Komponente genau der Plattform zu nutzen, die im unternehmenseigenen RZ betrieben wird. Drittens müssen die Netz- und Sicherheitsstrukturen wie Firewalls mit skalieren und neue Regeln unterstützen. Viertens müssen die Sicherheitsregeln auch auf der anderen Seite, auf der Client-Seite, angepasst werden. Einfacher wird es, wenn man sich auf die Nutzung einer externen UCC-Cloud verständigt. Die Cloud wurde zum virtuellen Treffpunkt. Und genau die Kombination von Cloud und UCC hat alles verändert. Diese Veränderung kam, um zu bleiben. Denn Corona wurde zu einem Katalysator für die wirtschaftlichere, flexiblere und effizientere Art zusammenzuarbeiten und zu kommunizieren, natürlich mit dem Nachteil des Verzichts auf die Vorteile der Kommunikation von Angesicht zu Angesicht.

RAS der neuen Generation

Zurück zum RAS: Nur wenn man die Hintergründe, nämlich Cloud und Corona, berücksichtigt, kann man erklären, wie es zum RAS der neuen Generation kam. Der neuartige Fernzugriff muss nämlich immer mehr Cloud-Zugriffe unterstützen. Es ist naheliegend, dass dabei RAS selbst zum Cloud-Dienst wird. Nehmen Sie das Beispiel Bürokommunikation: Seit ca. 30 Jahren wird sie mehr oder weniger von Microsoft dominiert, ungefähr seit Microsoft-Produkte, nämlich das Betriebssystem und die überall benötigten Programme für Textverarbeitung, E-Mail, Präsentation etc., auf fast jedem Personal Computer (PC) anzutreffen sind. Microsoft hat rechtzeitig auf den Aufstieg des anderen Riesen, nämlich Amazon, reagiert und wurde zur Cloud-Firma. Microsoft Office wurde zu Office 365 und später Microsoft 365 mit immer mehr Cloud-Komponenten. Die Microsoft-Cloud wächst und wächst. Immer mehr Rechenzentren und IP-Adressbereiche sowie Namensdomänen im Domain Name System (DNS) wurden von Microsoft der eigenen Cloud hinzugefügt. Die Firewall- und Proxy-Administratoren der Microsoft-Kunden konnten mit dieser dynamischen Entwicklung kaum Schritt halten. Es ist wesentlich einfacher, einen sicheren Treffpunkt zu nutzen, für dessen Regeln jemand anders sorgt. Das erklärt das rasante Wachstum von Anbietern von Cloud-basierendem Secure Web Access, also Firmen wie Zscaler. Ist der sichere Treffpunkt da, kann man ihn nicht nur für ausgehenden, sondern auch für eingehenden Zugriff nutzen. Geboren ist der RAS der neuen Generation.

Sichere Vermittlung zwischen Nutzern und Ressourcen

Wesensmerkmal von RAS der neuen Generation ist die sichere Vermittlung zwischen Nutzern und Ressourcen, egal wo sich die Nutzer und die Ressourcen befinden. Da eine solche sichere Vermittlung sowohl Netz- als auch Sicherheitskomponenten hat, wurde dafür eine Reihe von neuen Begriffen eingeführt:

• Als bekannte Analystenfirma trug Gartner zur Bekanntheit einiger neuer Begriffe bei. Seit 2019 gehört Secure Access Service Edge (SASE) dazu. Mit SASE wird ein Cloud-Dienst für die sichere Vermittlung zwischen Usern und IT-Ressourcen bezeichnet, mit den zwei Säulen Networking und Security. Unter Networking fallen Mechanismen wie Software-Defined Wide Area Network (SD-WAN) und WAN-Optimierung. Security bedeutet vor allem Secure Web Gateway (SWG), Cloud Access Security Broker (CASB), Zero Trust Network Access (ZTNA) und Firewall as a Service (FWaaS).
• Zwei Jahre nach SASE erfand Gartner den Begriff Secure Service Edge (SSE). SSE wird häufig als die Security-Untermenge von SASE verstanden, mit Komponenten wie SWG, ZTNA und CASB, Letzteres gepaart mit Data Loss Prevention (DLP). Bei SSE geht es um den sicheren Zugriff auf das Internet, auf Software as a Service (SaaS) und auf jene internen Applikationen, die einen Cloud-basierenden Fernzugriff unterstützen.
• Neben den zu SSE zusammengefassten, sicherheitsspezifischen Mechanismen, nämlich SWG, ZTNA/VPN und CASB/DLP umfasst SASE also weitere Technologien, darunter:
  • SD-WAN: Dabei geht es vor allem um ein virtuelles WAN, das verschiedene physische Netze, d.h. das Internet und private WAN-Plattformen wie Multi-Protocol Label Switching (MPLS), nutzt.
  • WAN-Optimierung: Das war lange Jahre die Spezialität von Firmen wie Riverbed. Diese Technologie reduziert zwecks Verkürzung von Antwortzeiten die Anzahl der WAN-Durchläufe und die Menge der über das WAN übertragenen Daten.
  • Inverse Multiplexing: Dabei werden die Übertragungskapazitäten verschiedener Netze gebündelt und addiert. Beispiel: Aus 100 Mbit/s DSL (Digital Subscriber Line, Wired) und 50 Mbit/s LTE (Long Term Evolution, Wireless) werden 150 Mbit/s.
  • Content Delivery Network (CDN): Das war zwei Jahrzehnte lang die Stärke von Firmen wie Akamai. Sie haben die wegen stehender und bewegter Bilder immer größeren Datenmengen näher zu den Usern gebracht und so Zugriffe beschleunigt.
  • Domain Name System (DNS): Wie Namen aufgelöst (d.h. IP-Adressen zugeordnet) werden, hat wesentlichen Einfluss auf Kommunikationsströme und damit auf Antwortzeiten von Anwendungen. Deshalb ist DNS eine wichtige SASE-Komponente.
  • Remote Browser Isolation (RBI): Dabei wird der Internet-Browser als potenzielle Gefahrenquelle von den sonstigen Applikationen auf einem Client-Rechner abgeschirmt. Beispiel: Browser in the Box (BitBox) von Rohde & Schwarz (R&S).
  • Firewall as a Service (FWaaS): Ein anderer Begriff dafür ist Cloud-Firewall. Die Firewall mit erweiterten Funktionen (Next Generation Firewall, NGFW) wird dabei zum Cloud-basierten Service für Web Filtering, Advanced Threat Protection (ATP), Intrusion Prevention System (IPS) und DNS-Sicherheit.
  • Web Application and Application Programming Interface Protection as a Service (WAAPaaS): Ein Cloud-Dienst sorgt für die Absicherung eingehender Zugriff auf eigene Web-Anwendungen samt der dabei genutzten APIs.

Begriffe weisen Überlappungen auf

Wie Sie bemerkt haben, weisen neue Begriffe in Zusammenhang mit RAS Überlappungen auf. So ist zum Beispiel die Grenze zwischen SASE und SSE nicht ganz scharf. Dieselbe Technologie kann von einem Hersteller als SSE-Komponente bezeichnet werden, von einem anderen Anbieter jedoch nicht. Mehr dazu erfahren Sie auf unserer diesjährigen Sommerschule, wo mein Kollege Simon Oberem zum Thema RAS vorträgt.