VPN-Technik und Security-Herausforderungen - NCP ePaper powered by LANline

Wichtige Faktoren für die Umsetzung

Vernetzung von Unternehmensstandorten

geschrieben von Christian Roth/pf, Vorstand von M.A.X. Informationstechnologie, www.max-it.de.

Für Unternehmen kann es unterschiedlichste Motive geben, eine IT-Vernetzung ihrer Standorte anzustreben. Beispiele sind Unternehmensexpansion, die Einführung neuer standortübergreifender Softwareanwendungen oder die Zentralisierung bislang dezentraler Daten. Für eine erfolgreiche Umsetzung sind schon bei der Planung der Standortvernetzung vier wichtige Faktoren zu berücksichtigen.

Die Zielsetzung für eine Vernetzung von Unternehmensstandorten setzt in der Regel bereits ein bestimmtes Anforderungsprofil auf Service- beziehungsweise Applikationsebene voraus. Entscheidend für die erfolgreiche Umsetzung ist die Planung. Im Rahmen einer Analyse sollten die Verantwortlichen im Vorfeld klären, welche detaillierten Bedarfe sich aus den jeweiligen Anforderungen in die konkrete IT-Vernetzung ergeben. Unabhängig von den konkreten technischen Anforderungen bieten sich prinzipiell zwei alternative Lösungswege an:
schlüsselfertige Komplettlösungen eines Anbieters/Carriers und
Lösung in Eigenregie auf der Basis von Standard-Internet-Anbindungen in Kombination mit VPN.
Lösungen in Eigenregie lassen sich dabei auch in Zusammenarbeit mit Carrier-neutralen Systemhäusern realisieren. Die folgende Checkliste gibt einen Überblick über die vier wichtigsten Faktoren, die bei der Planung einer Standortvernetzung zu beachten sind:

  • Kommunikationstopologie,
  • Bandbreite und Quality of Service (QoS),
  • Ausfallsicherheit und
  • Verschlüsselung.

 
Kommunikationstopologien

Bei der IT-Vernetzung sind grundsätzlich zwei Arten von Kommunikationstopologien zu unterscheiden. Zum einen können alle Standorte eines Unternehmens auf eine zentrale Applikationsplattform (zum Beispiel E-Mail-Server) beziehungsweise einen zentralen Daten-Pool (zum Beispiel File-Server) zugreifen (Sterntopologie). Um keinen vernetzungstechnischen Flaschenhals entstehen zu lassen, ist für den zentralen Standort eine hinreichend breitbandige Anbindung vorzusehen, die sich aus der Summe der von den Niederlassungen gleichzeitig genutzten Bandbreiten errechnet. Alternativ dazu lässt sich der erhöhte Bandbreitenbedarf durch die Auslagerung der zentralen Infrastruktur in ein Rechenzentrum abdecken. Eine Vernetzung in Sterntopologie kann das Unternehmen kostengünstig durch Standard-Internet-Anbindungen (ADSL/SDSL) mit VPN in Eigenregie realisieren.
Beinhaltet die Anforderung den Datenaustausch (zum Beispiel Peer-to-Peer-Videokonferenzen) zwischen beliebigen Standorten, so empfiehlt sich als Topologie eine „Any-to-Any“-Vernetzung, da sich in der „Stern“-Variante der Bandbreitenbedarf am zentralen Standort entsprechend potenzieren würde. Bei einer überschaubaren Anzahl von Standorten lassen sich „Any-to-Any“-Topologien über VPN auf der Basis von Internet-Standardanbindungen in Eigenregie umsetzen. Da in diesem Szenario zwischen allen Standorten ein VPN-Tunnel einzurichten ist, steigt allerdings mit der Anzahl der Standorte die Komplexität der Administration überproportional, sodass in diesem Fall der Rückgriff auf eine schlüsselfertige Komplettlösung mit „Any-to-Any“-Option eines Carriers empfehlenswert ist.
Der Bandbreitenbedarf hängt neben der Zahl der Anwender auch vom Typ und dem Kommunikationsverhalten der Applikationen und Dienste ab. Pauschalen Aussagen helfen dabei kaum, eine exakte Bedarfsanalyse durch einen Experten ist essenziell. Die Planer sollten zudem beachten, dass Bandbreite allein nicht die entscheidende Messgröße ist. Weitere grundlegende technische Parameter wie die Latenzzeit, Jitter (die Abweichung der Latenzzeit von ihrem Mittelwert) und die Paketverlustrate (die Wahrscheinlichkeit, dass einzelnen IP-Pakete bei der Übertragung verloren gehen) haben je nach Anwendungsfall zentrale Bedeutung. Beispielsweise verhindern hohe Latenzzeiten und/oder Paketverlustraten die Telefonie über VoIP, selbst wenn die Leitung noch ausreichend Bandbreite zur Verfügung stellt. Bei einer reinen Dateisynchronisation hingegen zählt nur die Bandbreite.
 
Bandbreitenbedarf und QoS

In der Regel bieten die aktuellen Internet-Anbindungen aller Carrier hinreichend geringe Latenzzeiten, Jitter-Werte und Paketverlustraten für gebräuchliche Anwendungsszenarien. Allerdings ist dies nur der Fall, solange die Leitung nur schwach bis mittel ausgelastet ist. Sobald die Auslastung kritische Werte der Bandbreite überschreit, steigt die Volatilität der Parameter Latenz, Jitter und Paketverlustrate signifikant an. Dies verursacht beispielsweise das „Hängen“ einer Anwendung oder eine hörbar gestörte Telefonqualität. Eine Priorisierung kritischer Datenströme – also Quality of Service – wird damit unabdingbar, wenn sich das Unternehmen nicht mit entsprechend großen Bandbreitenreserven auf die sichere Seite begeben will oder kann.
QoS kann jedoch nur funktionieren, wenn sich beide Richtungen einer Kommunikationsverbindung über die gesamte Wegstrecke kontrollieren lassen. Daher ist bei entsprechenden Anforderungen entweder der Rückgriff auf schlüsselfertige Komplettlösungen eines Carriers (zum Beispiel MPLS-VPNs) oder aber der Einsatz von VPN-Techniken ratsam, die in der Lage sind, in Abhängigkeit von der verfügbaren Bandbreite auf beiden Seiten einer Verbindung den gesamten Datenkanal zu kontrollieren und gegebenenfalls einzelne Datenströme zu priorisieren.
In diesem Zusammenhang ist auch zu erwägen, für den Internet-Zugang (Surfen, externe E-Mail-Kommunikation etc.) separate Leitungen zu nutzen, die gleichzeitig als Fallback für die VPN-Verbindung fungieren. Sobald nämlich neben dem VPN weitere Datenströme eine Leitung nutzen, ist der über VPN-QoS zu erzielende Kontrolleffekt hinfällig. So kann es ohne eine Separierung der Leitungen schnell passieren, dass eine gleichzeitige bandbreitenintensive Internet-Nutzung den QoS-gemanagten VPN-Datenstrom ausbremst.
 
Ausfallsicherheit

Bei der Betrachtung der Ausfallsicherheit stellt sich zunächst die Frage, welche maximale Ausfalldauer einer Anbindung seitens der darauf basierenden Geschäftsprozesse tolerabel ist. Grundsätzlich gilt: Je höher die Verfügbarkeitsgarantie für eine Anbindungslösung, desto teurer ist sie – bis hin zu redundanten, knoten- und kantendisjunkten Anbindungen über unterschiedliche Vermittlungsstellen, die sich nur in entsprechend kritischen Anwendungsszenarien wirtschaftlich betreiben lassen.
Auch dabei gibt es Alternativen zu hochpreisigen Premiumangeboten einzelner Carrier. Dies können etwa schmalbandige Überbrückungslösungen sein – zum Beispiel Notfallplanungen wie der Ersatz von RDP (Remote Desktop Protocol) durch Einwahl per User-VPN über Mobilfunkverbindung oder für VoIP die Weiterleitung einer zentralen TK-Anlage auf Handys. Eine weitere Alternative sind redundante Anbindungen im niedrigen beziehungsweise mittleren Preissegment, die idealerweise über Technik- und/oder Carrier-Diversifikation erfolgen.
Grundsätzlich garantieren zwei getrennte Leitungen allein noch keine oder aber nur eine sehr eng gefasste Redundanz. Es muss zusätzlich sichergestellt sein, dass die tatsächlich benötigte Konnektivität über den Redundanzweg erhalten bleibt beziehungsweise sich zeitnah wiederherstellen lässt. Neben der Leitung sind deswegen sämtliche Komponenten wie beispielsweise Router, Switches, Firewalls sowie ihr Zusammenspiel in die Redundanzplanung als ganzheitliche Verbundlösung mit einzubeziehen.
Eine derartige Verbundlösung lässt sich durch eine eher hochpreisige Komplettlösung eines einzigen Carriers oder über preisgünstigere Lösungen auf der Basis von Standard-Internet-Anbindungen unterschiedlicher Carrier realisieren. Besonders bei hohen Anforderungen an die Ausfallsicherheit bieten unter dem Aspekt des Preis-Leistungs-Verhältnisses eher Carrier-redundante Lösungen entsprechende Vorteile.
Ein zusätzlicher wichtiger Aspekt bei einer Lösung auf der Basis von preisgünstigen Internet-Anbindungen ist die Diversifizierung der Leitungstechnik. Beispielsweise reduziert die Kombination von SDSL- und ADSL-Leitungen die Wahrscheinlichkeit, dass beide Verbindungen zeitgleich ausfallen. Als Zweitweg lassen sich auch Richtfunkanbindungen oder – zumindest für den für den Notfall – auch Verbindungen auf LTE-Basis einbeziehen, die sogar beim gefürchteten „Bagger-GAU“ die Konnektivität erhalten.
 
Verschlüsselung

Bei der Wahl einer Vernetzungslösung sollten sich die Verantwortlichen auch über das Thema Sicherheit beziehungsweise Verschlüsselung Gedanken machen. Dazu muss jedes Unternehmen seine individuellen Sicherheitsanforderungen definieren und die Frage beantworten, ob und welche der Daten, die über die Vernetzung zu übertragen sind, Verschlüsselung benötigen. Zu beachten ist, dass „VPN“ im Produktnamen schlüsselfertiger Komplettlösungen keineswegs automatisch bedeutet, dass die Datenwege kryptografisch gesichert sind. Im Fall hoher Sicherheitsanforderungen ist also unbedingt mit den Carriern zu klären, ob die jeweils angebotene Lösung tatsächlich Verschlüsselungsverfahren nutzt. Die Verschlüsselung ist gegebenenfalls dediziert zu beauftragen oder aber selbst umzusetzen.
 
Backup

Mit der Umsetzung einer Zweigstellenvernetzung ergibt sich auch die Chance, zusätzliche Mehrwerte in der IT-Infrastruktur zu realisieren. Auf zwei Aspekte, Backup sowie Zentralisierung der IT, geht der Beitrag im Folgenden kurz exemplarisch ein.
Anstelle bisheriger lokaler Backups oder der Nutzung von Cloud-Diensten, die zusätzlich das Backup extern speichern, ergeben sich mit der Standortvernetzung neue Optionen für die Datensicherung: Die Vernetzung der Zweigstellen bietet die Möglichkeit, bisher nur lokal gesicherte Daten zusätzlich auch bei anderen Lokationen zu sichern (Remote Backup).
Sind die Datenvolumina der Backups zu groß, sodass sich beispielsweise eine Vollsicherung nicht innerhalb eines nächtlichen Zeitfensters von sechs bis acht Stunden übertragen lässt, kann der Anwender mit Deduplizierungslösungen (wie etwa EMC Datadomain) zusätzliche intelligente Verfahren etablieren. Solche reduzieren das zu sichernde Datenvolumen erheblich und sind damit in der Lage, dieses automatisiert auch über vergleichsweise schmalbandige WAN-Strecken zu replizieren. Realistisch sind Reduzierungsfaktoren von 1:10, wenn eine typische Mischung der Datentypen (Office, E-Mails, Bilder oder Filme) vorliegt und die Änderungen der Daten im normalen Rahmen bleibt (im Schnitt unter fünf Prozent des Gesamtvolumens).
Mit dem Einsatz von Deduplizierungslösungen lassen sich Backups sowohl von den Niederlassungen in die Zentrale als auch umgekehrt von der Zentrale in die Niederlassungen etablieren. Damit kann das Unternehmen ein eigenes georedundantes Backup-Netz aufbauen, das hochgradig ausfallsicher ist und bei dem die Daten – anders als bei externen Cloud-Speichern – komplett unter der Kontrolle des Anwenders bleiben.
 
Zentralisierung

Auf der Grundlage einer Zweigstellenanbindung können Unternehmen ihre Anwendungen, Dienste und IT-Prozesse stark zentralisieren. Dies liefert eine Reihe von Vorteilen. Beispielsweise sind dann Infrastruktur und Softwarelösungen von Haus aus integriert und passgenau. IT-Spezialisten kommen zentral zum Einsatz, sodass IT-Know-how nicht an jedem einzelnen Standort vorzuhalten ist.
Zusammenfassend zeigt die Erfahrung, dass für eine zuverlässige und leistungsfähige Vernetzung mehrerer Unternehmensstandorte eine Vielzahl von Parametern und Anforderungen zu berücksichtigen ist.
Wer bei der technischen Planung und Umsetzung Neuland betritt und nicht von vornherein bei der Skalierung und dem Budget aus dem Vollen schöpfen kann, dem ist zu empfehlen, bereits für die frühen Phasen des Projekts Expertenrat hinzuzuziehen.

Die vier wichtigsten Faktoren für eine erfolgreiche Standortverrnetzung. Bild: M.A.X. Informationstechnologie