Vor diesen Herausforderungen steht Netzwerkinfrastruktur

Überlegungen für Ihre Migration in die Cloud

Cloud-Migration erfolgt selten auf einen Schlag. Nur wenige Organisationen nutzen die Dienste eines einzigen Cloud-Providers; die meisten arbeiten am Ende mit einer Kombination aus Public Cloud, Private Cloud und lokaler Infrastruktur.

Zwar sprechen viele gute Gründe für eine heterogene Infrastruktur, doch dasselbe gilt nicht für die Netzwerkfunktionen, die diese Infrastruktur unterstützen:

  • Sicherheit, z. B. Firewall, DDoS-Abwehr und Nutzerzugriffsverwaltung
  • Performance und Zuverlässigkeit, z. B. Load Balancing, Beschleunigung des Datenverkehrs und WAN Optimization

Ein hybrider Ansatz, der eine komplexe Cloud-Umgebung schützen und beschleunigen soll, führt paradoxerweise selbst zu Performance-Problemen, Sicherheitslücken und Support-Herausforderungen. Um dies zu vermeiden, müssen IT- und Sicherheitsteams dafür sorgen, dass Netzwerkfunktionen möglichst reibungslos zusammenarbeiten können.

Sicherheits- und Performance-Infrastruktur – Modelle und häufige Probleme

Die Sicherung und Beschleunigung von hybriden Cloud- und Multi-Cloud-Infrastrukturen erforderte in der Regel bisher eine oder beide der folgenden Maßnahmen:

  • Lokale Hardware-Geräte
  • Mehrere Einzellösungen bereitgestellt in der Cloud

Leider bringen beide Ansätze erhebliche Probleme mit sich:

Probleme bei der Verwendung lokaler Hardware-Geräte

Es ist allgemein bekannt, dass der Besitz von Rechenzentrumshardware viel Geld und Zeit kostet. Außerdem stößt diese Hardware häufig an ihre Kapazitätsgrenzen. Ein Beispiel: Laut einer Cloudflare-Studie stellten 76 % aller L3/4-DDoS-Angriffe im 2. Quartal 2020 bis zu einer Million Pakete pro Sekunde (pps) zu. Normalerweise kann eine 1-Gbit/s-Ethernet-Schnittstelle zwischen 80.000 und 1,5 Mio. pps liefern.

Wenn man jedoch davon ausgeht, dass die Schnittstelle auch für den legitimen Traffic verwendet wird, können selbst „kleine“ DDoS-Angriffe Websites und Webapplikationen leicht lahmlegen. Man könnte sich natürlich für den schlimmsten Fall wappnen und immer ausreichend Kapazität aufrechterhalten – aber dann müsste man tief in die Kasse greifen.

Außerdem schafft Hardware Sicherheitslücken, und Patches und Updates sind dafür ein gutes Beispiel: Patches müssen manuell implementiert werden. Das geschieht aber nicht immer rechtzeitig, denn die Implementierung kann sich aus logistischen Gründen verzögern oder einfach vergessen werden. Aber sobald ein Patch veröffentlicht wird, rückt die entsprechende Schwachstelle für alle opportunistischen Angreifer ins Rampenlicht.

Hinzu kommt, dass Netzwerk-Hardware-Geräte in einem hybriden Cloud-Ansatz zu Sicherheitslücken führen. Da Sie Ihre eigene Hardware nicht bei einem Cloud-Provider eines Drittanbieters installieren können, werden die verschiedenen Teile Ihrer Infrastruktur auf verschiedene Weise geschützt. Ihre Sicherheits- und IT-Teams haben dann weniger Einblick in und Kontrolle über eingehende Angriffe und legitimen Traffic.

Probleme bestimmter cloudbasierter Lösungen

Cloudbasierte Dienste bestechen mit niedrigeren Gesamtbetriebskosten als Hardware. Falsch eingesetzt können sie jedoch die Anwendungs- und Netzwerk-Performance verschlechtern. So stützen sich viele cloudbasierte Dienste nur auf eine begrenzte Anzahl spezialisierter Rechenzentren – z. B. Scrubbing-Zentren für die DDoS-Abwehr. Wenn Sie oder Ihre Endnutzer sich nicht in der Nähe eines dieser Rechenzentren befinden, muss Ihr Traffic erst eine weite Strecke zu einem dieser Rechenzentren zurücklegen – selbst wenn das Endziel des Traffics eigentlich in Ihrer Nähe liegt.

Dieser Backhauling-Prozess kann eine erhebliche Latenz zur Folge haben. Dieses Problem verschärft sich, wenn eine Organisation verschiedene Provider für verschiedene Netzwerkfunktionen verwendet und der Traffic viele Netzwerk-Hops durchführen muss, bis er schließlich sein Ziel erreicht.

Die Verwendung verschiedener Provider für verschiedene Funktionen stellt auch den Support vor Herausforderungen. Geht etwas schief, lässt sich manchmal schwer feststellen, welcher Provider die Ursache der Überlastung oder des Ausfalls ist. Hinzu kommt, dass der Zeitaufwand (und damit die Kosten) für die Verwaltung all dieser Provider hoch sein kann.

Wie können Organisationen diese Probleme umgehen?

Verteilte Cloud-Netzwerke schließen Sicherheitslücken und reduzieren Latenz

Die zuvor erwähnten Strategien zur Sicherung und Beschleunigung der Cloud-Infrastruktur haben mehrere Schwächen gemeinsam:

  • Performance-Probleme: Hardware hat nur eine begrenzte Kapazität. Cloudbasierte Dienste führen möglicherweise zu Latenz – insbesondere, wenn der Traffic für mehrere Dienste durch mehrere Cloud-Netzwerke läuft.
  • Keine Einheitlichkeit bei Kontrollen und Überwachung: Die Verwendung separater Dienste für verschiedene Netzwerkfunktionen erschwert die Anwendung einheitlicher Regeln und die Überwachung des globalen Traffics.
  • Support: Wenn Sie separate Dienste nutzen, ist es schwer, Probleme zu lokalisieren.

Wie lassen sich diese Probleme lösen? Die Antwort lautet Integration und globale Reichweite, damit diese Netzwerkfunktionen rund um die Welt möglichst nahtlos zusammenarbeiten.

In der Praxis heißt das in der Regel, dass man ein verteiltes Cloud-Netzwerk braucht. Ein verteiltes Cloud-Netzwerk bietet:

  • viele global verteilte Points of Presence. Dies bedeutet, dass sich das Netzwerk immer in der Nähe der Endnutzer befindet. Das eliminiert die Latenz, die entsteht, wenn Traffic zu und von einem entfernten Scrubbing-Zenter, VPN-Server oder anderem Dienst übertragen wird.
  • die Fähigkeit, an jedem Point of Presence mehrere Sicherheits- und Performance-Funktionen zu erfüllen. Das bedeutet, dass der Traffic in einem einzigen Rechenzentrum gescrubbt, geroutet und beschleunigt werden kann – anstatt für jede Funktion von einem Ort zum anderen springen zu müssen. Dadurch entsteht außerdem Redundanz: Wenn ein Rechenzentrum überlastet ist oder anderweitig ausfällt, können andere sofort übernehmen.
  • die Möglichkeit, sowohl mit Cloud- als auch mit lokalen Infrastrukturen zu arbeiten. Diese und die vorher genannten Funktionen erlauben IT- und Sicherheitsteams, von einem einzigen Ort aus einheitliche Kontrollen einzurichten und den globalen Traffic zu überwachen.

Verteilte Cloud-Netzwerke stützen sich häufig auf Anycast, eine Netzwerk-Adressierungs- und Routing-Methode, bei der eingehende Anfragen an eine Vielzahl verschiedener Standorte oder Knoten weitergeleitet werden können. Anycast ermöglicht es solchen Netzwerken, eingehenden Traffic zum nächstgelegenen Netzwerk zu routen, das über die Kapazität verfügt, die Anfrage effizient zu bearbeiten – eine wichtige Komponente, um die Latenz für Endnutzer zu reduzieren.

Mit einer solchen Verknüpfung sowie mit intelligentem Routing und Redundanz stellen Probleme wie inkonsistente Kontrolle, Latenz und Support kein großes Hindernis mehr für die Cloud-Migration dar.

Das verteilte Cloud-Netzwerk von Cloudflare verfügt über Rechenzentren in 200 Städten in 100+ Ländern. Jedes von ihnen ist unter anderem in der Lage, Firewall-Regeln durchzusetzen, DDoS-Angriffe zu bekämpfen, Traffic zu verteilen (Load Balancing) und Inhalte im Cache zwischenzuspeichern, um sie schnell für Endnutzer bereitzustellen.

Tauchen Sie tiefer in die Thematik ein. Weitere Informationen zu Sicherheitsstrategien für die Migration von Netzwerkfunktionen von der Hardware in die Cloud finden Sie im Whitepaper Das Ende von Netzwerk-Hardwaregeräten.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.

Lesen Sie den Cloudflare-Blog

Die Informationen, die Sie Cloudflare zur Verfügung stellen, unterliegen den Bestimmungen unserer Datenschutzrichtlinie.

success logo

Subscription Confirmed

Thank you for subscribing!