Die Herausforderungen der Netzwerk-infrastruktur

Überlegungen für Ihre Migration in die Cloud

Cloud-Migration erfolgt selten auf einen Schlag. Nur wenige Organisationen nutzen die Dienste eines einzigen Cloud-Providers; die meisten arbeiten am Ende mit einer Kombination aus Public Cloud, Private Cloud und lokaler Infrastruktur.

Zwar sprechen viele gute Gründe für eine heterogene Infrastruktur, doch dasselbe gilt nicht für die Netzwerkfunktionen, die diese Infrastruktur unterstützen:

• Sicherheit, z. B. Firewall, DDoS-Abwehr und Nutzerzugriffsverwaltung

• Performance und Zuverlässigkeit, z. B. Lastverteilung, Beschleunigung des Datenverkehrs und WAN-Optimierung

Ein hybrider Ansatz, der eine komplexe Cloud-Umgebung schützen und beschleunigen soll, führt paradoxerweise selbst zu Performance-Problemen, Sicherheitslücken und Herausforderungen im Support. Um dies zu vermeiden, müssen IT- und Sicherheitsteams dafür sorgen, dass Netzwerkfunktionen möglichst reibungslos zusammenarbeiten können.

Sicherheits- und Performance-Infrastruktur – Modelle und häufige Probleme

Die Sicherung und Beschleunigung von hybriden Cloud- und Multi-Cloud-Infrastrukturen erforderten bisher in der Regel eine oder beide der folgenden Strukturen:

• Lokale Hardware

• Mehrere, über die Cloud bereitgestellte Einzellösungen

Leider bringen beide Ansätze erhebliche Herausforderungen mit sich:

Probleme bei der Verwendung lokaler Hardware

Es ist allgemein bekannt, dass das Betreiben von Rechenzentrums-Hardware kostspielig und zeitaufwendig ist. Außerdem stößt diese Hardware häufig an ihre Kapazitätsgrenzen. Laut einer Cloudflare-Studie stellten 98 % aller L3/4-DDoS-Angriffe im vierten Quartal 2021 bis zu einer Million Pakete pro Sekunde zu. Normalerweise kann eine 1 Gbit/s-Ethernet-Schnittstelle zwischen 80.000 und 1,5 Mio. Paketen pro Sekunde liefern.

Wenn man jedoch davon ausgeht, dass die Schnittstelle auch für den legitimen Traffic verwendet wird, können selbst „kleine“ DDoS-Angriffe Websites und Webapplikationen leicht lahmlegen. Man könnte sich natürlich für den schlimmsten Fall wappnen und immer ausreichend Kapazität aufrechterhalten – aber dann müsste man tief in die Tasche greifen.

Außerdem schafft Hardware Sicherheitslücken. Patches und Updates sind dafür ein gutes Beispiel: Patches müssen manuell implementiert werden. Das geschieht aber nicht immer rechtzeitig, denn die Implementierung kann sich aus logistischen Gründen verzögern oder einfach vergessen werden. Aber sobald ein Patch veröffentlicht wird, rückt die entsprechende Schwachstelle für alle opportunistischen Angreifer ins Rampenlicht.

Hinzu kommt, dass Netzwerk-Hardware in einem hybriden Cloud-Ansatz zu Sicherheitslücken führen. Da Sie Ihre eigene Hardware nicht bei einem Cloud-Provider eines Drittanbieters installieren können, werden die verschiedenen Teile Ihrer Infrastruktur auf verschiedene Weise geschützt. Ihre Sicherheits- und IT-Teams haben dann weniger Einblick in und Kontrolle über eingehende Angriffe und legitimen Traffic.

Probleme bestimmter cloudbasierter Lösungen

Cloudbasierte Dienste bestechen mit niedrigeren Gesamtbetriebskosten als Hardware. Falsch eingesetzt können sie jedoch die Anwendungs- und Netzwerk-Performance verschlechtern. So stützen sich viele cloudbasierte Dienste nur auf eine begrenzte Anzahl spezialisierter Rechenzentren – z. B. Scrubbing-Center für die DDoS-Abwehr. Wenn Sie oder Ihre Endnutzer sich nicht in der Nähe eines dieser Rechenzentren befinden, muss Ihr Traffic erst eine weite Strecke zu einem dieser Rechenzentren zurücklegen – selbst wenn das Endziel des Traffics eigentlich in Ihrer Nähe liegt.

Dieser Backhauling-Prozess kann eine erhebliche Latenz zur Folge haben. Dieses Problem verschärft sich, wenn eine Organisation verschiedene Provider für verschiedene Netzwerkfunktionen verwendet und der Traffic viele Netzwerk-Hops zurücklegen muss, bis er schließlich sein Ziel erreicht.

Die Verwendung verschiedener Provider für verschiedene Funktionen stellt auch den Support vor Herausforderungen. Geht etwas schief, lässt sich manchmal schwer feststellen, welcher Provider die Ursache der Überlastung oder des Ausfalls ist. Hinzu kommt, dass der Zeitaufwand (und damit die Kosten) für die Verwaltung all dieser Provider hoch sein kann.

Wie können Organisationen diese Probleme umgehen?

Verteilte Cloud-Netzwerke schließen Sicherheitslücken und reduzieren Latenz

Die zuvor erwähnten Strategien zur Sicherung und Beschleunigung der Cloud-Infrastruktur haben mehrere Schwächen gemeinsam:

• Performance-Probleme: Hardware hat nur eine begrenzte Kapazität. Cloudbasierte Dienste führen möglicherweise zu Latenz – insbesondere, wenn der Traffic für mehrere Dienste mehrere Cloud-Netzwerke durchläuft.

• Keine Einheitlichkeit bei Kontrollen und Überwachung: Die Verwendung separater Dienste für verschiedene Netzwerkfunktionen erschwert die Anwendung einheitlicher Regeln und die Überwachung des globalen Traffics.

• Erschwerter Support: Wenn Sie separate Dienste nutzen, ist es schwer, Probleme zu lokalisieren.

Wie lassen sich diese Probleme lösen? Die Antwort lautet Integration und globale Reichweite, damit diese Netzwerkfunktionen rund um die Welt möglichst nahtlos zusammenarbeiten.

In der Praxis heißt das in der Regel, dass man ein verteiltes Cloud-Netzwerk braucht. Dieses bietet:

• Viele global verteilte Points of Presence: Dies bedeutet, dass sich das Netzwerk immer in der Nähe der Endnutzer befindet. Das eliminiert die Latenz, die entsteht, wenn Traffic zu und von einem entfernten Scrubbing-Center, VPN-Server oder anderem Dienst übertragen wird.

• Die Fähigkeit, an jedem Point of Presence mehrere Sicherheits- und Performance-Funktionen bereitzustellen: Das bedeutet, dass der Traffic in einem einzigen Rechenzentrum bereinigt, geroutet und beschleunigt werden kann – anstatt für jede Funktion von einem Ort zum anderen springen zu müssen. Dadurch entsteht außerdem Redundanz: Wenn ein Rechenzentrum überlastet ist oder anderweitig ausfällt, können andere sofort übernehmen.

• Die Möglichkeit, sowohl mit Cloud- als auch mit On premise-Infrastrukturen zu arbeiten: Diese und die vorher genannten Funktionen erlauben IT- und Sicherheitsteams, von einem einzigen Ort aus einheitliche Kontrollen einzurichten und den globalen Traffic zu überwachen.

Verteilte Cloud-Netzwerke stützen sich häufig auf Anycast, eine Netzwerk-Adressierungs- und Routing-Methode, bei der eingehende Anfragen an eine Vielzahl verschiedener Standorte oder Knoten weitergeleitet werden können. Anycast ermöglicht es solchen Netzwerken, eingehenden Traffic zum nächstgelegenen Netzwerk zu leiten, das über die Kapazität verfügt, die Anfrage effizient zu bearbeiten – eine wichtige Komponente, um die Latenz für Endnutzer zu reduzieren.

Mit einer solchen Verknüpfung sowie mit intelligentem Routing und Redundanz stellen Probleme wie inkonsistente Kontrolle, Latenz und Support kein großes Hindernis mehr für die Cloud-Migration dar.

Das dezentrale Cloud-Netzwerk von Cloudflare verfügt über Rechenzentren in mehr als 320 Städten in 120 Ländern. Jedes von ihnen ist unter anderem in der Lage, Firewall-Regeln durchzusetzen, DDoS-Angriffe zu bekämpfen, Traffic zu verteilen (Load Balancing) und Inhalte im Cache zwischenzuspeichern, um sie schnell für Endnutzer bereitstellen zu können.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.

Wichtigste Eckpunkte

Folgende Informationen werden in diesem Artikel vermittelt:

• Vor- und Nachteile einer heterogenen Infrastruktur

• Die Herausforderungen lokaler Hardware und diverser über die Cloud bereitgestellter Einzellösungen

• Wie ein dezentrales Cloud-Netzwerk diese Probleme beseitigt

Verwandte Ressourcen

• Das Ende von Netzwerk-Hardware

• Was ist Anycast?

• Das globale Netzwerk von Cloudflare