Virtuelle Private Netzwerke bieten aus Unternehmenssicht eigentlich nur Vorteile. Doch wie sieht die optimale VPN-Architektur aus? IT-Entscheider haben die Wahl zwischen Remote-Access-VPNs, Site-to-Site-VPNs, Cloud-VPNs und hybriden Architekturen. Wir erläutern die grundlegenden Unterschiede.
Die Corona-Krise hat einmal mehr gezeigt, dass Virtuelle Private Netzwerke (VPNs) für Unternehmen ein unverzichtbarer Bestandteil sicherer Kommunikation sind. Nur durch den Schutz eines VPN-Tunnels war es überhaupt möglich, innerhalb kürzester Zeit einen Großteil der Belegschaft ins Homeoffice zu schicken. VPNs ermöglichen aber nicht nur den sicheren Fernzugriff auf ein Unternehmensnetzwerk. Sie lassen sich auch für viele andere Zwecke einsetzen, auf die wir im Folgenden näher eingehen.
Mit einem Remote-Access-VPN ermöglichen Firmen ihren Mitarbeitenden einen geschützten und verschlüsselten Zugriff auf das Unternehmensnetzwerk von einem externen Standort aus. Die jeweilige Umsetzung variiert – abhängig von den spezifischen Anforderungen und der gewählten VPN-Technologie.
Ein Remote-Access-VPN basiert in technischer Hinsicht auf einem VPN-Client, der auf den Endgeräten der Beschäftigten installiert wird. Dieser kommuniziert über einen verschlüsselten Tunnel mit einem VPN-Gateway. Das Gateway sichert dabei nicht nur den Datenverkehr, sondern überwacht auch den Zugriff auf die Ressourcen im Netzwerk dahinter. In der Regel kommt zusätzlich noch ein Authentifizierungsserver zum Einsatz, der die Identität der Mitarbeiterinnen und Mitarbeiter überprüft. Erst dann gibt er den Zugriff auf interne Ressourcen wie Server, Netzlaufwerke, Datenbanken und Anwendungen frei.
Remote-Access-VPNs ermöglichen es den Menschen, ihre Aufgaben auch von unterwegs sicher und effizient zu erledigen. Das erhöht nicht nur die Flexibilität, sondern auch die Produktivität. Zudem sparen Unternehmen auf diese Weise Kosten für Büroarbeitsplätze, da die Angestellten von unterwegs oder von zu Hause aus arbeiten können. Nicht zuletzt sind Remote-Access-VPNs damit ein wesentlicher Baustein auf dem Weg zu einem hybriden Arbeitsmodell. Bei diesem entscheiden die Beschäftigten – unter bestimmten Rahmenbedingungen – mehr oder weniger selbst, von wo aus sie ihre Tätigkeiten am besten erledigen.
Allerdings muss sichergestellt sein, dass die Endgeräte, mit denen die Beschäftigten aus der Ferne auf das Unternehmensnetzwerk zugreifen, auch ausreichend geschützt sind. Dazu eignen sich beispielsweise Virenscanner oder Personal Firewalls. Außerdem müssen das Netzwerk und das VPN-Gateway so ausgelegt sein, dass keine Engpässe in der Kommunikation entstehen. Firmen, die nicht über das Personal oder die Ressourcen verfügen, ein VPN selbst aufzubauen und zu betreiben, sollten sich daher an einen erfahrenen Dienstleister wenden.
Ein Site-to-Site-VPN verbindet mehrere entfernte Standorte eines Unternehmens miteinander. Damit unterscheidet sich diese VPN-Architektur von einem Remote-Access-VPN, das nur einzelne Mitarbeiter mit der Zentrale verbindet. Als Standorte kommen Büros, Niederlassungen und Filialen oder auch ein Rechenzentrum infrage, die sicher miteinander kommunizieren müssen.
In der Regel verfügt jeder dieser Standorte über ein eigenes lokales Netzwerk. Häufig kommen dann vorkonfigurierte VPN-Appliances zum Einsatz, die sich mit dem zentralen VPN-Gateway verbinden. Es gibt aber auch rein softwarebasierte Implementierungen. Die VPN-Endpunkte übernehmen den Aufbau und die Verwaltung der VPN-Tunnel. Darüber hinaus sorgen sie für die Ver- und Entschlüsselung des Datenverkehrs oder decken weitere technische Aspekte wie Routing und Adressumsetzung ab, um Netzwerkkonflikte zu vermeiden.
Für die Anbindung der Standorte wird häufig das öffentliche Internet genutzt. Dazu eignen sich Breitbandverbindungen über eine Standleitung, DSL und Kabel oder auch 5G-Mobilfunk. Auf jeden Fall sollte die Leitung nicht zu schwach ausgelegt sein, sonst kann es unter Umständen zu Verzögerungen bei der Datenübertragung kommen. Um zu verhindern, dass sich unberechtigte Geräte in den Datenverkehr einklinken, ist zudem eine Authentifizierung der VPN-Endgeräte notwendig. Die Einrichtung redundanter VPN-Geräte und der Einsatz von Failover-Mechanismen sorgen für eine hohe Verfügbarkeit eines Site-to-Site-VPN. Bei Ausfall einer Appliance oder Internetleitung werden somit automatisch alternative Pfade genutzt, um die Konnektivität aufrechtzuerhalten.
Site-to-Site-VPNs haben den Vorteil, dass sie sehr gut skalierbar sind. Bestehende Strukturen lassen sich mit geringem Aufwand um zusätzliche Standorte erweitern, wenn das Unternehmen zum Beispiel eine neue Niederlassung gründet. Im Vergleich zu dedizierten Leitungen, die beispielsweise mithilfe von MPLS (Multiprotocol Label Switching) entstehen, kosten sie zudem weniger, da sie ihre sicheren Tunnel über das öffentliche Internet aufbauen.
Bei einem Cloud-VPN handelt es sich um eine VPN-Lösung, die über die Cloud bereitgestellt wird. Im Vergleich zu herkömmlichen VPN-Implementierungen vereinfacht dies die Bereitstellung, da beispielsweise keine zusätzlichen Hardware-Anschaffungen anfallen. Ein Cloud-VPN eignet sich auch, um Beschäftigte, einzelne Niederlassungen oder das gesamte Unternehmen sicher mit Anwendungen zu verbinden, die selbst in der Cloud gehostet werden. Zudem lassen sich Cloud-VPNs ebenso wie andere Cloud-Angebote relativ einfach an die spezifischen Bedürfnisse einer Firma anpassen.
Hierzulande stoßen Cloud-VPNs bei Unternehmen dennoch oft auf Zurückhaltung, wobei die Skepsis besonders auf Sicherheits- und Datenschutzbedenken beruht. Viele Entscheider zögern, weil sie ihre sensiblen Daten und ihre Netzwerkkommunikation nicht einer schwer kontrollierbaren Cloud-Plattform anvertrauen wollen. Zudem befürchten sie, Opfer eines Datenleaks zu werden – unbefugte Dritte könnten auf ihre Daten zugreifen. Ungeklärt bleibt oft auch die Einhaltung von Compliance-Anforderungen, die hiesige Firmen erfüllen müssen.
Neben den genannten VPN-Architekturen existieren auch hybride Modelle. So lassen sich zum Beispiel mehrere Standorte über ein Site-to-Site-VPN miteinander vernetzen, während sich die Mitarbeitenden von zu Hause oder unterwegs über ein Remote-Access-VPN mit dem Unternehmensnetz verbinden. Der Zugriff auf Cloud-Applikationen kann zusätzlich über ein Cloud-VPN abgesichert sein.
NCP ist ein erfahrener Security-Anbieter, der Sie in allen VPN-Fragen unterstützt. Sprechen Sie uns an, wir finden die perfekte VPN-Implementierung für Ihre Anforderungen.
Das könnte Sie auch interessieren:
NCP-Talk mit Julia - unsere neue Kollegin im Marketing
Erzähl uns ein bisschen von Dir: In meiner beruflichen Laufbahn als Referentin und Projektleiterin konnte ich viele verschiedene Einblicke in die Kundenbetreuung, die Optimierung von Prozessabläufen und das Projektmanagement in verschiedensten Bereichen sammeln. Ich bin ...
Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
