Cisco Schweiz Blog

SD-WAN und/oder Umbrella SIG – ja was denn nun ?

3 min read



Cisco SD-WAN oder Cisco Umbrella oder beides? Diese Diskussionen flammen immer wieder auf, denn beide Lösungen haben Überschneidungen in ihren Funktionen und somit ist es nicht immer klar, wie denn die Lösungen zusammenspielen und wann welche Variante die bessere ist, aber fangen wir von vorne an…

Viptela SD-WAN

Die Cisco Viptela SD-WAN-Lösung bietet einen sehr mächtigen Security-Stack an, der u.a. folgende Funktionen beinhaltet:

  • Application based Firewall
  • IDS/IPS
  • URL-Filtering
  • AMP (Advanced malware Protection)
  • Threat-Grid
  • SSL-Proxy

Cisco Umbrella SIG

Im Gegenzug bietet Cisco Umbrella SIG folgende Sicherheitsbausteine an:

  • Secure Web Gateway
  • DNS-Layer Security
  • Full-tunneling proxy
  • Cloud Access Security Broker (CASB)

Einige Funktionalitäten scheinen somit sowohl in SD-WAN als auch in Umbrella vorhanden zu sein und sich somit zu überschneiden.

Doppelt gemoppelt….?

Des weiteren kommt dazu, dass die SD-WAN Lösung Cisco Umbrella direkt unterstützt und die Umbrella-Cloud angebunden werden kann. SD-WAN sendet dann den Traffic via einem Tunnel an den nächstbesten erreichbaren Umbrella Knoten, wo der Traffic gemäss der Umbrella Policy inspiziert wird. Nun kann man aber auch sagen, dass einige Funktionen sowohl auf SD-WAN Seite als auch auf Umbrella-Seite möglich sind. Gewisse Aspekte sind doppelt gemoppelt sozusagen und diese Aussage stimmt auch.

Nun stellt sich die Frage, wie damit umgehen und wann sollte man welche Variante nutzen?

Aus meiner Sicht gibt es zwei grundsätzliche Aspekte, die eine Kombination von SD-WAN zusammen mit Umbrella sehr sinnvoll machen:

1) Einheitliche Policy für *alle* Anwender

Die SD-WAN Lösung liefert bereits ein mächtiges Set an Sicherheitsfunktionen mit, aber dies zieht natürlich auch nur, wenn der Traffic durch einen der SD-WAN Router fliessen kann. Bei Anwendern, die sich in SD-WAN basierenden Aussenstellen oder am zentralen Standort aufhalten, ist dies abgedeckt, aber was passiert mit den mobilen Benutzern oder Home-Office-Mitarbeitern, die unterwegs oder von zuhause aus arbeiten? SD-WAN kann diese Benutzergruppen nicht abdecken, denn deren Datenverkehr passiert keinen SD-WAN-Router auf ihren Weg ans Ziel im grossen weiten Internet. Hier wäre ein Einsatz von Umbrella SIG für alle Anwendern die ideale Lösung. Da Umbrella sowohl mit der SD-WAN-Lösung als auch mit einem Client auf allen Geräten kombiniert werden kann, ist somit eine einheitliche Sicherheitsfunktion mit ebenfalls einheitlicher Policy für alle Arten von Benutzern möglich:

  • SD-WAN-Standorte -> Dieser Datenverkehr wird via dem SD-WAN-Router zum nächsten Umbrella SIG Knoten geschickt, dort inspiziert und kontrolliert.
  • Mobile Benutzer oder Home-Office -> Die Geräte dieser Benutzer haben einen Cisco AnyConnect Client mit Umbrella Modul installiert und dieser sendet den Datenverkehr zum nächsten Umbrella SIG Knoten, damit sind auch diese Benutzer geschützt.
  • Kommen mobile Benutzer in eine SD-WAN geschützte Aussenstelle, detektiert der AnyConnect dies und schaltet sich aus, der Benutzer ist dann über die SD-WAN Lösung abgesichert. Verlässt dieser Benutzer die Aussenstelle wieder und klinkt sich in einem Hotspot ein, detektiert der AnyConnect Client auch dies und schaltet sich wieder aktiv – der Benutzer ist somit jederzeit via Umbrella geschützt.

Das Schöne ist, mittels Umbrella SIG können auch verschiedene Policies pro Benutzer-Gruppen definiert werden, alles via zentralem Umbrella-Dashboard und somit gültig für die ganze Firma.

2) Skalierbarkeit

Die zweite Variante ist eine Frage der Skalierung. Der Kunde hat zum Beispiel SD-WAN im Einsatz, aber zu Beginn kleinere Router eingesetzt, allenfalls war die Security anders gelöst oder Traffic ins Internet an den Aussenstellen via DIA (noch) kein Thema. In der Zwischenzeit hat sich dies geändert, der Kunde hat nun eine Cloud Strategie und sendet Daten direkt an der Aussenstelle via DIA ins Internet, die Bandbreiten sind ebenfalls gestiegen. Nun würden die kleinen SD-WAN Router an ihre Grenzen stossen, die zusätzliche Last der Security Funktionen zusammen mit den SD-WAN Links zu verarbeiten und müssten gegen grössere Modelle getauscht werden. Eine interessante Alternative wäre auch hier der Weg via Umbrella SIG zu gehen, denn diese Ressourcen werden in der Cloud zur Verfügung gestellt und damit müssten die SD-WAN Router nicht belastet werden, sie können den Traffic via Tunnel sehr einfach zum nächsten Umbrella Knoten senden, dieser übernimmt dann die weitere Verarbeitung und die Router können ihre Ressourcen für SD-WAN verwenden.

Wir sehen, es gibt betreffend SD-WAN und Umbrella sehr wohl verschiedene Aspekte, um beide Lösungen zu kombinieren, auch wenn sich die Merkmale der Lösungen zum Teil überschneiden mögen.

Ich wünsche einen schönen Sommer!

Authors

Daniel Girardet

System Engineer

Kommentar hinterlassen