Networking mit Aufwärtsdynamik (in die Cloud) – Ansichten eines Architekten

Artikel
07/16/2023

In diesem Artikel beschreibt Ed Fisher, Security & Compliance Architect bei Microsoft, wie Sie Ihr Netzwerk für die Cloudkonnektivität optimieren, indem Sie die häufigsten Fallstricke vermeiden.

Über den Autor

Screenshot: Foto von Ed Fisher

Derzeit bin ich Principal Technical Specialist in unserem Einzelhandels- und Konsumgüterteam mit schwerpunktmäßiger Sicherheit & Compliance. Ich habe in den letzten zehn Jahren mit Kunden zu Office 365 zusammengearbeitet. Ich habe mit kleineren Geschäften mit einer Handvoll Standorten für Regierungsbehörden und Unternehmen mit Millionen von Benutzern auf der ganzen Welt und vielen anderen Kunden dazwischen gearbeitet, wobei die Mehrheit Zehntausende von Benutzern, mehrere Standorte in verschiedenen Teilen der Welt, die Notwendigkeit eines höheren Sicherheitsgrads und eine Vielzahl von Compliance-Anforderungen hat. Ich habe Hunderten von Unternehmen und Millionen von Benutzern dabei geholfen, sicher und sicher in die Cloud zu wechseln.

Mit einem Hintergrund in den letzten 25 Jahren, der Sicherheit, Infrastruktur und Netzwerktechnik umfasst, und nachdem ich zwei meiner früheren Arbeitgeber zu Office 365 verschoben habe, bevor ich zu Microsoft kam, war ich oft auf Ihrer Seite des Tisches und erinnere mich daran, wie das ist. Während keine zwei Kunden jemals gleich sind, haben die meisten ähnliche Anforderungen, und wenn Sie einen standardisierten Dienst wie eine SaaS- oder PaaS-Plattform nutzen, sind die besten Ansätze in der Regel gleich.

Es ist nicht das Netzwerk – es ist, wie Sie es (falsch) verwenden!

Unabhängig davon, wie oft dies geschieht, erstaunt es mich nie, wie kreative Sicherheitsteams und Netzwerkteams versuchen, mit ihrer Meinung nach eine Verbindung mit Microsoft-Clouddiensten herzustellen. Es gibt immer eine Sicherheitsrichtlinie, einen Compliancestandard oder eine bessere Art und Weise, wie sie darauf bestehen, ohne bereit zu sein, sich an einer Diskussion darüber zu beteiligen, was sie zu erreichen versuchen, oder wie es bessere, einfachere, kostengünstigere und leistungsfähigere Möglichkeiten gibt.

Wenn so etwas an mich eskaliert wird, bin ich normalerweise bereit, die Herausforderung anzunehmen und sie durch das Wie und das Warum zu gehen und sie dorthin zu bringen, wo sie sein müssen. Aber wenn ich völlig offen bin, muss ich teilen, dass ich manchmal einfach zulassen möchte, dass sie tun, was sie wollen, und kommen zurück, um zu sagen, dass ich Ihnen gesagt habe, wenn sie endlich einräumen, dass es nicht funktioniert. Ich möchte das vielleicht manchmal tun, aber ich nicht. Was ich tue, ist, zu erklären, was ich in diesem Beitrag einschließen werde. Unabhängig von Ihrer Rolle: Wenn Ihr organization Microsoft-Clouddienste verwenden möchte, gibt es wahrscheinlich einige Weisheiten in den folgenden Aufgaben, die Ihnen helfen können.

Leitprinzipien

Beginnen wir mit einigen Grundregeln zu dem, was wir hier tun. Wir diskutieren, wie Eine sichere Verbindung mit Clouddiensten hergestellt werden kann, um die minimale Komplexität und die maximale Leistung sicherzustellen und gleichzeitig echte Sicherheit zu gewährleisten. Nichts von dem, was folgt, ist einem davon zuwider, auch wenn Sie oder Ihr Kunde ihren bevorzugten Proxyserver nicht für alles verwenden können.

Nur weil sie können, bedeutet nicht, dass Sie sollten: Oder um Dr. Ian Malcolm aus dem Jurassic Park Film "... Ja, ja, aber Ihr Sicherheitsteam war so sehr damit beschäftigt, ob es es konnte oder nicht, dass es nicht aufhörte, zu überlegen, ob es es sollte."
Sicherheit bedeutet nicht Komplexität: Sie sind nicht sicherer, nur weil Sie mehr Geld ausgeben, mehr Geräte durchlaufen oder auf weitere Schaltflächen klicken.
Office 365 wird über das Internet zugegriffen: Aber das ist nicht dasselbe wie Office 365 ist das Internet. Es handelt sich um einen SaaS-Dienst, der von Microsoft verwaltet und von Ihnen verwaltet wird. Im Gegensatz zu Websites, die Sie im Internet besuchen, erhalten Sie tatsächlich einen Blick hinter die Kulissen und können die Kontrollen anwenden, die Sie benötigen, um Ihre Richtlinien und Compliancestandards zu erfüllen, solange Sie verstehen, dass Sie Zwar Ihre Ziele erreichen können, sie aber möglicherweise auf andere Weise tun müssen.
Chokepoints sind schlecht, lokalisierte Breakouts sind gut: Jeder möchte immer seinen gesamten Internetdatenverkehr für alle seine Benutzer an einen zentralen Punkt zurückhaulen, in der Regel, damit er ihn überwachen und Richtlinien erzwingen kann, aber oft, weil es entweder billiger ist als die Bereitstellung des Internetzugriffs an all seinen Standorten, oder es ist einfach so, wie er es macht. Aber diese Chokepoints sind genau das... Punkte, an denen der Datenverkehr drosselt. Es ist nichts Falsch daran, Ihre Benutzer daran zu hindern, zu Instagram zu surfen oder Katzenvideos zu streamen, aber behandeln Sie den Datenverkehr Ihrer unternehmenskritischen Geschäftsanwendung nicht auf die gleiche Weise.
Wenn DNS nicht zufrieden ist, ain't nichts glücklich: Das am besten entworfene Netzwerk kann durch schlechtes DNS eingeschränkt werden, sei es durch die Rekursierung von Anforderungen an Server in anderen Bereichen der Welt oder die Verwendung der DNS-Server Ihres ISP oder anderer öffentlicher DNS-Server, die DNS-Auflösungsinformationen zwischenspeichern.
Nur weil Sie es früher so getan haben, bedeutet das nicht, dass Sie es jetzt tun sollten: Technologie verändert sich ständig und Office 365 ist keine Ausnahme. Das Anwenden von Sicherheitsmaßnahmen, die für lokale Dienste oder zur Steuerung des Surfens im Internet entwickelt und bereitgestellt wurden, bietet nicht das gleiche Maß an Sicherheit und kann sich erheblich negativ auf die Leistung auswirken.
Office 365 wurde für den Zugriff über das Internet erstellt: So kurz gesagt. Unabhängig davon, was Sie zwischen Ihren Benutzern und Ihrem Edge tun möchten, wird der Datenverkehr immer noch über das Internet geleitet, sobald er Ihr Netzwerk verlässt und bevor er auf unseren gelangt. Auch wenn Sie Azure ExpressRoute verwenden, um datenverkehrsempfindlichen Datenverkehr aus Ihrem Netzwerk direkt an unser Netzwerk weiterzuleiten, ist eine Internetverbindung unbedingt erforderlich. Akzeptieren Sie es. Überdenken Sie es nicht.

Wo häufig schlechte Entscheidungen getroffen werden

Obwohl es viele Orte gibt, an denen schlechte Entscheidungen im Namen der Sicherheit getroffen werden, sind dies diejenigen, die ich am häufigsten bei Kunden betreffen. Viele Kundengespräche umfassen alle diese Gleichzeitige.

Unzureichende Ressourcen am Edge

Nur sehr wenige Kunden stellen Greenfield-Umgebungen bereit und verfügen über jahrelange Erfahrung mit der Funktionsweise ihrer Benutzer und dem Internetausgang. Unabhängig davon, ob Kunden über Proxyserver verfügen oder direkten Zugriff und einfach nat-ausgehenden Datenverkehr zulassen, machen sie dies seit Jahren und berücksichtigen nicht, wie viel mehr sie mit dem Pump durch ihren Edge beginnen werden, wenn sie traditionell interne Anwendungen in die Cloud verschieben.

Die Bandbreite ist immer ein Problem, aber NAT-Geräte verfügen möglicherweise nicht über genügend Ps, um die erhöhte Last zu bewältigen, und beginnen möglicherweise vorzeitig mit dem Schließen von Verbindungen, um Ressourcen freizugeben. Die meisten Clientsoftware, die eine Verbindung mit Office 365 herstellt, erwartet dauerhafte Verbindungen, und ein Benutzer, der Office 365 vollständig nutzt, verfügt möglicherweise über 32 oder mehr gleichzeitige Verbindungen. Wenn das NAT-Gerät sie vorzeitig verwirft, reagieren diese Apps möglicherweise nicht mehr, wenn sie versuchen, die verbindungen zu verwenden, die nicht mehr vorhanden sind. Wenn sie aufgeben und versuchen, neue Verbindungen herzustellen, belasten sie Ihr Netzwerkgerät noch mehr.

Lokalisierte Breakouts

Alles andere in dieser Liste kommt es auf eine Sache an: so schnell wie möglich aus Ihrem Netzwerk und auf unserem Weg. Das Backhauing des Datenverkehrs Ihrer Benutzer an einen zentralen Ausgangspunkt, insbesondere wenn sich dieser Ausgangspunkt in einer anderen Region als ihre Benutzer befindet, führt zu unnötiger Latenz und wirkt sich sowohl auf die Clienterfahrung als auch auf die Downloadgeschwindigkeit aus. Microsoft verfügt über Präsenzpunkte auf der ganzen Welt mit Front-Ends für alle unsere Dienste und Peering, das mit praktisch jedem großen ISP eingerichtet wurde, sodass das Lokale Routing des Datenverkehrs Ihrer Benutzer sicherstellt, dass er schnell und mit minimaler Latenz in unser Netzwerk gelangt.

Datenverkehr mit DNS-Auflösung sollte dem Internetausgangspfad folgen

Damit ein Client einen Beliebigen Endpunkt finden kann, muss er natürlich DNS verwenden. Die DNS-Server von Microsoft werten die Quelle der DNS-Anforderungen aus, um sicherzustellen, dass die Antwort zurückgegeben wird, die in Internetbegriffen der Quelle der Anforderung am nächsten liegt. Stellen Sie sicher, dass Ihr DNS so konfiguriert ist, dass Anforderungen zur Namensauflösung denselben Pfad wie der Datenverkehr Ihrer Benutzer durchlaufen, damit Sie sie nicht lokal ausgehend, sondern an einen Endpunkt in einer anderen Region übergeben. Dies bedeutet, dass lokale DNS-Server "zum Stamm wechseln" anstatt an DNS-Server in Remoterechenzentren weiterzuleiten. Und watch für öffentliche und private DNS-Dienste aus, die Ergebnisse aus einem Teil der Welt zwischenspeichern und für Anforderungen aus anderen Teilen der Welt bereitstellen können.

Zum Proxy oder nicht zum Proxy, das ist die Frage

Eines der ersten Punkte, die zu berücksichtigen sind, ist, ob die Verbindungen von Benutzern mit Office 365 als Proxy verwendet werden sollen. Das ist einfach; kein Proxy verwenden. Office 365 wird über das Internet zugegriffen, aber es ist nicht DAS Internet. Es handelt sich um eine Erweiterung Ihrer Kerndienste und sollte als solche behandelt werden. Alles, was Sie von einem Proxy ausführen möchten, z. B. DLP, Antischadsoftware oder Inhaltsüberprüfung, steht Ihnen bereits im Dienst zur Verfügung und kann im großen Stil verwendet werden, ohne TLS-verschlüsselte Verbindungen knacken zu müssen. Wenn Sie aber wirklich Datenverkehr proxyn möchten, den Sie sonst nicht steuern können, achten Sie auf unsere Anleitung unter https://aka.ms/pnc und die Kategorien des Datenverkehrs unter https://aka.ms/ipaddrs. Wir haben drei Kategorien von Datenverkehr für Office 365. Optimieren und Zulassen sollten wirklich direkt gehen und Ihren Proxy umgehen. Die Standardeinstellung kann per Proxy erfolgen. Die Details finden Sie in diesen Dokumenten... lesen Sie sie.

Die meisten Kunden, die darauf bestehen, einen Proxy zu verwenden, wenn sie sich tatsächlich ansehen, was sie tun, erkennen, dass der Proxy, wenn der Client eine HTTP CONNECT-Anforderung an den Proxy sendet, nur noch ein teurer zusätzlicher Router ist. Die verwendeten Protokolle wie MAPI und RTC sind nicht einmal Protokolle, die Webproxys verstehen, sodass Sie selbst mit TLS-Cracking nicht wirklich zusätzliche Sicherheit erhalten. Sie* erhalten zusätzliche Latenz. Weitere Informationen hierzu finden Sie https://aka.ms/pnc unter Optimieren, Zulassen und Standard für Microsoft 365-Datenverkehr.

Berücksichtigen Sie abschließend die gesamten Auswirkungen auf den Proxy und die entsprechende Antwort, um mit diesen Auswirkungen umzugehen. Da immer mehr Verbindungen über den Proxy hergestellt werden, kann der TCP-Skalierungsfaktor verringert werden, sodass nicht so viel Datenverkehr gepuffert werden muss. Ich habe Kunden gesehen, bei denen ihre Proxys so überlastet waren, dass sie einen Skalierungsfaktor von 0 verwendeten. Da der Skalierungsfaktor ein exponentieller Wert ist und wir gerne 8 verwenden, wirkt sich jede Reduzierung des Skalierungsfaktorwerts stark negativ auf den Durchsatz aus.

TLS-Inspektion bedeutet SICHERHEIT! Aber nicht wirklich! Viele Kunden mit Proxys möchten sie verwenden, um den gesamten Datenverkehr zu überprüfen, was bedeutet, dass TLS "unterbrechen und überprüfen" bedeutet. Wenn Sie dies für eine Website tun, auf die über HTTPS zugegriffen wird (ungeachtet der Datenschutzbedenken), muss Ihr Proxy dies möglicherweise für 10 oder sogar 20 gleichzeitige Streams für einige hundert Millisekunden tun. Wenn ein großer Download oder vielleicht ein Video beteiligt ist, kann eine oder mehrere dieser Verbindungen viel länger dauern, aber im Großen und Ganzen werden die meisten dieser Verbindungen sehr schnell hergestellt, übertragen und geschlossen. Unterbrechungen und Überprüfungen bedeuten, dass der Proxy die doppelte Arbeit ausführen muss. Für jede Verbindung vom Client zum Proxy muss der Proxy auch eine separate Verbindung zurück zum Endpunkt herstellen. Also, 1 wird 2, 2 wird 4, 32 wird 64... sehen, wohin ich gehe? Sie haben Ihre Proxylösung wahrscheinlich gut für das typische Surfen im Internet angepasst, aber wenn Sie versuchen, dasselbe für Clientverbindungen mit Office 365 zu tun, kann die Anzahl gleichzeitiger, langlebiger Verbindungen um ein Vielfaches größer sein als das, was Sie vorgesehen haben.

Streaming ist nicht wichtig, außer dass es

Die einzigen Dienste in Office 365, die UDP verwenden, sind Skype (bald eingestellt) und Microsoft Teams. Teams verwendet UDP zum Streamen von Datenverkehr, einschließlich Audio-, Video- und Präsentationsfreigabe. Streamingdatenverkehr ist live, z. B. wenn Sie eine Onlinebesprechung mit Sprach-, Video- und Präsentationsstapeln oder Demos abhalten. Diese verwenden UDP, denn wenn Pakete verworfen werden oder nicht in der richtigen Reihenfolge ankommen, ist dies für den Benutzer praktisch nicht zu beachten, und der Stream kann einfach weitermachen.

Wenn Sie keinen ausgehenden UDP-Datenverkehr von Clients an den Dienst zulassen, können diese auf TCP zurückgreifen. Wenn jedoch ein TCP-Paket gelöscht wird, wird alles beendet , bis das Timeout für die erneute Übertragung (Retransmission Timeout, RTO) abläuft und das fehlende Paket erneut übertragen werden kann. Wenn ein Paket in der richtigen Reihenfolge ankommt, wird alles angehalten, bis die anderen Pakete eintreffen, und kann in der richtigen Reihenfolge neu zusammengesetzt werden. Beides führt zu wahrnehmbaren Störungen im Audio (erinnern Sie sich an Max Headroom?) und Video (haben Sie etwas geklickt... Oh, es ist vorhanden) und führen zu schlechter Leistung und einer schlechten Benutzererfahrung. Und erinnern Sie sich daran, was ich oben über Proxys aufgelegt habe? Wenn Sie erzwingen, dass ein Teams-Client einen Proxy verwendet, erzwingen Sie die Verwendung von TCP. Jetzt verursachen Sie also zweimal negative Auswirkungen auf die Leistung.

Split Tunneling mag beängstigend erscheinen

Aber das ist es nicht. Alle Verbindungen mit Office 365 erfolgen über TLS. Wir bieten TLS 1.2 schon seit geraumer Zeit an und werden in Kürze ältere Versionen deaktivieren, da Legacyclients sie weiterhin verwenden und dies ein Risiko darstellt.

Wenn Sie eine TLS-Verbindung oder 32 davon dazu erzwingen, über ein VPN zu wechseln, bevor sie dann zum Dienst wechseln, wird die Sicherheit nicht hinzugefügt. Dies führt zu einer zusätzlichen Latenz und verringert den Gesamtdurchsatz. In einigen VPN-Lösungen erzwingt es sogar, dass UDP über TCP tunnelt, was wiederum einen sehr negativen Einfluss auf den Streamingdatenverkehr hat. Und wenn Sie keine TLS-Überprüfung durchführen, gibt es keinen Nachteil. Ein sehr häufiges Thema unter Kunden, da die meisten ihrer Mitarbeiter remote sind, besteht darin, dass sie erhebliche Auswirkungen auf Bandbreite und Leistung sehen, wenn alle Ihre Benutzer eine Verbindung über ein VPN herstellen, anstatt split tunneling für den Zugriff auf die Kategorie "Optimieren" Office 365 Endpunkte zu konfigurieren.

Es ist eine einfache Lösung für geteiltes Tunneling, und es ist eine Lösung, die Sie tun sollten. Weitere Informationen finden Sie unter Optimieren der Office 365-Konnektivität für Remotebenutzer mit geteiltem VPN-Tunneling.

Die Sünden der Vergangenheit

Häufig liegt der Grund dafür, dass schlechte Entscheidungen getroffen werden, aus einer Kombination aus (1) nicht zu wissen, wie der Dienst funktioniert, (2) dem Versuch, Unternehmensrichtlinien einzuhalten, die vor der Einführung der Cloud geschrieben wurden, und (3) Sicherheitsteams, die möglicherweise nicht leicht davon überzeugt sind, dass es mehr als eine Möglichkeit gibt, ihre Ziele zu erreichen. Hoffentlich helfen das oben genannte und die links unten bei der ersten. Es kann erforderlich sein, dass führungskräftes Sponsoring erforderlich ist, um über die sekunde zu kommen. Die Behandlung der Ziele der Sicherheitsrichtlinien und nicht deren Methoden hilft bei der dritten. Vom bedingten Zugriff auf die Inhaltsmoderation, DLP bis hin zum Informationsschutz, Endpunktvalidierung bis hin zu Zero-Day-Bedrohungen – jedes Endziel, das eine angemessene Sicherheitsrichtlinie haben kann, kann mit dem erreicht werden, was in Office 365 verfügbar ist, und ohne abhängigkeiten von lokalem Netzwerkgerät, erzwungenen VPN-Tunneln und TLS-Unterbrechungen und -Überprüfungen.

In anderen Situationen kann Hardware, die vor dem Wechsel der organization in die Cloud angepasst und erworben wurde, einfach nicht hochskaliert werden, um die neuen Datenverkehrsmuster und -lasten zu bewältigen. Wenn Sie wirklich den gesamten Datenverkehr über einen einzelnen Ausgangspunkt weiterleiten und/oder diesen proxyn müssen, sollten Sie darauf vorbereitet sein, die Netzwerkausrüstung und Bandbreite entsprechend zu aktualisieren. Überwachen Sie die Auslastung sorgfältig für beide, da die Erfahrung nicht langsam abnimmt, wenn mehr Benutzer das Onboarding durchführen. Alles ist in Ordnung, bis der Kipppunkt erreicht ist, dann leidet jeder.

Ausnahmen von den Regeln

Wenn Ihre organization Mandanteneinschränkungen erfordert, müssen Sie einen Proxy mit TLS-Unterbrechung und -Überprüfung verwenden, um einen Teil des Datenverkehrs durch den Proxy zu erzwingen, aber Sie müssen nicht den gesamten Datenverkehr erzwingen. Es ist kein Alles-oder-Nichts-Vorschlag, also achten Sie darauf, was vom Proxy geändert werden muss.

Wenn Sie split tunneling zulassen, aber auch einen Proxy für allgemeinen Webdatenverkehr verwenden möchten, stellen Sie sicher, dass ihre PAC-Datei definiert, was direkt erfolgen muss und wie Sie interessanten Datenverkehr für den VPN-Tunnel definieren. Wir bieten Pac-Beispieldateien unter https://aka.ms/ipaddrs an, die die Verwaltung erleichtern.

Zusammenfassung

Zehntausende Von Organisationen, darunter fast alle Fortune 500, verwenden Office 365 täglich für ihre unternehmenskritischen Funktionen. Sie tun dies sicher und über das Internet.

Unabhängig davon, welche Sicherheitsziele Sie im Spiel haben, gibt es Möglichkeiten, sie zu erreichen, die keine VPN-Verbindungen, Proxyserver, TLS-Unterbrechungen und -Überprüfungen oder zentralisierten Internetausgang erfordern, um den Datenverkehr Ihrer Benutzer so schnell wie möglich von Ihrem Netzwerk und zu unseren zu übertragen, was die beste Leistung bietet, unabhängig davon, ob Ihr Netzwerk der Hauptsitz des Unternehmens ist, ein Remotebüro oder dieser Benutzer, der zu Hause arbeitet. Unsere Anleitung basiert darauf, wie die Office 365-Dienste erstellt werden und um eine sichere und leistungsfähige Benutzererfahrung zu gewährleisten.