Split Tunneling – kalkuliertes Risiko

30.06.2020 / Oliver Flüs

Mobile Geräte außerhalb einer geschützten internen Umgebung einzusetzen ist ein Szenario, das immer häufiger vorkommt. Hierbei werden Netze genutzt, die für verschiedene Teilnehmer zugänglich sind. Die übliche Empfehlung lautet in diesem Zusammenhang, eine Client-to-Site-VPN-Lösung zum Schutz zu verwenden. Diese Verlängerung zum internen Netz ist bei Zugriffen auf Ziele im Internet und bei der Nutzung von Public-Cloud-Angeboten allerdings ein Umweg. Zur Vermeidung von Problemen kommt von Cloud-Providern die Empfehlung, Split Tunneling bei der Nutzung ihrer Angebote zu verwenden. Um keine unnötigen Sicherheitsrisiken einzugehen, muss man sorgfältig entscheiden und vorgehen, wenn man diese Option nutzen will.

Split Tunneling – Sicherheitsrisiko vs. Optimierung von Kommunikationswegen

Verwendet man einen mobilen Client außerhalb einer geschützten internen Umgebung und tut dies konsequent im Schutz einer Client-to-Site-VPN-Verbindung, so erreicht man mehrerlei:

  • Schutz der internen IT-Angebote und Daten
    Die VPN-Gateway-Lösung kontrolliert, dass nur berechtigte Client-Nutzer auf interne Angebote und Ziele durchgelassen werden, und auf welche. Die Datenübertragung vom Client über Fremdnetze zum Gateway erfolgt dabei geschützt.
  • Optimierter Schutz des Clients bei Zugriffen auf externe Ziele
    Beim Laufweg „Client – VPN-Gateway – eigentliches Ziel im Internet oder in der Cloud“ können gezielt im Perimeter realisierte Sicherheitslösungen durchlaufen werden. Der Client genießt so den gleichen Schutz gegen Angriffe von außen und auch schädliche Inhalte, wie es der Fall wäre, wenn er am internen Arbeitsplatz genutzt würde.

Der Preis: Ein längerer Laufweg und mehr Zwischenstationen, durch die spürbare Laufzeitverlängerungen und –schwankungen entstehen können.

Einen Cloud-Anbieter, der eine Umgehung des zweiten Punktes über großzügiges Split Tunneling für seine Angebote vorschlägt, kann man natürlich verstehen. Aber: Folgt man seinem Vorschlag, so holt man den Client hinter der Deckung des Perimeterschutzes hervor. Das kann je nach übertragenen Inhalten ein akzeptables Risiko sein, dies ist aber zu prüfen.

Um sich zu entscheiden, muss man a) verstehen, welche Inhalte jeweils übertragen werden, und b) wissen, inwieweit der eigene Perimeter hier zum Schutz des Clients beitragen kann. Hat man beim Cloud-Provider wichtige Sicherheitsfunktionen mit eingekauft, kann es auch sinnvoll sein, sich auf diese zu verlassen und diese möglichst ohne Umweg zu durchlaufen.

Performance- und Zugriffsprobleme auf Cloud- und Internetangebote sollten so gut wie möglich entschärft werden, wohingegen Sicherheitsvorgaben kontrolliert erfüllt werden müssen.

Kompromisse durch bedingtes Split Tunneling, limitierter als von einem Anbieter empfohlen, haben wiederum betrieblich ihre Tücken. Aber: Die Mühe lohnt sich. Ein einmal verseuchter Client öffnet schließlich einem Angreifer den Weg zu internen Zielen – durch den VPN-Tunnel.

Split Tunneling:
Ein Aufgabengebiet für fallweise Abwägung, mit Know-how und Fingerspitzengefühl!

Der Netzwerk Insider gehört mit seinen Produkt- und Markt-Bewertungen rund um IT-Infrastrukturen zu den führenden deutschen Technologie-Magazinen. Der Bezug des Netzwerk Insiders ist kostenlos.