(Dieser Artikel erschien ursprünglich auf Entwickler.de.)
Der Ausbruch des Coronavirus und die daraus entstandene globale Pandemie haben Millionen von Arbeitnehmern auf der ganzen Welt dazu veranlasst, von zu Hause aus zu arbeiten. Durch diese plötzliche Veränderung hinsichtlich der Konnektivitätsmodelle und Personalverwaltung sahen sich einige Unternehmen mit technischen Schwierigkeiten konfrontiert, während IT-Teams mit dem Problem kämpften, Hunderte oder sogar Tausende von Mitarbeitern mit der bestehenden Netzwerkkapazität zu unterstützen.
Insbesondere die Belastung von VPNs kann eine Herausforderung sein. In diesem Artikel werden drei Möglichkeiten aufgezeigt, wie Sie die Überlastung Ihres VPN verhindern und die Geschäftskontinuität sicherstellen können, wenn ein großer Teil der Mitarbeiter von zu Hause aus arbeitet.
1. VPN mit geteilten Channels verwenden
Die meisten VPN-Lösungen für das Büro sind so eingerichtet, dass der gesamte Datenverkehr zur Kontrolle und Überwachung durch den VPN-Kanal des Benutzers geleitet wird. Dazu gehört nicht nur der Bürodatenverkehr, wie z.B. Anforderungen von Dateifreigaben, sondern auch unwichtiger Datenverkehr und sogar Internet-Datenverkehr. Dabei muss jede HTTPS-Anfrage und -Antwort im Upload- und im Download-Bereich des Büro-WANs zweimal eingehen, was zu einer Beeinträchtigung der Bandbreite führen kann.
Aber noch schlimmer ist, dass es dafür überhaupt keine Notwendigkeit gibt, wenn der Datenverkehr zu Online-Anwendungen wie Office 365, Skype und Slack bereits verschlüsselt ist. In solchen Fällen können Sie viel Bandbreite einsparen, indem Sie das Büro-WAN umgehen und den vom Benutzer ausgehenden Datenverkehr direkt in die Cloud leiten.
Wenn Sie nur den Bürodatenverkehr über ein Büro-VPN routen und den gesamten sonstigen Internet-Datenverkehr direkt zum Zielort weiterleiten, können Sie den VPN-Datenverkehr massiv reduzieren, und zwar auf einfache Weise: Der Administrator deaktiviert einfach das globale Routing und routet statt dessen nur das Subnetz bzw. die Subnetze des Büros über das VPN. Abhängig von Ihren Compliance-Anforderungen und Ihrem regulatorischen Umfeld ist dies möglicherweise nicht zulässig. Daher sollten Sie es unbedingt vorher prüfen.
Wenn Sie nicht bereit sind, die komplette Kontrolle über den Internet-Datenverkehr aufzugeben, besteht eine alternative Methode darin, nur den als sicher bekannten Diensten die Möglichkeit zu geben, das VPN zu umgehen. Microsoft hat seine Kunden zu diesem Ansatz ermutigt, um den Office 365-Datenverkehr zu optimieren, und stellt eine API zur Identifizierung von MS Service-Endpunkten bereit, die mit einem PowerShell-Skript abgefragt werden kann.
2. Benutzer informieren und die VPN-Nutzung priorisieren
Unabhängig davon, ob Sie standardmäßig ein VPN mit geteilten Channels verwenden oder nicht, ist es wahrscheinlich, dass Ihre Benutzer das VPN viel stärker belasten als notwendig. In den vergangenen Jahrzehnten wurden viele der Anwendungen und Dateifreigaben, für die ein VPN-Zugriff erforderlich war, durch SaaS-Anwendungen ersetzt, die über eigene Sicherheitsmaßnahmen verfügen und keinen VPN-Zugriff erfordern. Dennoch verwenden viele Benutzer weiterhin VPN für Cloud-basierte Anwendungen, wie z. B. Office 365, die über eigene schützende Firewalls und Filter verfügen und kein VPN benötigen. Deshalb ist es wichtig, dass Sie wissen, wer Ihr VPN nutzt und aus welchem Grund, und dass Sie Ihre Benutzer genau darüber informieren, welche Dienste noch VPN benötigen und welche nicht. Auf diese Weise können Sie die Belastung Ihres VPN erheblich reduzieren, ohne einen geteilten Channel einrichten zu müssen.
3. Potenzielle Probleme überwachen
Wenn Sie die von Ihrem VPN genutzte Bandbreite sowie die Integrität Ihres WAN und Ihres Netzwerks umfassend im Auge behalten möchten, sollten Sie die Nutzung der WAN-Bandbreite sowie den VPN-Zugriff genau überwachen. Bei jedem Überwachungswerkzeug sollten Sie in der Lage sein, mithilfe von SNMP-Abfragen oder -Traps den VPN-Tunnel-Status „Erreichbar/Nicht erreichbar“ zu überwachen. Wo immer möglich, sollten Sie jedoch auch versuchen, Folgendes zu erfassen: Benutzername, IP-Adresse, lokale Adresse, Client-Version, Verbindungsdauer, Start-/Endzeit der Verbindung und Bandbreitennutzung. Auf diese Weise können Sie den Überblick über alle VPN-Verbindungen behalten, Bandbreiten-Hogs identifizieren und bestimmen, wann Sie zusätzliche Kapazität benötigen – und dies alles, bevor für die Benutzer Probleme auftreten.
Auch eine allgemeine Bandbreitenüberwachung ist empfehlenswert. Die Echtzeit-Überwachung ermöglicht Administratoren die Identifizierung von Schnittstellen/Links/Anwendungen/Benutzern/Protokollen, die Bandbreite beanspruchen, während Sie die Möglichkeit erhalten, Verschwendung zu erkennen und Ressourcen für geschäftskritische Anwendungen freizusetzen. Mit einem Netzwerküberwachungs-Tool wie WhatsUp Gold können Sie die Bandbreitennutzung über alle Netzwerkbereiche – Geräte, Anwendungen, Server, Linkverbindungen, Mietleitungen usw. – hinweg verfolgen und erhalten Einblick in die Bandbreitennutzung des Netzwerks und die Analyse des Datenverkehrs.