Einblicke

Overlay-Netzwerke:
jenseits des Firmen-VPN

·Zero TrustVPNWireGuardNetworkingKMU
WireGuard im Linux-KernelSeit 5.6 (2020)
WireGuard-Codebasis~4.000 Zeilen
Im Internet exponierte PortsNull
CLOUD ActUS-Gesetz, 2018

„Wie erreiche ich die Firmensysteme von außen?“ hatte zwanzig Jahre lang eine einzige Antwort: das VPN. Heute lautet die bessere Antwort für viele Unternehmen anders: ein Overlay-Netzwerk— ein verschlüsseltes Netzwerk, das über dem Internet liegt und Benutzer, Server, Standorte und Appliances über direkte Tunnel verbindet, ohne etwas zu exponieren. Die zugrunde liegende Technologie heißt WireGuard, ist Open Source und seit 2020 Teil des Linux-Kernels. Schauen wir uns an, wie sie funktioniert, was sich gegenüber dem VPN ändert — und welche Frage, die fast immer übersprungen wird, vor der Wahl eines solchen Dienstes zu stellen ist.

Das VPN gewährt Zugriff auf das Netzwerk. Genau das ist das Problem

Ein klassisches VPN tut genau das, was es verspricht: Es bringt das entfernte Gerät indas Unternehmensnetzwerk. Das Problem ist: Es tut das wirklich. Gestohlene Anmeldedaten oder ein kompromittiertes Notebook öffnen keine Tür — sie öffnen das Gebäude, mit der Möglichkeit, sich lateral zu Dateiservern, Fachanwendungen und Backups zu bewegen. Nicht zufällig gelangt Ransomware oft über einen legitimen Fernzugang ins Unternehmen.

Dazu kommt ein zweites, leiseres Problem: Der VPN-Konzentrator ist ein im Internet exponierter Dienst. Er muss diszipliniert gepatcht werden, und kritische Schwachstellen in VPN-Gateways und Fernzugriffs-Appliances sind inzwischen Dauergäste in den Bulletins der Sicherheitsbehörden — wer eine Firewall mit veröffentlichtem VPN betreibt, weiß, wie oft die Meldung „sofort aktualisieren“ eintrifft. Jeder Port, der im Internet lauscht, ist Angriffsfläche, die früher oder später jemand ausprobiert.

Wie ein Overlay-Netzwerk funktioniert

Ein Overlay-Netzwerk dreht das Modell um. Auf jedem Gerät — Notebook, Server, virtuelle Maschine, Appliance — läuft ein leichter Agent, der Punkt-zu-Punkt-verschlüsselte WireGuard-Tunnelzu den anderen autorisierten Geräten aufbaut. Die Verbindungen sind ausgehend: keine offenen Ports, kein Port-Forwarding, und die Tunnel durchqueren NATs von selbst; nur wenn eine direkte Verbindung unmöglich ist, läuft der Verkehr über ein Relay, das ausschließlich verschlüsselte Pakete sieht. WireGuard ist der Grund, warum all das zuverlässig ist: rund 4.000 Zeilen Code gegenüber den Hunderttausenden traditioneller VPN-Stacks, moderne Kryptographie, und seit Release 5.6 im Jahr 2020 Teil des Linux-Kernels.

Über den Tunneln sitzt das Stück, das alles entscheidet: die Control Plane. Sie ist das Gehirn des Netzwerks: Sie authentifiziert die Geräte (typischerweise per SSO über die Unternehmensidentität), verteilt die Schlüssel und setzt die Zugriffsrichtlinien durch — wer mit wem kommunizieren darf, auf welchen Ports. Es lohnt sich, präzise zu sein, was sie sieht und was nicht:

Die Control PlaneDetail
Sieht nichtDen Inhalt des Datenverkehrs: Er läuft Ende-zu-Ende verschlüsselt direkt zwischen den Geräten, auch wenn er ein Relay passiert.
Sieht — und steuertDas Geräteinventar und die Identitäten, die öffentlichen Schlüssel, die Zugriffsrichtlinien (wer was erreichen darf), die Netzwerktopologie, die Verbindungsereignisse.

Mit anderen Worten: Die Control Plane liest Ihre Dateien nicht, aber sie kennt die vollständige Karte, wie Ihr Unternehmen verbunden ist— und hat die Macht, sie zu ändern. Sie ist ein kritischer Asset im selben Sinne wie der Netzwerk-Controller: Die richtige Frage ist nicht nur „welche Funktionen hat sie“, sondern „wo läuft sie, und wer verantwortet sie“.

Die Frage, die fast niemand stellt: Wo läuft die Control Plane

Die bekanntesten Overlay-Dienste sind SaaS-Angebote von US-Anbietern: in zehn Minuten aktiviert, und sie funktionieren gut — aber die Control Plane, also die Karte und die Schlüssel Ihres Netzwerks, lebt bei einem Anbieter unter US-Jurisdiktion. Es gilt dieselbe Überlegung wie beim UniFi-Controller: Der CLOUD Act, das US-Bundesgesetz von 2018, erlaubt es den amerikanischen Behörden, einen Anbieter unter ihrer Jurisdiktion zur Herausgabe der Daten zu verpflichten, die er hält — wo auch immer die Server physisch stehen. Alternativen existieren, und hier wird der Open-Source-Charakter der Technologie zu einem praktischen und nicht ideologischen Fakt: Die Control Plane kann woanders laufen.

OptionWer betreibt die Control PlaneJurisdiktionGeeignet für
SaaS des VendorsDer VendorTypischerweise USA (CLOUD Act)Wer Geschwindigkeit priorisiert und keine Jurisdiktionsauflagen hat
Self-hosted (Open Source)SieIhreStrukturierte IT-Teams, bereit für den Produktionsbetrieb
Verwaltet von einem europäischen IT-AnbieterDer Anbieter, auf EU-CloudEUWer das Zero-Trust-Modell will, ohne die Infrastruktur zu betreiben

Ohne Lagerdenken gesagt, wie immer: Für viele Unternehmen ist die Jurisdiktion des Anbieters irrelevant, und das ist eine legitime Entscheidung. Aber wenn das Unternehmen Auflagen hat — Due Diligence von Enterprise-Kunden, öffentlicher Sektor, regulierte Daten —, muss die Jurisdiktion der Control Plane vorherentschieden werden, nicht nachher entdeckt. Und Self-Hosting ist nur realistisch, wenn jemand mit Vor- und Nachnamen die Verantwortung übernimmt, sie zu aktualisieren, zu sichern und zu überwachen.

Und Microsoft Entra Private Access?

Eine berechtigte Frage, denn Microsoft hat seine eigene ZTNA-Antwort: Entra Private Access(Teil von Global Secure Access) veröffentlicht interne Anwendungen für Benutzer, die mit Entra ID authentifiziert sind, mit Conditional Access bei jeder Anfrage. Es erfordert Entra ID P1 oder P2 als Voraussetzung, plus eine dedizierte Lizenz oder die Microsoft Entra Suite. Für den Zugriff der Benutzer auf Anwendungenin einer Microsoft-Umgebung ist es oft der natürlichste Weg — wir haben darüber in ZTNA: das Firmen-VPN ersetzen geschrieben.

Das Overlay-Netzwerk deckt ab, was ein anwendungsbezogenes ZTNA nicht abdeckt: Site-to-Site-Verbindungen zwischen Standorten, Server, die mit Servern sprechen, Management-Appliances und selbst gehostete Ressourcen, gemischte Umgebungen, in denen nicht alles im Microsoft-Ökosystem lebt. Sie sind keine Konkurrenten: Es sind zwei Werkzeuge, und in vielen Unternehmen koexistieren sie — Entra Private Access für die Menschen, das Overlay-Netzwerk für die Infrastruktur. Die Wahl hängt von Struktur, Lizenzen und Budget ab: Es ist ein Netzwerkprojekt, kein Katalogkauf.

Aus der Erfahrung im Feld

Vier Dinge, die man beim Produktivbetrieb von Overlay-Netzwerken lernt — nicht aus den Broschüren.

  • Fällt die Control Plane aus, hält das Netzwerk — aber es friert ein. Aktive Tunnel funktionieren mit den bereits verteilten Schlüsseln weiter; was stoppt, ist alles Neue: neue Geräte, Richtlinienänderungen, Rotationen. Deshalb muss die Control Plane wie ein Produktionssystem überwacht werden, nicht wie ein Komfort-Tool.
  • Man beginnt mit Subnet-Routern, nicht mit Agents überall.Der praktische Rollout startet mit einem Knoten, der ein bestehendes Subnetz veröffentlicht (den Standort, die Serverfarm), und Agents nur auf den entfernten Geräten: Man migriert stückweise, ohne Big Bang. Agents auf einzelnen Servern kommen später, wo granulare Richtlinien gebraucht werden.
  • Default-Deny-Richtlinien gehören zuerst in eine Pilotgruppe.Die Macht zu sagen „nur Autorisierte erreichen diese Ressource“ ist auch die Macht, das ERP am Montagmorgen um 9 Uhr abzuschneiden. Erst die Pilotgruppe, dann der Rest des Unternehmens — mit versionierten und dokumentierten Richtlinien.
  • Die Anbindung an die Identität ist der eigentliche Multiplikator.Mit SSO über Entra ID entzieht das Offboarding eines Mitarbeiters auch den Netzwerkzugriff — sofort, nicht bei der nächsten Durchsicht der VPN-Konten. Und das interne DNS will geplant sein: Die Namen, unter denen Ressourcen durch das Overlay erreichbar sind, müssen überall dieselben sein — sonst klingelt das Telefon.

Unser Modell

Der Vollständigkeit halber: Wir betreiben ein verwaltetes Zero-Trust-Overlay-Netzwerk auf Basis von WireGuard und Open-Source-Technologie, mit der Control Plane auf unserer europäischen Cloud-Infrastruktur — unter EU-Jurisdiktion, verwaltet nach ISO/IEC 27001, 27017, 27018 und ISO 9001 — identitätsbasiertem Zugriff per SSO über Microsoft Entra ID und Richtlinien pro Gruppe. Es integriert sich mit der Verwaltung des Netzwerks und der Hardware: für alle, die das Modell wollen, ohne sein Betreiber werden zu müssen.

Quellen

  • Jason A. Donenfeld — „WireGuard: Next Generation Kernel Network Tunnel“ (Whitepaper, NDSS 2017)
  • Linux-Kernel — Release 5.6, März 2020 (Integration von WireGuard)
  • CLOUD Act — Clarifying Lawful Overseas Use of Data Act, H.R. 4943, USA, 2018
  • Microsoft Learn — „What is Global Secure Access?“ und „Microsoft Entra licensing“

Häufige Fragen

Antworten auf die häufigsten Fragen zu Overlay-Netzwerken und dem Ersatz des VPN.

Das VPN ablösen, ohne Löcher zu öffnen?

Wir beginnen bei Ihrem heutigen Netzwerk — Standorte, Server, Fernzugriffe — und entwerfen den richtigen Weg: Entra Private Access, verwaltetes Overlay-Netzwerk oder beides. Ohne etwas im Internet zu exponieren.