Entscheidungshilfe

Im Blog-Post über die bessere Alternative zur Papierpost habe ich die Vorteile von Mailverschlüsselung aufgezeigt. Nun ist vielleicht Ihre Firma gerade auf dem Weg in die Cloud mit O365 oder Cisco CES? Mit diesem Blogbeitrag möchte ich die Angst davor nehmen und zeigen, dass wir ganz viele Optionen haben, um das Vorhaben zu einem Erfolg zu führen.


Inhalt


Was spricht für die Cloud, was dagegen?

Der E-Mail-Verschlüsselungsgateway kann auch in die Cloud verschoben werden. Bei zum Beispiel SEPPmail wird Azure und AWS unterstützt oder wo ein Image basierend auf ESX, Hyper-V oder QMU virtualisiert werden kann. Am weitesten unterstützt ist die Lösung mit Azure (seppmail.de/produkte/seppmail365/). Da exisitiert bereits die Appliance im Marketplace und SEPPmail hat schon Powershellscripts für den Setup mit der Lösung 2 (weiter unten) zur Verfügung gestellt. Natürlich geht das auch in AWS. Dort ist aktuell mehr Handarbeit gefragt und das Einrichten einer VIP mit dem CARP-Protokoll ist nicht unterstützt. Es gibt Workarounds mit dem AWS-Loadbalancing Feature (aws.amazon.com/blogs/aws/new-aws-application-load-balancer/).

Der Preis soll nicht als Grund für den Move in die Cloud sein, weil es sogar teurer werden könnte als OnPremises! Die Cloudanbieter haben oft kreative und nicht vergleichbare Preismodelle 😉


Vorteile Cloud PROs

    • Bei O365 macht es Sinn auch mit dem Verschlüsselungsgateway in die Cloud zu gehen.
    • Wir können sehr ‘nahe’ zu den Mailboxen kommen. Bei Azure eventuell in das gleiche Subnetz.
    • Bei der Combo Azure und O365 ist die Konfiguration über Powershell recht einfach und schon vom Hersteller (SEPPmail) gut dokumentiert.
    • Die Skalierung kann besser sein, wenn bei der OnPremises-Lösungen Limiten in der Hardware oder der Virtualisierungsplattform entstehen.

Nachteile Cloud CONs

    • Die privaten Keys der Zertifikate sind in der Cloud. Sie sind bei der SEPPmaillösung aber gut geschützt und können noch besser geschützt werden, wenn man mit Firewallregeln den Zugriff einschränkt und gewisse Defaults der Appliance ändert.
      In naher Zukunft rechne ich damit, dass es HSM-Anbindungen geben wird, um den Zugriff auf private Schlüssel auch in der Cloud schützen zu können.
    • Es könnten durch die zusätzlichen Kosten der Platz-/Transaktionskosten beim Cloudanbieter höhere Gesamtkosten anfallen als OnPremises.
      • Cloud ist nicht immer günstiger!
    • Die Wege der TLS-Tunnel mit dem unverschüsselten Inhalt vom Gateway zu den beteiligten MTAs können ‘lange’ sein und durch ‘Feindgebiet’, sprich das böse Internet gehen.

Welche Fragen muss ich mir stellen?

    • Sind wir bereit für die Cloud?
    • Brauchen wir auch eine Cloudredundanz (Azure und AWS)?
    • Welcher Migrationspfad ist notwendig, um einen unterbruchsfreien Übergang zu erhalten?
    • Habe ich den richtigen Partner für die Unterstützung des Vorhabens?
    • Welcher Ansatz in den nächsten Punkten ist für mich der richtige?
      • Kann es Sinn machen zuerst einen nicht ganz optimalen Ansatz zu wählen (Lösung 1) und dann in einem zweiten Schritt zur optimalen Lösung mit der sogenannten Sternanbindung gelangen (Lösung 2 oder über Lösung 3 zu Lösung 2)?

Lösung 1

Incoming: Internet → SEPPmail → O365
Outgoing: O365 → SEPPmail → Internet
GINA und Steuerung über Outlook Plugins

Lösungsvorschlag mit Verschlüsselungsappliance vorgeschaltet ("Lösung 1")

    • Traffic-Definition
      • EIN: Gateway als erster MTA vom Internet
      • EIN: Entschlüsselung
      • EIN: Bei Bedarf erste Spam- und AV-Analyse und Filterung
      • EIN: Weiterleiten zu O365
      • AUS: O365 zum Gateway Relaying
      • AUS: Verschlüsselung
      • AUS: Gateway als letzter Hop zum Internet
    • Vorteile
      • In bestimmten Fällen mit Umsystemabhängigkeiten ist das der einfachste Ansatz für den ersten Schritt einer E-Mail-Migration.
      • Einfaches Handling von TLS-Rulesets.
      • Einfacher Setup und Rollout.
    • Nachteile
      • Es müssen die DNS-Records angepasst werden.
      • Die Security kann besser von Spezialgateways gemacht werden; wie CES Cisco E-Mail Cloud Security (IronPort in der Cloud) oder xorlab, aber auch O365.
      • Vorfilterung des E-Mail-Traffics nicht vorgesehen oder nur marginal möglich.
      • DKIM-Signierung von O365 muss auf den Gateway ausgelagert werden.

Lösung 2

Incoming: Internet → O365 → SEPPmail → O365
Outgoing: O365 → SEPPmail → O365 → Internet
GINA und Steuerung über Outlook Plugins

Lösungsvorschlag mit Verschlüsselungsappliance Stern ("Lösung 2")

    • Traffic-Definition
      • EIN: O365 als erster MTA vom Internet
      • EIN: Weiterleiten zum Verschlüsselungsgateway
      • EIN: Entschlüsselung
      • EIN: Weiterleiten zurück zu O365
      • EIN: ATP von O365 (Spam- und AV-Analyse und Filterung)
      • AUS: O365 zum Gateway
      • AUS: Verschlüsselung
      • AUS: Weiterleiten zurück zu O365
      • AUS: O365 zum Internet
    • Vorteile
      • Die flexibelste Variante für den Mailfluss.
      • DNS-Records (MX) zeigen weiter auf O365.
      • Fast automatischer Setup in Azure.
      • Weitere flexible Anbindungen von anderen Gateways über weiteren Sternmechanismus.
      • Gateway ist nicht mehr erster MTA
      • Spezialisierte Subsysteme können die Security machen.
      • DKIM-Signierung von O365 bleibt bei O365.
    • Nachteile
      • Etwas komplexer im Unterhalt und Support.

Lösung 3

Incoming: MTA → O365
Incoming: O365 → MTA → O365
Outgoing: O365 → O365
Outgoing: O365 → MTA → O365
GINA und Steuerung über Outlook Plugins

Lösungsvorschlag mit Verschlüsselungsappliance Kombination für den Übergang ("Lösung 3")

    • Traffic-Definition
      • Es ist eine Kombination von 1 und 2, aber noch mit OnPremises Mailserver.
    • Vorteile
      • Wie Lösung 2.
      • Als Migrationsstart, wenn man hybride Umgebungen hat.
    • Nachteile
      • Noch etwas komplexer im Unterhalt und Support als 2.

Zusammenfassung

Verschlüsselung in der Cloud muss nicht schwierig sein und mit dem richtigen Partner wird es einen erfolgreichen Abschluss geben. Das Ziel sollte aber die Sternanbindung sein, welche in der Lösung 2 beschrieben wurde. Auch über mehrere Stufen und über eine längere Zeit. Nicht alle Mühlen mahlen gleich schnell. Also lieber mit der Lösung 1 sofort starten und dann in einem zweiten Schritt zur Lösung 2 übergehen.

Teilweise werden All-In-One-Lösungen angeboten. Aus meiner Sicht gibt es kein System, welches die beschriebene Kombination in einem gleich gut und flexibel beherrscht.

Wenn Sie nicht meiner Meinung sind, nehme ich sehr gerne Kommentare entgegen.


Links

seppmail.de/produkte/seppmail365/

Aktuelles SEPPmailhandbuch ab Seite 669: MS Office365: Anbinden von Exchange Online mit ATP / EOP

www.avantec.ch/loesungen/seppmail/