Microsoft Office 365 ist eine der am meisten verwendeten SaaS-Lösung weltweit. Denn mit seiner ständigen und globalen Verfügbarkeit, sowohl über Kontinente als auch über unterschiedliche Devices, erfüllt es die Anforderungen eines modernen Arbeitsplatzes. Anwender schätzen dies.
Doch was ist, wenn die Benutzerfreundlichkeit leidet? Um dies zu vermeiden, müssen Unternehmen ihr Augenmerk auf einen ganz bestimmten Baustein ihrer IT-Infrastruktur lenken: die DNS-Architektur. Dies gilt besonders für Unternehmen, die Microsoft Office 365 global nutzen.
Bislang haben viele Unternehme auf zentralisierte DNS-Dienste gesetzt. Mit Microsoft Office 365 und anderen SaaS-Diensten funktioniert das nicht mehr. Denn die Anwendungen gehen damit von einem falschen Ort des Benutzers aus. Die Folgen: Die Laufzeit der Datenpakete ist stark erhöht. Die User-Experience leidet.
Foto: Godfried Edelman - shutterstock.com
Warum ist DNS überhaupt relevant für Microsoft Office 365?
Das Domain Name System, kurz DNS, sorgt dafür, dass Informationen aus dem Internet bei Nutzern ankommen. Ohne DNS würde in einem Unternehmen kaum etwas funktionieren - schon gar nicht SaaS-Lösungen wie Microsoft Office 365, die auf das Internet angewiesen sind.
BEISPIEL: Mitarbeiter Herr Müller arbeitet normalerweise in der deutschen Zentrale seines Unternehmens. Allerdings ist er im Moment auf Geschäftsreise in Brasilien. Dort möchte er wie gewohnt Microsoft Office 365 nutzen.
Folgende Kette setzt der Nutzer in Gang:
- Er stellt eine DNS-Anfrage an den lokalen DNS-Server seines Unternehmens.
- Der lokale DNS-Server schickt die Anfrage an Microsoft GEO Data DNS.
- Microsoft GEO Data DNS erkennt anhand der IP-Adresse des Nutzers, wo sich dieser gerade befindet.
- Microsoft GEO Data DNS schickt die lokale IP-Adresse des Microsoft Datacenters an die Nutzer-DNS zurück.
- Damit verbindet sich der Nutzer mit dem lokalen Microsoft Datacenter.
Die Lokations-Erkennung ist entscheidend dafür, ob die Daten weite Strecken über das Firmennetz zurücklegen müssen, oder ob sie über ein Microsoft-internes Netz transportiert werden. Unternehmen können diesen Vorgang mit ihrer DNS-Architektur beeinflussen. Microsoft selbst sagt auf seinem Blog:
"If your environment is making its DNS calls in a location on a different continent to where the user is physically located then you are going to get really bad performance with O365."
Was ist die DNS-Architektur?
Es gibt drei verschiedene Möglichkeiten einer DNS-Architektur.
1) Zentrale DNS-Architektur:
Herr Müller ist noch immer auf Geschäftsreise in Brasilien. Der DNS-Server seines Unternehmens ist in der Firmenzentrale in Deutschland. Möchte Herr Müller nun auf seine Office-365-Daten zugreifen, geht sein DNS-Request an den DNS-Server in Deutschland. Dort geht die Anfrage dann über den Internetprovider des Unternehmens an das Microsoft Datacenter in Deutschland. Dieses schickt die Informationen an den zentralen DNS-Server zurück und über das Firmennetzwerk bekommt Herr Müller schließlich große Datenmengen zur Verfügung gestellt. Diese weiten Wege führen zu Verzögerungen und zu einer schlechten User-Experience.
2) Regionale Hubs:
Herr Müller ist auch in diesem Fall in Brasilien. Allerdings verfügt das Unternehmen über einen regionalen Hub in den USA. Über den amerikanischen Internet Service Provider gelangt die DNS-Anfrage von Herrn Müller an das regionale Microsoft Datacenter. Microsoft erkennt, Herr Müller sitzt in den USA und schickt die Daten über sein internes Netz in die USA. Von dort geht es über das Firmennetzwerk zu Herrn Müller.
3) Lokale Architektur:
Herr Müllers DNS-Anfrage geht in diesem Fall über den lokalen, brasilianischen Internetanbieter an das Microsoft Datacenter. Microsoft schickt die Daten über sein internes Netz zum regionalen Datacenter in Brasilien. Von dort bekommt Herr Müller seine Daten über das Firmennetz.
Für SaaS-Dienste, wie Microsoft Office 365, bedeutet dies:
Eine lokale Architektur mit dezentralen Internet-Breakouts ist ideal. Denn die Laufzeiten sind gering und die User-Experience ist optimal
Sicherheitslücke DNS
Lokale DNS-Architekturen und dezentrale Internet-Breakouts müssen aber auch abgesichert werden. DNS-Tunneling ist dabei das Stichwort. Cyber-Kriminelle haben es auf Daten aller Art abgesehen: Kreditkartendaten, Passwörter, Personaldaten,…. Diese müssen aus dem Unternehmen unbemerkt herausgeschleust werden. Das Domain Name System ist dafür der perfekte Weg, denn es bietet die idealen Voraussetzungen für einen Angriff.
Die Kommunikation zum DNS-Server muss stets funktionieren, denn das sogenannte "Telefonbuch des Internets" übersetzt einfache URL-Adressen in die zugehörigen, sperrigen IP-Adressen. Dabei führt der Weg meistens über den Port 53. Die Gefahr: Port 53 ist in 10 von 10 Fällen offen.
Angreifer nutzen diesen offenen "Highway 53" indem sie eine Domain registrieren. Diese empfängt DNS-Pakete, die ein durch Malware infizierter Client nach außen schickt. Dabei müssen Daten zwar in unterschiedliche Größen aufgeteilt werden, was etwas mühselig ist, aber der Aufwand lohnt sich: Da der DNS-Server denkt, die Daten gehen an eine externe Domain, lässt er die Daten durch. Damit erreichen Kriminelle ihr Ziel und können in Ruhe ihren Machenschaften nachgehen.
Herr Müller möchte sich nicht mit IT-Fragen herumschlagen. Er möchte einfach die Leistungen von Microsoft Office 365 nutzen - egal, wo er sich gerade befindet. Domain Name System und DNS-Tunneling sind für ihn Fremdwörter. Umso wichtiger ist es für die Unternehmens-IT sich mit der DNS-Architektur auseinander zu setzen und diese adäquat abzusichern.
Meine Handlungsempfehlungen
- Lokale DNS-Server für benutzerfreundliches Microsoft Office 365: Über den lokalen DNS-Service werden DNS-Queries in das Internet geschickt. Für Office 365 bedeutet das, dass eine Anfrage an das Geo DNS geht. Um eine schnelle, fehlerfreie Antwort zu erhalten, ist eine IP-Adresse, die der Geolocation entspricht, ideal.
- Zentrale Verwaltung lokaler DNS-Server: Konfiguration, Updates und Trouble Shooting sollte auch bei lokalen DNS-Servern an zentraler Stelle geschehen.
- Lokaler Schutz: DNS arbeitet nicht auf Daten-, sondern auf Kontroll-Ebene und kann dadurch skalierbar eingesetzt werden. Egal, ob es um bekannte Angriffsvektoren geht, oder um Zero-Day-Attacken. Ein Schutz lässt sich nicht nur technisch realisieren, sondern ist auch mit dem Blick auf das Budget gut umsetzbar.