Anzeige

Netzwerksicherheit

Mit wachsenden digitalen Geschäftsanforderungen investieren Unternehmen massiv in die Erweiterung ihrer Netzwerkverbindungsfähigkeiten, um sicherzustellen, dass ihre Daten den richtigen Personen zur richtigen Zeit zur Verfügung stehen. Insbesondere für Cloud-basierte, hochgradig vernetzte und agile Geschäftsmodelle ist die Gewährleistung eines ordnungsgemäßen Zugriffs auf Daten und Systeme unerlässlich.

Zusammen mit der Konnektivität in immer komplexeren Infrastrukturen wachsen auch die Anforderungen an Netzwerk- und Datensicherheit. Wenn nicht die richtigen Schutzvorkehrungen getroffen werden, können Bedrohungen, die von Datenlecks und Fehlkonfigurationen bis hin zu Risiken durch Insider reichen, in jedem komplexen Cloud- und Netzwerkökosystem ihr Schadenspotenzial entfalten.

An dieser Stelle kommt das Secure Access Service Edge (SASE) Konzept ins Spiel, ein Akronym, das vom Analystenhaus Gartner geprägt wurde. Der Netzwerkperimeter wird dabei nicht als Standort, sondern als ein Satz dynamischer Edgefunktionen, die bei Bedarf als Service aus der Cloud bereitgestellt werden, verstanden. SASE bezeichnet also eine Architektur, die Lösungen bereitstellt, die aus der Konsolidierung von Netzwerk- und Sicherheitswerkzeugen entstehen. Dieses Zusammenspiel gewährleistet sowohl einen effektiven als auch sicheren Zugang zu den IT-Ressourcen von Unternehmen.

Die Kombination von Sicherheitstechnologien mit WAN-Technologien kann sich aus verschiedenen konvergierenden Technologien zusammensetzen, wie beispielsweise den folgenden:

CASB 

Ein Cloud Access Security Broker (CASB) ermöglicht die Durchsetzung von Richtlinien, um Daten vor Bedrohungen in der Cloud und auf jedem Gerät an jedem beliebigen Ort zu schützen. Anforderungen an einen CASB sind unter anderem Sichtbarkeit von und Bereinigung nach risikoreichen Ereignissen, proaktive Sicherheitsfunktionen, sowie Schutz sowohl vor bekannten wie auch unbekannten DatenverlustRisiken und Malware-Bedrohungen.

CASBs werden in verschiedenen Varianten angeboten. API-CASBs nutzen den API-Zugriff auf SaaSAnwendungen, um auftretende Datenlecks zu schließen. Mit ihnen lässt sich also ausschließlich reaktiv operieren. Die erste Generation der Multi-Mode-CASBs hingegen nutzt eine API-Integrationen sowie Forward Proxies und bietet damit die Sichtbarkeit aller Cloud-Daten sowie proaktive Sicherheitsfunktionen. Jedoch verfügen sie lediglich über signaturbasierten Schutz für bekannte Malware und Datenverlustwege und dies nur bei bestimmten Anwendungen. Der Zugriff von nicht-verwalteten Geräten auf CloudAnwendungen beispielsweise kann damit nicht geschützt werden.

Eine Lücke, die durch Multi-Mode-CASBs der neuesten Generation geschlossen wird: Sie passen sich dynamisch an, um jegliche Anwendungen vor bekannten und unbekannten Datenverlust-Risiken und Malware-Bedrohungen zu schützen. Sie nutzen zusätzlich Reverse Proxys, womit Cloud-Daten auch beim Zugriff über nicht-verwaltete Endgeräte geschützt sind.



Secure Web Gateway (SWG)

 SWGs bieten URL-Kategorisierung und -Reputation sowie Schutz vor Bedrohungen. Sie stellen sicher, dass Personen nur eine angemessene Internetnutzung aufweisen, und schützen gleichzeitig vor Bedrohungen wie Phishing-Websites und Malware. Diese Technologien können auch Intrusion Prevention-Systeme (IPS), Intrusion Detection-Systeme (IDS) und Firewall-Funktionen umfassen.

Zero Trust Network Access (ZTNA)  

ZTNA sorgt für den sicheren Zugriff auf Unternehmensanwendungen, die entweder in der öffentlichen Cloud oder in firmeneigenen Netzwerken gehostet werden. Wenn Remote-Mitarbeiter auf bestimmte IT-Ressourcen zugreifen, erhalten sie oft vollen Zugriff auf alles im Netzwerk. Das Risiko für Datenverluste ist dabei allerdings überaus hoch. ZTNA erlaubt Nutzern lediglich den Zugriff auf bestimmte Anwendungen. Eine VPN-Verbindung ist dafür nicht erforderlich.

DNS-Schutz  

Domain Name System (DNS)-Technologien suchen in den Domains nach Risiken und Bedrohungen, wie zum Beispiel bekannten Malware-Hosts. Werden Bedrohungen entdeckt, kann der entsprechende DNS-Server mit einem Sinkhole-Zugriff antworten, um die Malware-Infektion zu verhindern. Firewall-as-a-Service (FWaaS) - FWaaS-Tools bieten Port-, Protokoll- und applikationsbasierte Richtlinien für den Netzwerkzugriff und die Segmentierung. Sie können auch Module für Dienstgüte (QoS), IPS, IDS und VPNs bereitstellen.

SD-WAN 

Dabei handelt es sich um eine MPLS-Alternative (Multi-Protocol Label Switching) für die Siteto-Site-Verbindung um einen sicheren Netzwerkzugang bereitzustellen. Darüber hinaus gibt es auch WAN-Beschleunigung oder -Optimierung zwischen getrennten Standorten, wie zum Beispiel Büros und Rechenzentren.

SASE: Verschiedene Wege in der Umsetzung

Die Einführung von Secure Access Service Edge-Architekturen wird weiter vorangetrieben durch zunehmend heterogene Geräteumgebungen und die voranschreitenden mobilen Nutzergewohnheiten in Unternehmen. Mitarbeiter greifen unterwegs auf Unternehmensanwendungen und -daten von Unternehmensgeräten aus zu oder nutzen ihre eigenen Laptops in der Erwartung, ohne Einschränkungen auch am Flughafen oder im Coffeeshop arbeiten zu können. Einige Mitarbeiter, zum Beispiel im Außendienst tätige, gehen womöglich überhaupt nicht in die Unternehmensumgebung. Unabhängig davon gibt es inzwischen eine große Anzahl verschiedener Zugangspunkte, die die Herausforderungen bei der Sicherung von Daten in der Cloud und im Netzwerk darstellen.

So bilden sich bei der Umsetzung des SASE-Konzepts gegenwärtig zwei verschiedene Ansätze heraus:

1. Appliance und einfache Endpoint-Agenten:

Dabei werden physische Appliances im Rechenzentrum des Unternehmens platziert, um die von den Organisationen angestrebte Sicherheit und Kontrolle zu gewährleisten. Sämtlicher Datenverkehr wird dabei von den Endpoint-Agenten auf den Geräten der Mitarbeiter an die Appliance weitergeleitet. Durch diesen Hop im Netzwerk entsteht eine Latenzzeit, die besonders bei großen Organisationen mit tausenden von Benutzern problematisch ist. Da die Kosten für Verwaltung und Aufrüstung verhältnismäßig hoch sind, ist dieser Ansatz vor allem für die Verarbeitung von massenhaftem Datenverkehr zu unflexibel.

2. Intelligente Endpoint-Agenten und Cloud-Proxy-Technologien:

Dieser über einen CloudService bereitgestellte Ansatz bietet eine Möglichkeit, die Aktivitäten auf jedem Gerät zu kontrollieren, indem die Netzwerkkontrolle und die Cloud-Sicherheit vom Perimeter bis hinunter zu den Endpoints selbst verlagert werden. Dies beseitigt die Abhängigkeit von physischen Appliances sowie die Nachteile der durch Backhauling-Verkehr verursachten Latenzzeiten und ist insgesamt flexibler. Derzeit ist noch kein Anbieter in der Lage, das gesamte Portfolio an SASE-Funktionen bereitzustellen, jedoch gibt es einige, die jeweils über den Großteil der erforderlichen Funktionen verfügen. Der Ausbau der Netzwerkinfrastruktur treibt bei Organisationen weltweit jedoch den Bedarf an umfassenderen Lösungen, die ihren wachsenden Anforderungen gerecht werden können, weiter voran. Mit der fortschreitenden Cloud-Nutzung wird sich dieser Markt im Jahr 2020 voraussichtlich rasant entwickeln.

Mike Schuricht, VP Product Management
Mike Schuricht
VP Product Management, Bitglass

Artikel zu diesem Thema

Netzwerk
Aug 27, 2020

7 Überlegungen bei der Auswahl eines SD-WAN-Anbieters

Bei mehr als 60 Anbietern von SD-WAN ist es äußerst schwierig die richtige Auswahl zu…
Home Office Security
Jun 11, 2020

Mehr Vertrauen ins Homeoffice durch Zero Trust

Im Zuge der nahezu flächendeckenden Ausweitung von Homeoffice-Arbeitsplätzen lernten…
5G
Jun 04, 2020

Netzwerksicherheit hat im 5G-Zeitalter höchste Priorität für Mobilfunkbetreiber

Laut einer aktuellen Studie von A10 Networks, die vom Business Performance Innovation…

Weitere Artikel

Cyber Security

SASE etabliert sich als zentraler Trend der IT-Sicherheit

Unternehmen müssen die Sicherheit ihrer IT-Infrastruktur neu definieren, weil immer mehr Mitarbeiter im Homeoffice arbeiten.
Olympische Spiele

Cybersicherheit bei den Olympischen Spielen in Tokio

Seit den Olympischen Spielen 2004 in Athen ist Cybersicherheit ein immer wichtigeres Thema sowohl für Gastgeberländer als auch das Internationale Olympische Komitee (IOC). Die wachsende Abhängigkeit der Abläufe von der IT-Infrastruktur hat zu erhöhten…
rote Ampel

Wenn die Software-Ampel auf Rot springt

Fast jedes Unternehmen hat Software im Einsatz, die in die Jahre gekommen ist. Das kann ein Problem sein – muss es aber nicht. Ein Ampelprinzip hilft bei der Einschätzung, ob Handlungsbedarf besteht, erläutert der IT-Dienstleister Avision.
Smart City

Inwieweit können wir die Smart City von morgen schützen?

Die Stadt von morgen birgt viele Versprechen für Bürger und Unternehmen, angefangen bei der leichteren Nutzung von Onlinediensten der Stadtverwaltungen bis hin zum flüssigeren Verkehr. Doch jeder neue digitale Dienst ist auch eine zusätzliche Chance für…
Cloud Computing

Multi-Cloud-Umgebungen bringen größere Sicherheitsherausforderungen mit sich

Tripwire, Anbieter von Sicherheits- und Compliance-Lösungen für Unternehmen und Industrie, stellt die Ergebnisse seiner neuen Umfrage vor. Sie bewertet Cloud-Sicherheitspraktiken in Unternehmensumgebungen für das laufende Jahr 2021.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.