Interview

Wie SASE den Blick auf den Perimeter verändert

Featured
Frank Mild (Quelle: netskope)

Wie SASE den Blick auf den Perimeter verändert, erläutert Frank Mild, Regional Sales Director bei netskope, im folgenden Interview.

Seit rund einem Jahr sehen wir eine nie für möglich geglaubte Ausbreitung von Homeoffice-Arbeitsplätzen, in deren Folge auch die Cloud-Nutzung enorm stark gestiegen ist. Welche Auswirkungen hat dies auf die Cybersicherheit?

Anzeige

Frank Mild: Schon vor der Pandemie gab es eine deutliche Transformation in Richtung Cloud, die sich allerdings seit dem Frühjahr 2020 aus den bekannten Gründen deutlich beschleunigt hat. Aber nicht nur Remote Worker benötigen einen 24/7-Zugriff auf Tools und Ressourcen, um effektiv zu arbeiten, sondern auch Partner, Lieferanten oder Entwicklungsteams. Dies führt dazu, dass der klassische Perimeter, den wir noch vor ein paar Jahren kannten und der das Zentrum unserer Sicherheitsstrategien bildete, heute nicht mehr existiert. 

Mit der Verlagerung in die Cloud entstehen aber neue Risiken. So verwenden Mitarbeiter im Homeoffice oftmals ungemanagte Geräte, nutzen teilweise vom Unternehmen nicht erlaubte Tools wie PDF-Konverter, teilen ihre Rechner mit Familienangehörigen, etwa zum Homeschooling. Aus Sicht der Datensicherheit ist vor allem das absichtliche oder auch unabsichtliche Verschieben von Daten zwischen Geschäftsinstanzen und privaten Instanzen oder zwischen verwalteten und nicht verwalteten Clouddiensten problematisch. Haben die Sicherheitsverantwortlichen dies nicht im Blick (oder keinen Einfluss hierauf), droht der Abfluss von sensiblen Unternehmensdaten wie Forschung und Entwicklungsdaten, Kundendaten, Finanzinformationen, usw.

Wie können denn angesichts der Vielzahl der eingesetzten Cloud-Dienste und -Applikationen Sicherheitsverantwortliche überhaupt einen Überblick behalten und beispielsweise erkennen, welche Dienste als sicher gelten und welche eher problematisch sind?

Frank Mild: In unserem Cloud & Threat Report konnten wir zeigen, dass in einem Unternehmen durchschnittlich 2.400 Cloud-Services und -Anwendungen genutzt werden, von denen im Durchschnitt nur 142 offiziell genehmigt sind. Gleichzeitig ist das Nutzerverhalten in Bezug auf diese Dienste extrem schnelllebig. Es ist für die IT-Sicherheitsteams nahezu unmöglich, die Sicherheit von Tausenden Diensten aus der ganzen Welt einzuschätzen. Mit unserem Cloud Confidence Index übernehmen wir diese Aufgabe für sie, indem wir mehr als 34.000 verschiedene Applikationen ständig überwachen und bewerten. Aber auch im Grunde sichere Dienste können riskant sein: Nehmen wir beispielsweise Google Drive, Dropbox oder Microsoft365. Mindestens einer dieser Dienste wird in jedem Unternehmen genutzt, ob gewollt oder nicht. Es ist dabei aber wichtig zu verstehen, dass Microsoft nicht gleich Microsoft oder Google Drive nicht gleich Google Drive ist, da jeder dieser legitimen Dienste sowohl mit beruflichen als auch mit privaten Konten genutzt werden kann. Sicherheitslösungen müssen diese unterschiedlichen Instanzen erkennen und entsprechende Regeln durchsetzen können. So kann etwa die berufliche Nutzung erlaubt, die private jedoch unterbunden werden – eben um das Verschieben sensibler Daten zu unterbinden. Traditionelle Sicherheitslösungen sind für diese Aspekte jedoch in aller Regel blind. Aus unserer Sicht kann Sicherheit für die Cloud nur aus der Cloud kommen. Ganz ähnlich sehen es ja auch die Analysten von Gartner mit ihrem SASE-Konzept, das ja auf der Erkenntnis beruht, dass der traditionelle Perimeter tot ist. 

Wie unterscheidet sich SASE von bestehenden Cloud-basierten Web-Gateways?

Frank Mild: Bei SASE geht es um weit mehr als nur den Schutz des Web-Traffics. Dieser ist nur eine von fünf Formen des Benutzerverkehrs, die eine SASE-Architektur analysiert. Neben dem Web-Datenverkehr werden auch gemanagte und ungemanagte SaaS, öffentliche Cloud-Dienste und eigene Anwendungen in der Public Cloud abgedeckt. Wobei „abdecken“ sowohl Daten- als auch Bedrohungsschutz mit granularen Richtlinienkontrollen bedeutet. 

In diesem Zusammenhang spielt der Datenkontext eine entscheidende Rolle. Wenn man granulare Richtlinien effektiv durchsetzen möchte, benötigt man bedingte und kontextbezogene Zugriffskontrollen, Echtzeit-Coaching für die Benutzer, um sie auf problematisches Verhalten sofort hinzuweisen, und eine intelligente Anomalie-Erkennung. Reine Web-Gateways sind in aller Regel nicht in der Lage, den benötigten Kontext herzustellen und deutlich zu machen. 

Bedeutet dies, dass einige Technologien und Ansätze durch SASE obsolet werden?

Frank Mild: Durchaus. Appliance-basierte Lösungen bieten oftmals Elemente einer SASE-Architektur, die jedoch durch den in der Cloud gehosteten Security Service Edge und die von Gartner beschriebene Software-definierte Netzwerkstruktur redundant werden. Auch andere Technologien werden nach und nach durch SASE abgelöst, wie beispielsweise Secure Web Gateway (SWG)-, Sandboxing-, VPN-Appliances und einige Firewall-Appliances.  

Dies klingt nach Konsolidierungen und entsprechenden Kostenreduzierungen durch die Umstellung auf eine SASE-Architektur…

Frank Mild: Genau das ist der Punkt. Einer der Gründe, warum SASE im letzten Jahr so schnell an Bedeutung gewonnen hat, ist die Tatsache, dass Unternehmen damit besser auf die zunehmend dezentral arbeitenden Mitarbeiter und die Migration von Anwendungen und Daten in die Cloud reagieren können. Unternehmen sind so in der Lage, ihre Abhängigkeit von kostspieligen, älteren WAN-Architekturen mit komplexem Routing, umfangreichem „Hairpinning“ oder Backhauling des Datenverkehrs und der damit verbundenen zusätzlichen Latenz zu verringern. Setzt man mit SASE auf Cloud-native Sicherheit und Netzwerke, lassen sich die WAN-Kosten um bis zu 65 Prozent senken. Legacy-WAN-Infrastrukturen können so, falls das nötig und gewünscht ist, für die kritischsten Anwendungen oder für Redundanz reserviert werden. 

Entscheidend ist jedoch, dass der SASE-Anbieter eine leistungsstarke Infrastruktur aufweisen kann. Er sollte über umfangreiche Peerings und Verbindungen zwischen den Rechenzentren, in denen sich ihre Cloud-Sicherheit befindet, und den wichtigsten Cloud-Anwendungsanbietern wie Microsoft und Google verfügen. Nur durch dieses Peering mit den großen Cloud-Anwendungen wird eine ausgezeichnete Performance und damit eine positive Nutzererfahrung sichergestellt. 

Außerdem können Unternehmen, die einen Zero-Trust-Ansatz verfolgen, ihre bereits getätigten VPN-Investitionen ergänzen und schützen, indem sie durch SASE in der Lage sind, sich vor eingehenden Angriffen als auch vor dem Risiko von Seitwärtsbewegungen (für die VPNs leider anfällig sind) zu schützen und gleichzeitig den App-Zugriff auf bestimmte Benutzer zuzuschneiden – unabhängig davon, von welchem Gerät oder von wo aus diese Benutzer zugreifen.

Zero Trust ist ein gutes Stichwort. Worin besteht der Unterschied zu dem von Gartner beschriebenem Zero Trust Network Access (ZTNA)?

Frank Mild: Das Zero Trust-Sicherheitskonzept basiert darauf, dass Benutzern oder Geräten, die versuchen, auf Daten und Systeme im Netzwerk zuzugreifen, erst dann vertraut wird und sie entsprechenden Zugang erhalten, wenn deren Legitimität überprüft wurde. Dies entspricht einem Least-Privilege-Ansatz, bei dem der Zugriff auf Anwendungen und Ressourcen, auf das Nötigste begrenzt wird. Hierdurch können Daten vor unbefugter Nutzung geschützt und die Auswirkungen von Sicherheitsverletzungen durch böswillige Insider oder kompromittierte Konten effektiv reduziert werden. Diese Idee kann in vielen Bereichen der IT-Infrastruktur und -Architektur angewendet werden.

Wendet man dieses Prinzip nun an, um den Zugriff auf interne Daten und Ressourcen von außerhalb des Unternehmens zu kontrollieren, dann spricht man on Zero Trust Network Access (ZTNA). ZTNA sollte dabei idealerweise von einer Cloud-nativen Plattform aus bereitgestellt werden, da dies jegliches Backhauling oder Hairpinning des Traffics durch Rechenzentren vermeidet. Gartner sieht im ZTNA eine zentrale Komponente von SASE, indem er in der Cloud bereitgestellt werden kann, internen Mitarbeiter als auch externen Partner/Auftragnehmern sicheren Zugriff auf Anwendungen in der Cloud bietet und es den Mitarbeitern ermöglicht, letztlich von überall aus sicher zu arbeiten. Und wir haben in den letzten Monaten gesehen, wie wichtig dies sein kann.

Frank Mild

Netskope -

Regional Sales Director CEUR

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.