animind - Fotolia
Software-defined Perimeter (SDP): Definition und Vorteile
Mit der Welt der Netzwerke verändern sich auch die Anforderungen an die Netzwerksicherheit. Software-defined Perimeter (SDP) helfen gegen Schwachstellen im Netzwerk.
Der zunehmende Einsatz von Cloud-Anwendungen, BYOD (Bring Your Own Device) und Millionen von unsichere IoT-Geräte haben die Vorstellung eines gehärteten Perimeters beseitigt, in dem IT- und Sicherheitsverantwortliche den Zugriff auf die sensiblen Daten ihres Unternehmen wirkungsvoll kontrollieren können.
Hier helfen Software-defined Perimeter (SDP) weiter. Die Technologie macht Benutzer und Geräte unsichtbar und für Angriffe von außen nicht greifbar. Als Alternative zu VPN (Virtual Private Network) gewährleistet ein SDP umfassende Sicherheit in Rechenzentren, Filialen und Standorten, Internetknoten sowie Hosting-Zentren.
Definition: Software-defined Perimeter
Software-defined Perimeter entfernen mit dem Internet verbundene Geräte und Anwendungen aus der Öffentlichkeit und reduzieren damit die Angriffsfläche. Ein SDP bietet ein sicheres, privates Overlay-Netzwerk, das Benutzer und Geräte über das Internet mit Servern und Anwendungen im Rechenzentrum oder der Public Cloud verbindet. Jedes Gerät hat seinen eigenen privaten IP-Adressraum, damit es im Internet quasi verdeckt oder unsichtbar arbeitet. Der SDP reduziert Bedrohungen durch viele Angriffstypen, darunter Denial of Service (DoS), SQL-Injection, Angriffe auf Schwachstellen von Anwendungen, Man-in-the-Middle-Attacken und Cross Site Scripting.
SDP verwendet Vor-Authentifizierung und Vor-Autorisierung, um Netzwerke zu erstellen, die für externe Angreifer unsichtbar sind. Da Benutzer nur auf autorisierte Anwendungen zugreifen dürfen, reduzieren sich die Gefahren durch kompromittierte Geräte. Darüber hinaus kommen verschiedene softwarebasierte Netzwerktechnologien zum Einsatz, darunter Netzwerkvirtualisierung, Segmentierung, Ende-zu-Ende-Verschlüsselung, Zugangskontrolle (nur auf Einladung) und granulare Steuerung von Richtlinien.
Herausforderung bei der Sicherheit im Internet
Das starke Wachstum Cloud-basierter Anwendungen bringt eine Fülle neuer Herausforderungen für Netzwerk- und Sicherheitsexperten mit sich. Der typische Anwender nutzt heute während eines Arbeitstages zwischen fünf und 20 IaaS- und SaaS-Anwendungen aus der Cloud. Die IT- und Sicherheits-Verantwortlichen im Unternehmen haben aber oft nur eine eingeschränkte Transparenz oder Kontrolle über Daten, die in die oder aus der Cloud übertragen werden. Der ungehinderte Zugang zum Internet öffnet in vielen Unternehmen das Tor für verschiedene Sicherheitsangriffe. Laut der Cloud Security Alliance hat die Mehrheit der Unternehmen bereits SaaS-spezifische Sicherheitsvorfälle erlebt.
Millionen von IoT-Geräten verbinden sich über das Internet mit Unternehmensnetzwerken; weitgehend ungesicherte Geräte erhöhen die Angriffsfläche in einem beispiellosen Ausmaß. Viele Unternehmen öffnen ihre Systeme, Dienste und Daten für digitale Geschäftsabläufe, die über das Internet laufen. Angreifer nutzen die Schwachstellen von Anwendungen, die Firewalls und Intrusion-Prevention-Systeme umgehen.
Traditionelle Architekturen für die Netzwerksicherheit mit gehärteten Perimetern und ohne direkten Internetzugang, sprich entmilitarisierte Zonen (DMZ), sind obsolet geworden. VPNs bieten nur einen begrenzten Sicherheitsschutz. Da die meisten Angriffe aus dem öffentlichen Internet stammen und die Angreifer auf jede exponierte Oberfläche abzielen, müssen IT- und Sicherheitsteams neue Sicherheitsmodelle einsetzen, die Geräte unsichtbar machen. Ein Software-defined Perimeter erstellt entsprechend private virtuelle Overlay-Netzwerke.
Anforderungen des Software-defined Perimeters
Ein SDP ermöglicht die Isolation von Services, die Benutzer, Geräte und Anwendungen nicht direkt dem Internet aussetzen. Er sollte sich nahtlos implementieren lassen, über die Cloud skalierbar sein, höchst zuverlässig arbeiten und auch Intelligenz aus der Cloud nutzen. Zudem muss der Software-defined Perimeter mit anderen installierten Systemen zur Netzwerksicherheit integriert werden und über zentralisierte Managementkonsolen verfügen.
Zu den SDP-Anbietern gehören Firmen wie Citrix, Cradlepoint, Pulse Secure, Vidder und Zscaler.