krunja - stock.adobe.com
Implementierung von Netzwerksicherheitslösungen mit SASE
Komplexe Infrastrukturen, die Cloud und Anwender außerhalb des Firmennetzes stellen traditionelle Sicherheitsansätze vor Herausforderungen. SASE ist eine mögliche Lösung.
Heutzutage sind viele Anwendungen in die Cloud verlagert. Benutzer sind weiter voneinander entfernt und das WAN (Wide-Area Network) des Unternehmens breitet sich zunehmend aus. Benutzer, Geräte und Anwendungen verlassen die Unternehmensgrenzen und den Kontrollbereich, was das Risiko einer Gefährdung erhöht. Gleichzeitig sind die Anwendungen dynamischer geworden und erfordern einen höheren Durchsatz und geringere Latenzzeiten.
Die Bereitstellung und Verwaltung von Netzwerksicherheitslösungen, die vom Rechenzentrum ausgehen, sind in der Regel unkompliziert – der Datenverkehr fließt in das Netzwerk hinein und aus ihm heraus. Dieses Modell, das als Hub and Spoke oder Sternnetzwerk bezeichnet wird, kann jedoch die gestiegenen Anforderungen an die Cloud nicht erfüllen.
Lösungen für die Netzsicherheit: Secure Access Service Edge (SASE)
Aufgrund der oben genannten neuen Gegebenheiten wenden sich viele Unternehmen dem Cloud-nativen Secure Access Service Edge (SASE) zu. Mit SASE können sie Netzwerksicherheitslösungen wie Inspektion und Schutz aus der Cloud bereitstellen, anstatt den Datenverkehr durch physische Hardware im Rechenzentrum zu leiten.
Da viele Anwendungen und Daten heutzutage in der Cloud gehostet werden, erhöht sich die Latenzzeit beim Routing des Datenverkehrs durch das Rechenzentrum deutlich. Je mehr Mitarbeiter sich aus der Ferne verbinden, desto größer wird die Latenz, was zu unnötiger Frustration führt und die Benutzer manchmal dazu veranlasst, sich über unsichere Kanäle zu verbinden. SASE ist eine moderne Methode des Edge Computing, bei der Netzwerksicherheitslösungen und -verwaltung am Rande der Cloud und damit näher an den Ressourcen, auf die zugegriffen werden muss, platziert werden.
Was SASE in der modernen Cloud-Umgebung so praktisch macht, ist die Nutzung von Zero-Trust-Zugangsrichtlinien im Edge-Netzwerk. Mithilfe dieses identitätsbasierten Modells wird die Sicherheit so angepasst, dass die Mitarbeiter nur auf die spezifischen Anwendungen und Ressourcen zugreifen können, die für ihre Aufgaben erforderlich sind. Mit SASE und Zero Trust haben Unternehmen eine detailliertere Kontrolle über Netzwerksicherheitslösungen und -richtlinien und können gleichzeitig die Anwendungsleistung optimieren.
Da sich diese Dienste virtuell in der Cloud befinden, können sie je nach Bedarf leichter auf- und abwärts skaliert werden. Außerdem sind sie dank der eingebetteten Cybersicherheit einfacher zu implementieren, zu verwalten und zu warten. Die Ausweitung der Netzwerksicherheitsfunktionen auf die Cloud ermöglicht es Unternehmen, ihre Netzwerk- und Geschäftsflexibilität zu verbessern ohne Abstriche bei der Sicherheit zu machen.
Was ist der Unterschied zwischen Perimetersicherheit und Zero Trust?
Eine weitere Möglichkeit, die Sicherheit im erweiterten Unternehmen zu fördern, besteht darin, von Netzwerksicherheitslösungen und -richtlinien zu Zero-Trust-Sicherheitsrichtlinien zu wechseln. Während sich Erstere auf den Perimeter sowie auf Techniken konzentrieren, die verhindern, dass Angreifer Zugang zu Netzwerkressourcen erhalten, fokussieren sich Letztere auf die Identität.
Das Zero-Trust-Modell, das zur Förderung des Konzepts entwickelt wurde, dass Unternehmen nicht automatisch jedem Endpunkt vertrauen können, der innerhalb oder außerhalb ihrer Grenzen liegt, basiert auf der Netzwerksegmentierung. Die Granularität und Mikrosegmentierung von Zero Trust verbessert das Konzept der Netzwerksegmentierung. Es erzwingt Regeln, die auf den Benutzern, deren Standorten und anderen Faktoren basieren, um zu entscheiden, ob der Benutzer, der Endpunkt und die Anwendung vertrauenswürdig sind.
Sicherheitsrichtlinien, die sich auf den Umkreis konzentrieren, funktionieren ähnlich wie ein Wachmann, der tagsüber am Eingang eines Bürogebäudes steht, um Mitarbeiter und Anlagen vor potenziellen Bedrohungen zu schützen. Auch wenn dies sicherlich eine hilfreiche erste Verteidigungslinie ist, ist es unwahrscheinlich, dass der Wachmann jeden potenziellen Angreifer oder jede Schwachstelle erwischt.
Zero-Trust-Netzwerksicherheitslösungen sind vergleichbar mit einer fortschrittlichen Gesichtserkennung, mit dem der Zugang zu einem bestimmten Raum oder Bereich des Bürogebäudes autorisiert wird. Der Einsatz von identitätsbasierter Sicherheit verhindert nicht nur unbefugten Zugang, sondern erstellt auch eine Aufzeichnung derjenigen, die Zugang erhalten haben, falls Probleme auftreten sollten.
„Mit SASE und Zero Trust haben Unternehmen eine detailliertere Kontrolle über Netzwerksicherheitslösungen und -richtlinien und können gleichzeitig die Anwendungsleistung optimieren.“
Arno Edelmann, Verizon Business
Ein Zero-Trust-Netzwerk authentifiziert nur dann, wenn es feststellen kann, ob der Benutzer, der Standort und der Sicherheitsstatus des Endpunkts gültig sind. Sobald sich die Endgeräte authentifizieren, unterliegt diese spezifische Verbindung einer restriktiven Richtlinie. Das Zero-Trust-Modell funktioniert ähnlich wie die Need-to-know-Basis, bei der die Netzwerksicherheitslösungen nur genau das Maß an Zugriff gewähren, das für Endgeräte, Benutzer und Anwendungen erforderlich ist. Nicht mehr und nicht weniger. Zero-Trust-Richtlinien gehen davon aus, dass Benutzer und Geräte nur dann auf Netzwerkressourcen zugreifen dürfen, wenn sie ihre Anmeldedaten nachweisen können. Eine umfassende Zero-Trust-Richtlinie beinhaltet Menschen, Geräte, Arbeitslasten, Netzwerke und Daten.
Auch wenn Sicherheitslösungen, die sich auf den Perimeter konzentrieren (zum Beispiel Firewalls), in vielen Netzwerken weiterhin die erste Verteidigungslinie darstellen werden, sollten Unternehmen in Erwägung ziehen, ihre Strategien für Netzwerksicherheitslösungen durch vertrauenswürdige Sicherheitsrichtlinien zu ergänzen, um kritische Anwendungen und Ressourcen zu schützen.
Die Vorteile von SASE und einem eingebetteten Cybersicherheitssystem
Wenn Unternehmen eine SASE-Lösung implementieren, ergeben sich unter anderem die folgenden Vorteile:
- Kosteneinsparungen und geringere Komplexität
- Optimiertes Routing mit reduzierter Latenzzeit
- Verbesserte Agilität
- Einfachere Zero-Trust-Einführung mit eingebetteter Cybersicherheit
- Möglichkeit zur Verwaltung cloudbasierter, zentralisierter Richtlinien und Management
Fazit
SASE hilft dabei, flexible Cloud-basierte und vertrauensfreie Netzwerksicherheitslösungen und -services mit agilen Netzwerkservices unter Verwendung eines Software-definierten Wide Area Network (SD-WAN) zusammenzubringen. Es verbindet Menschen und Geräte von überall aus sicher mit jeder Anwendung. SASE ist eine Erweiterung von Network as a Service (NaaS) und eignet sich ideal für Unternehmen, die auf digitale Kundenerlebnisse umsteigen, die ein höheres Maß an Anwendungsleistung erfordern. SASE ermöglicht es Unternehmen, das Risiko von Bedrohungen zu reduzieren und ihre Sicherheitslage zu verbessern.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.