shane - stock.adobe.com

SASE und Zero Trust: Sicherheit in Kombination

Eine hybride IT zu verteidigen ist keine leichte Herausforderung. Um Cloud und Netzwerk zu schützen, bietet sich deshalb eine Kombination aus den Konzepten Zero Trust und SASE an.

Die Digitalisierung im Kontext von New Work und Remote-Arbeit macht Unternehmen flexibler, agiler und kosteneffizienter. Doch mit der steigenden Komplexität der dadurch erforderlichen hybriden IT-Infrastrukturen entstehen deutlich höhere Sicherheitsanforderungen. Nicht nur das Unternehmensnetzwerk On-Premises muss geschützt werden, es gilt auch Angriffe auf das Home-Office, mobile Geräte, verschiedenste Software-as-a-Service-Anwendungen und die Cloud abzuwehren. Um die komplexe Kontrolle über Zugang und Ressourcenzugriff im dezentralisierten Netzwerk zu meistern, entwickelten Forschungsinstitute SASE und Zero Trust als moderne Sicherheitskonzepte für hybride IT-Infrastrukturen.

Eintritt? Nur mit Ausweis!

SASE beschreibt ein Konzept, das individuell anpassbare Netzwerksicherheitsfunktionen zu einer einzigen umfassenden, integrierten Cloud-Lösung kombiniert. Zu diesem Zweck werden Cloud-native Sicherheitsfunktionen und WAN-Funktionen miteinander verbunden.  Dieser Ansatz ist dadurch besonders auf die Anforderungen digitaler Unternehmen zugeschnitten. Denn gerade bei hoch digitalisierten Firmen sind Anwender, Endpunkte und Anwendungen stark verteilt. SASE ist genau auf solche dezentralisierten Netzwerke ausgelegt und gewährleistet sichere Verbindungen auch über viele Knotenpunkte hinweg. Herkömmliche Lösungen, die in erster Linie das zentrale Rechenzentrum schützen und nur wenige private Verbindungen mit Firewalls und VPN absichern, werden hingegen allmählich obsolet.

Der Netzwerkperimeter wird bei SASE nicht mehr als Standort, sondern als eine Reihe dynamischer Edge-Funktionen verstanden, die bei Bedarf als Service aus der Cloud bereitgestellt werden. Benutzer und Geräte erhalten überall und jederzeit sicheren Cloud-Zugriff auf Anwendungen, Daten und Dienste. Die einzelnen Elemente einer SASE-Architektur sind dabei wesentlich umfangreicher als klassische Cyber-Security-Lösungen. Zu SASE gehören unter anderem Cloud Access Security Broker (CASB), Firewall as a Service (FWaaS), Data Loss Protection (DLP), Malware-Scanning und natürlich Zero Trust Network Access (ZTNA).

Zero Trust heißt: kein Vertrauen. Was redundant klingt, ist in seiner Radikalität durchaus innovativ. Denn normalerweise müssen sich User nur einmal anmelden, um dann vollen Zugriff auf ihr Netzwerk zu bekommen. Doch die von Forrester Research konzipierte Zero-Trust-Architektur (ZTA) baut darauf auf, dass niemandem Vertrauen geschenkt wird. Die Beweislast liegt bei demjenigen, der anklopft. Insbesondere werden Anwender, Geräte, Workloads, Daten und Netzwerk als Risikofaktoren in die Betrachtung miteinbezogen. ZTA fundiert auf einer stetigen Weiterentwicklung der Identitätsprüfung. Dabei wird das Ziel verfolgt, illegale Zugriffe auf Dienste und Daten zu verhindern und Zugriffskontrollen so granular wie möglich einzurichten und durchzusetzen.

Das Prinzip Zero Trust Architektur: Kein Nutzer, keine Anfrage, kein Dienst, keine Anwendung, kein Gerät ist vertrauenswürdig – es sei denn, das Gegenteil wird bewiesen.
Abbildung 1: Das Prinzip Zero Trust Architektur (rechts): Kein Nutzer, keine Anfrage, kein Dienst, keine Anwendung, kein Gerät ist vertrauenswürdig – es sei denn, das Gegenteil wird bewiesen.

In Zeiten, in denen Netzwerksicherheit nicht mehr ausschließlich auf das Rechenzentrum limitiert ist, sondern sich zunehmend über die Unternehmensgrenzen hinweg erstreckt, bietet Zero Trust eine wirksame Antwort. Eine Zero-Trust-Lösung für einen Zero Trust Network Access ist dabei ein Framework aus unterschiedlichen Technologien durch das nur authentifizierte und autorisierte Anfragende Zugang zum Netzwerk erhalten – und zwar nur so weit, wie erforderlich und niemals auf unbestimmte Zeit.

SASE mit Zero Trust – Doppelt hält besser

Während SASE die erforderliche Konnektivität zwischen Rechenzentrum, Cloud und den verschiedenen Endpunkten sicherstellt, sorgt Zero Trust Network Access für einen übergreifenden Kontrollmechanismus. Durch die Kombination werden SASE-Sicherheitsfunktionen direkt bei den Usern ermöglicht. Das Zusammenspiel beider Konzepte versetzt das Unternehmen in die Lage, die verteilte Cloud-Architektur zentral zu verwalten und gleichzeitig endpunktspezifische Sicherheitsrichtlinien durchzusetzen. ZTNA bietet also ein wesentlich höheres Sicherheitsniveau, besonders für digitale Unternehmen. Granulare Zugriffskontrolle für Daten, Anwendungen und Geräte ermöglichen nur vertrauenswürdige Zugänge. Die Durchsetzung der Security-Richtlinien erfolgt dabei auf Basis von Identitäten und Kontext. Denn nur mit einer zentralen und ganzheitlichen Sicht auf das gesamte Netzwerk – inklusive zugehöriger Cloud-Infrastrukturen – sind Unternehmen gewappnet für den Kampf gegen moderne Kriminalität.

Die Sicherheitsarchitektur der Zukunft – integriert und ganzheitlich

Heutzutage ist es kaum mehr möglich, den Schutz des Unternehmens von einem einzigen Anbieter oder einer einzigen Lösung bereitstellen zu lassen. Dafür sind hybride IT-Infrastrukturen zu komplex und zu weit verteilt. Die Kombination aus SASE und Zero Trust ermöglicht hingegen Unternehmen, Cloud-basierte Architekturen zu verwalten und gleichzeitig Daten und Mitarbeitende standortunabhängig, mit den neuesten Sicherheitstechnologien abzusichern. Die Konzepte von der Theorie in die Praxis umzusetzen ist jedoch keine triviale Aufgabe. Ein Grund dafür ist, dass es keine All-in-one-Lösung von einem Dienstleister auf dem Markt gibt, sondern nur Teilbereiche von ZTNA und SASE von verschiedenen Herstellern abgedeckt werden.

Ben Kröger, Axians IT Security

„Heutzutage ist es kaum mehr möglich, den Schutz des Unternehmens von einem einzigen Anbieter oder einer einzigen Lösung bereitstellen zu lassen. Dafür sind hybride IT-Infrastrukturen zu komplex und zu weit verteilt.“

Ben Kröger, Axians IT Security

Die Reise zu Zero Trust und SASE wird also nicht von heute auf morgen gelingen, sondern eine solche Umstellung erfordert mehrere gut geplante Schritte, die stetig erweitert werden müssen. In den meisten Fällen wird der Aufbau nicht auf einer Tabula Rasa geschehen, sondern bestehende Systeme miteinbeziehen. Es gilt ein Fundament aufzubauen, um daraufhin ZTA-fähige Dienste nach und nach in den Betrieb zu migrieren. Zu diesem Zweck sollten Unternehmen, IT- und Sicherheitsteams gemeinsam mit Experten einen individuell auf das Unternehmen zugeschnittenen Ansatz planen, der die Ziel-Infrastruktur sowie die schrittweise Umsetzung beinhaltet. Dadurch werden Unternehmen ermächtigt, den gestiegenen Sicherheitsanforderungen in einem von Digitalisierung und New Work geprägten Kontext gerecht zu werden und gleichzeitig agil zu bleiben.

Über den Autor:
Ben Kröger ist seit 2002 Senior Security Consultant und Leiter Support & Managed Service bei Axians IT Security. Seit 2014 verantwortet er gesamten technischen Bereich mit den Schwerpunkten Firewalling, Sandboxing, E-Mail-, Proxy- und Surf-Security.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Identity and Access Management (IAM)