Rawpixel.com - stock.adobe.com
Sicherheitsstrategie: Anwender als Niederlassung betrachten
Die Arbeitswelt ändert sich vielerorts und wird im Hinblick auf den Arbeitsplatz flexibler. Das erfordert ein Umdenken bei der Security und eine Konzentration auf die Verbindungen.
Arbeitnehmer hatten sich gerade daran gewöhnt, von zu Hause aus zu arbeiten, als die Büros wieder öffnen durften. Selbst wenn Mitarbeiter allmählich oder zeitweise wieder in die Büros zurückkehren, wollen sie zeitgleich die Flexibilität beider Welten nicht missen.
Sie möchten selbst entscheiden, ob und wann sie vom Büro, aus dem Shared Office oder vom Home-Office aus arbeiten. Und genau diese agile Arbeitsweise stellt eine Herausforderung für IT-Abteilungen dar. Zuerst mussten IT-Teams schnell handeln, um den Fernzugriff der Mitarbeiter aus dem Home-Office zu ermöglichen und in dieser Situation für Sicherheit beim Datenzugriff sorgen. Nun sind sie mit der Anforderung von grenzenlosen Unternehmen konfrontiert, die ihren Mitarbeitern das flexible Arbeiten von überall aus ermöglichen wollen als Teil der größeren Vision.
Die Migration von Anwendungen in die Cloud geht mit der Defokussierung auf das Unternehmensnetz einher. Die Grenzen, die bisher in Form des Perimeters um das Unternehmensnetzwerk bestanden, sind durch mobile Mitarbeiter nicht mehr scharf definiert und werden porös.
Das kann letztlich sogar bis zu einem Totalverlust des Perimeters führen. Gemeint ist damit, dass ein Mitarbeiter von überall aus ein vergleichbares Anwendererlebnis beim Zugriff auf seine benötigten Applikationen haben möchte, unabhängig davon, ob er in einem Bürogebäude, einem Cafe oder von einem Bahnhof aus arbeitet.
Eine vollständige Auflösung des Perimeters liegt zugegebenermaßen am extremeren Ende der Skala. In der Realität werden sich viele Organisationen irgendwo in der Mitte wiederfinden, wenn sie das flexible Arbeiten anbieten wollen. Es bleibt also die Aufgabe, das Arbeiten von jedem Standort aus schnell und sicher zu gestalten und damit auf die neuen Anforderungen von grenzenlosen Unternehmen einzugehen.
Sicherheit ohne Unternehmensgrenzen umsetzen
In den meisten modernen Organisationen kümmern sich IT-Abteilungen bereits um einige Aspekte dieser entgrenzten Zukunft, wie den Remote Access. Viele Sicherheitsfachleute klammern sich jedoch nach wie vor an die traditionelle „harte Schale“ des Unternehmensperimeters und das hält sie davon ab, ein gänzlich grenzenloses Netzwerk mit all seinen Vorteilen aufzubauen.
In einem ersten Schritt zur Anpassung der IT-Sicherheit an das moderne Zeitalter der Arbeit von überall aus müssen die Risiken ermitteln werden, die diese neue Welt für die Mitarbeiter und die Unternehmensdaten mit sich bringt.
Leistete bisher die Firewall und ein Web-Proxy die Aufgabe der physikalischen Schutzmauer um das Unternehmensnetz, so greift dieses Konzept nicht mehr, wenn sich die Mitarbeiter außerhalb des gesicherten Bereichs aufhalten.
Dennoch hat die Vorstellung Bestand, dass alles, was sich innerhalb des Perimeters abspielte vor Angriffen abgesichert ist und sich auf der anderen Seite, der nicht vertrauenswürdige Bereich befindet. Dieser Umkehrschluss war allerdings schon immer fehlerhaft, denn nur weil sich „etwas“ innerhalb des Netzwerks und des abgesicherten Perimeters befindet bedeutet es nicht zeitgleich, dass es auch sicher ist.
Die meisten Bedrohungen fließen heute durch akzeptierte Verbindungen ins Internet. Es sind die angebundenen Geräte innerhalb des Netzwerks, die kompromittiert werden und zu Datenverstößen führen. Die ehemalige Grenze zwischen einem Benutzer und dem Internet sollte für einen sauberen Datenverkehr sorgen.
Wenn Unternehmen also keinen sicheren Perimeter um all ihre mobilen Mitarbeiter mehr ziehen können, sind andere Mittel erforderlich, um die Sicherheit des Datenverkehrs zu gewährleisten. Nicht mehr die harte Schale per se ist wichtig, sondern vielmehr das Ergebnis einer gesicherten Konnektivität des Benutzers zu Anwendungen und Daten, unabhängig davon, wo diese vorgehalten werden und wo sich die Mitarbeiter befinden.
Cloud-basierte Sicherheit macht die Konnektivität sicher
Auf der Suche nach der sicheren Konnektivität sollten sich Unternehmen mit dem Modell des Zero Trust Network Access (ZTNA) befassen. Diese Technologie stellt eine Verbindung von autorisierten Benutzern mit ihren Daten und Informationen des Unternehmens her, ohne das gesamte Netzwerk zu öffnen.
Für den granularen Zugang zu einer Anwendung wird ein vertrauenswürdiger Tunnel aufgebaut. Dies ist ein wichtiger Baustein für das grenzenlose Unternehmen, denn dieses neue Sicherheitsparadigma erzielt das gleiche Ergebnis der sicheren Verbindung und unterstützt gleichzeitig eine agilere Arbeitskultur.
Ein zusätzlicher Bestandteil ist das Rahmenwerk des Secure Access Service Edge (SASE). Dieser Ansatz stellt sicher, dass die oben genannte Konnektivität zu bekannten Assets sowie Verbindungen zum Internet unter Einhaltung vorgegebener identitätsbasierter Richtlinien erfolgt unabhängig vom Standort des Mitarbeiters. Den Benutzern ermöglicht das Framework die Herstellung einer direkten und sicheren Verbindung ins Internet.
„Das gleiche Vertrauen, das IT-Abteilungen über die Jahre hinweg in eine physische Sicherheitsinfrastruktur aufgebaut haben, muss sich in Richtung Zero Trust verschieben.“
Marc Lueck, Zscaler
Da nun nicht mehr die Notwendigkeit besteht, den Datenverkehr für die Sicherheitskontrolle ins Netzwerk zurückzuführen, profitieren Unternehmen von einer kostengünstigeren Netzwerkinfrastruktur und einer Kostensenkung durch Reduzieren des MPLS-Aufkommens (Multiprotocol Label Switching).
Gleichzeitig wird ein Zero-Trust-basiertes Sicherheitsmodell für die Filterung des Traffics etabliert. Dadurch entsteht für den Mitarbeiter ein konsistentes Anwendererlebnis, egal ob er aus dem Büro oder Home-Office arbeitet. Die Cloud Security bietet damit einen Lösungsweg für die Herausforderung, die durch grenzenlose Unternehmen entsteht.
Jeder Anwender wird zu seiner eigenen Niederlassung
Wenn jeder einzelne Mitarbeiter zu einer Zweigstelle wird, müssen sich Unternehmen von der lange gehegten Vorstellung befreien, dass ein vertrauenswürdiger Perimeter die Sicherheitsaufgabe erfüllen kann. Es gilt die Kernaufgabe traditioneller Lösungen zu extrahieren und auf ein neues Modell zu übertragen, das die Absicherung des Datenverkehrs auf eine andere Weise bewerkstelligt.
Der Weg kann nicht mehr darin liegen, Hardware zu verwalten, sondern eine Partnerschaft mit einem Anbieter von Cloud-Security Services aufzubauen. Es liegt im Interesse des Sicherheitsanbieters, dieses Vertrauen als Teil seines Geschäftsmodells aufzubauen und zu erhalten. Das gleiche Vertrauen, das IT-Abteilungen über die Jahre hinweg in eine physische Sicherheitsinfrastruktur aufgebaut haben, muss sich in Richtung Zero Trust verschieben.
Eine gute Beziehung zu einem Cloud-Anbieter, der Zero Trust innerhalb einer Organisation implementieren kann, ist beim Aufbau eines Unternehmens ohne Grenzen von entscheidender Bedeutung. In Zukunft wird es sicher noch mehr Beispiele für hybride Arbeitsmodelle geben. Risiken für diese verschiedenen Modelle werden sich verändern und müssen ständig neu bewertet werden. Der Weg dorthin beginnt allerdings mit dem Abschied von der Perimetersicherheit.
Über den Autor:
Marc Lueck ist EMEA CISO bei Zscaler.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.