Suchen

Moderne Sicherheit aus und für die Cloud Fünf Schritte zum erfolgreichen Umstieg auf SASE

| Autor / Redakteur: Nathan Howe / Peter Schmitz

Wenn IT-Services in die Cloud transformiert werden, brauchen Unternehmen neue, ganzheitliche Sicherheitskonzepte. Denn die klassische Perimetersicherheit greift ins Leere, wenn Daten und Anwendungen aus dem Rechenzentrum in Multicloud-Umgebungen wandern und mobile Mitarbeiter außerhalb des abgesicherten Netzwerks arbeiten.

Firma zum Thema

Die digitale Transformation soll die Innovationen beschleunigen, bringt aber auch viele neue Sicherheitsprobleme mit sich, für die es neue Lösungen zu finden gilt.
Die digitale Transformation soll die Innovationen beschleunigen, bringt aber auch viele neue Sicherheitsprobleme mit sich, für die es neue Lösungen zu finden gilt.
(Bild: gemeinfrei / Pixabay )

Der Versuch, moderne Arbeitsumgebungen mit traditionellen Sicherheitskonzepten zum Schutz von Netzwerken abzusichern, geht an den Bedürfnissen der Nutzer und ihrem mobilen Arbeitsalltag vorbei. Zusätzlich ändert sich die Gefahrenlandschaft durch zielgerichtete Angriffe, die es auf den einzelnen Anwender abgesehen haben. Befindet sich dieser nicht mehr innerhalb des abgesicherten Netzwerks und greift mit mobilen Geräten auf Daten und Anwendungen in der Cloud und zeitgleich im Netzwerk zu, benötigen Unternehmen ein neues Sicherheitskonzept. Dieses sollte vor fremden Zugriffen und Malware schützen. Da Unternehmen abhängiger von der Cloud, als Ersatz für ihr Unternehmensnetz und ihre digitalen Geschäftsmodelle werden und darauf aufbauen, muss sich auch das Sicherheitskonzept den neuen Anforderungen anpassen.

Das Framework des Secure Access Service Edge (SASE) wurde von Gartner auf dem Fundament der neuen Anforderungen an den Geschäftsalltag entwickelt und erhält zukünftig durch leistungsfähigen Always-on Internet-Zugang Vorschub. Die Analysten bauen das Rahmenwerk auf der Prämisse auf, dass Sicherheit für die Cloud aufgrund der Flexibilität auch aus der Cloud kommen sollte. Die Idee hinter dem Rahmenwerk ist, dass der Datenverkehr während des gesamten Weges von einem Anwender zu seiner Anwendung abgesichert wird – unabhängig davon, wo sich der Benutzer gerade aufhält, oder wo die Anwendung vorgehalten wird. Damit wird vom netzwerkzentrierten Ansatz Abstand genommen und zugunsten eines User-zentrierten Sicherheitskonzepts umgeschwenkt. Ein solches Modell ist auf die Absicherung der mobilen Anwender und Datenvorhaltung in der Cloud ausgerichtet, sodass der kostentreibende Umweg des Datenverkehrs über das MPLS-Netzwerk zum abgeschirmten Rechenzentrum wegfällt.

Gartner trägt der sich wandelnden Anwendungslandschaft mit diesem Konzept zusätzlich Rechnung. Die Vorhaltung der Anwendungen, auf die ein Mitarbeiter Zugriff benötigt, bei unterschiedlichsten Cloud-Anbietern führt zu steigender Infrastruktur-Komplexität. Hinzu kommt, dass Anwender die Erwartungshaltung haben, von jedem Standort und mit jedem Gerät auf ihre für den Geschäftsalltag benötigten Applikationen ohne manuelle Interaktion oder Latenz zugreifen zu können. Dementsprechend setzt Gartner mit dem Secure Service Access Edge auf der Anforderung an, dass der Datenverkehr während des gesamten Wegs vom User-Gerät bis zum Ziel gesichert ist – und nicht nur die Destination abgesichert wird.

SASE richtig interpretieren

Unternehmen, die das SASE-Rahmenwerk für ihr Sicherheitskonzept anwenden wollen, müssen zuerst einige Interpretationshürden nehmen. Die Begrifflichkeit des „Edge“ zu definieren fällt nicht leicht, denn damit ist in diesem Konzept nicht die Begrenzung eines physischen Netzwerks gemeint. Es gilt sich von der Vorstellung zu verabschieden, dass es sich beim „Edge“ um einen singulären Ort handelt. Darüber hinaus müssen sich die Verantwortlichen frei machen von dem Gedankengang, ein Netzwerk absichern zu wollen. Vielmehr gilt es, einen Ansatz zu wählen, der jederzeit und überall zur Verfügung steht. Ein echtes SASE-Modell sollte als Durchgangsservice anstelle eines auf eine Destination ausgerichteten Service betrachtet werden. Das Rahmenwerk umfasst die Absicherung jeglicher Kommunikation des Anwenders zwischen einem Ausgangs- und Endpunkt. Diese darf den Anwender nicht beeinträchtigen, sondern muss ihn befähigen, sicher auf seine benötigten Anwendungen und Daten zuzugreifen. SASE kann dabei nicht mit einem einzigen Service gleichgesetzt werden, sondern als Rahmenwerk, dass unterschiedliche Elemente beinhaltet, wie SD-WAN, einen Software-definierten Perimeter und IAM-Dienste.

Um ein SASE-basiertes Sicherheitssystem aufzubauen, müssen Unternehmen die folgenden fünf Schritte berücksichtigen:

Schritt 1: Anwenderbasis kennen

In einem ersten Schritt müssen die Unternehmen die Identität ihrer Anwender kennen. „Wer benötigt Zugriff auf welche Services?“ ist die Frage, die sich die Verantwortlichen stellen müssen. Wie kann diese User-Basis hinsichtlich ihrer benötigten Zugriffsberechtigungen kategorisiert werden, so dass unterschiedliche Policies für User-Typologien aufgestellt werden können? Erst wenn Unternehmen ihre Hausaufgaben gemacht haben und wissen, von wem aus einer Verbindung zu einem Service aufgebaut werden muss, ist der Grundstock für ein SASE-Modell gelegt. Beim Erstellen der Anwenderbasis hilft in aller Regel ein Identity Provider wie Azure AD, Okta oder Ping.

Schritt 2: Vorstellung von der Destination des Anwenders haben

Neben dem Anwender als Ausgangspunkt des Verbindungsaufbaus muss die andere Seite der Gleichung betrachtet werden: Worauf benötigt der Anwender Zugriff und wo wird die Applikation vorgehalten? Dieser Punkt ist angesichts der modernen Multicloud-Infrastrukturen bedeutsam. Längst werden nicht mehr alle Anwendungen im Rechenzentrum vorgehalten, sondern sind zusätzlich auf unterschiedliche Cloud Provider verteilt sowie in private und public Cloud Umgebungen vorgehalten. Auf den beiden Grundpfeilern des Ausgangspunkts der Anwender und der Destination kann ein SASE-basierter Lösungsansatz aufgebaut werden.

Schritt 3: Service-Kategorien gruppieren und deren Topologie kennen

Es gilt für Unternehmen nicht nur zu erfassen, warum ein Anwender Zugang zu einem Service erhält, sondern auch, wo dieser Service zu finden ist. Darüber hinaus muss auch klar sein, wie der Anwender auf dem kürzesten Weg dorthin geroutet werden kann. Da sich die Anwendungen heute ihre Cloud aussuchen, müssen Unternehmen den Überblick behalten, wo in ihren Multicloud-Umgebungen welche Anwendung vorgehalten wird. Die Diversifikation der Cloud Service Provider wird sich weiter fortsetzen, so dass neben den Hauptakteuren AWS, Azure und Google immer weitere Nischenanbieter auf den Plan treten werden. Unternehmen wollen einen Vendor-Lock-in vermeiden, deshalb werden sie sich die jeweils passende Cloud-Umgebung pro Applikation aussuchen und Unternehmen müssen eine Architektur entwickeln, wo welche Anwendung angesiedelt ist. Darüber hinaus ist es für eine vereinfachte Richtlinien- und Zugriffskontrolle wichtig, dass sich Unternehmen Gedanken machen, wie ihre Applikationen zu Service-Kategorien gruppiert werden können.

Schritt 4: Richtlinien festlegen

Jetzt kommt der schwierigste Teil des SASE-Konzepts: Angesichts der unterschiedlichsten Destinationen der User müssen sich die Verantwortlichen Gedanken darüber machen, welche Zugangsrichtlinien für die verschiedenen Szenarien greifen sollen. Die Verantwortung liegt dabei zwischen der Personalabteilung und der Fachabteilung, wo aufbauend auf der Job-Funktion die Rolle eines neuen Mitarbeiters definiert wird, und darauf aufbauend die Zugriffsrechte auf benötigte Anwendungen festgelegt werden. Da ein SASE-Service nicht nur in schwarz und weiß bzw. Zugriff oder kein Zugriff aufteilt, sondern ein adaptiver Dienst nötig ist, müssen auch unterschiedliche Richtlinien in Abhängigkeit der Umstände definiert werden. Ein mobiler Anwender arbeitet von unterschiedlichen Standorten aus, so dass der Service zwischen Zugriff, Blockieren oder Routen variieren können muss.

Zum Ausgangspunkt und der Destination kommt also noch die Zugangskontrollinstanz hinzu, die entscheidet, wie oder ob eine Verbindung vom Anwender zu seiner Applikation hergestellt wird. Um die Erwartungshaltung nach schnellem und reibungslosem Zugriff zu erfüllen, sollte der User auf dem kürzesten Weg ohne Latenz zu seiner Anwendung verbunden werden. Hierbei kommen Zero Trust Network Access-Lösungsansätze zum Tragen, die den Anwender richtlinien- und kontextbasiert zu seinen Applikationen lenken.

Schritt 5: Der optimierte Pfad zur Anwendung

Zu guter Letzt gilt es den Traffic des Anwenders auf dem kürzesten Weg zu seiner Anwendung zu steuern. Beachten sollten Unternehmen bei diesem Punkt, dass eine statische Definition des Pfads aus Anwendersicht nicht unbedingt der effektivste ist. Hier muss erneut die Mobilität des modernen Road Warriors berücksichtigt werden, der von unterschiedlichsten Standorten dynamisch zu seinen benötigten Anwendungen geroutet werden muss. Ein weiteres Kriterium, das unter diesem Punkt berücksichtigt werden muss, ist die Bandbreitenoptimierung, so dass geschäftskritische Anwendungen priorisiert behandelt werden. Lokale Internet-Übergänge mit Hilfe von SD-WAN Modellen sowie Bandbreitenmanagement, sowie die Überwachung der Service-Qualität kommen hier zum Tragen.

Fazit

Sobald die Organisationen diese Punkte umgesetzt haben, sind sie gut beraten, eine einzelne Anwendung oder eine Gruppe von Nutzern auszuwählen und den Implementierungsprozess von dort aus zu starten. Letzten Endes soll das Ziel der digitalen Transformation sein, die Innovationen zu beschleunigen, statt die Geschäftsprozesse zu bremsen. Das SASE-Rahmenwerk kann genau dabei helfen, eine ganzheitliche IT Architektur unter Berücksichtigung der Applikations-, Netzwerk und Sicherheitsanforderungen aufzubauen.

Über den Autor: Nathan Howe ist Director Transformation Strategy bei Zscaler.

(ID:46705422)