:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/16/97161bc650bf4d7681114ab563c92d70/0110588372.jpeg "Der Update-Dienst „Azure Update Management“ ermöglicht die einfache Aktualisierung von Windows- und Linux-VMs und auch von lokalen Servern. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/ff/56ff577ef3d84e5690210417e4e551c5/0110554219.jpeg "Das Handbuch "Management von Cyber-Risiken" widmet sich einer umfassenden Unternehmenskultur, die Cyber-Sicherheit jederzeit berücksichtigt und so die Resilienz der Unternehmen erhöht. (Bild: jijomathai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Abschied vom Perimeter Ist Ihre Architektur bereit für SASE?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Im Zeitalter der Cloud befinden sich IT-Infrastrukturen inmitten tiefgreifender Veränderungen, welche die Art und Weise, wie Anwendungen und Daten bereitgestellt und genutzt werden, deutlich umstrukturieren. Immer mehr Unternehmen erkennen, dass sich ihre physische Netzwerk- und Sicherheitsinfrastruktur weiterentwickeln muss, um ihre Umgebungen, in denen sich der Perimeter immer mehr auflöst, effektiv schützen zu können.
Cloud-Dienste, Security und Networking konvergieren und schaffen ein neues Modell, bei dem Sicherheit und Networking nicht mehr nur aus einzelnen Anwendungen und Geräten bestehen, sondern als Software-Dienste neben Cloud-basierten Anwendungen bereitgestellt werden.
Gartner hat den Begriff SASE (Secure Access Service Edge) geprägt, um dieses neu entstehende Sicherheits- und Netzwerk-Framework zu beschreiben. Die Analysten weisen auf sieben Bereiche hin, in denen Sicherheits- und Netzwerkteams ihre Architektur mit Blick auf die Vorteile von SASE überprüfen sollten. Im Folgenden werfen wir einen Blick auf diese Bereiche und zeigen die sich hieraus ergebenden Vorteile, um Sicherheits- und Netzwerkteams zu helfen, ihre Position bei SASE einordnen zu können.
:quality(80)/images.vogel.de/vogelonline/bdb/1675700/1675778/original.jpg "Secure Access Service Edge (SASE) bedeutet im Idealfall, dass Unternehmen Sicherheitsfunktionen komplett als Cloud-Service von einem Dienstleister erhalten. (gemeinfrei)")
Secure Access Service Edge (SASE)
Sicherheit für Edge und Multicloud
Von einzelnen Sicherheitslösungen hin zu richtlinienbasierten Sicherheitsdiensten durch eine Cloud-native, auf Mikrodiensten basierende Umgebung.
Eine Architektur, die auf traditionelle Netzwerk- und Sicherheitsanwendungen gründet, welche lediglich als Software in die Cloud portiert wurden, ist nicht SASE-fähig. Dennoch ist dies ein weit verbreiteter Ansatz, obgleich er nicht skaliert, unter Interoperabilitätsproblemen leidet, nicht in der Lage ist, neue Funktionen schnell bereitzustellen und Sicherheitsservices mit einer viel zu hohen Latenz liefert. Nur eine native Cloud-Architektur kann nahtlose Sicherheitsdienste bereitstellen, die den Anforderungen an die Risikominderung in vollem Umfang entsprechen. Es gibt wenig Zweifel daran, dass Cloud-nativen Umgebungen die Zukunft gehöret, da sie sich schnell an den sich wandelnden Netzwerk- und Sicherheitsanforderungen anpassen können und in der Lage sind, neue Produkte nativ zu erstellen und Sicherheitsservices bereitzustellen, ohne dabei die Produktivität des Unternehmens zu behindern oder die Nutzerfreundlichkeit zu beeinträchtigen. Als entsprechend zukunftssicher gelten Investitionen in diesem Bereich der IT-Security.
Die Kombination von Cloud- und Web-Sicherheitstechnologien vereinfacht den Betrieb und senkt die Kosten.
Eine SASE-Infrastruktur unterstützt Unternehmen bei der Implementierung konsistenter Sicherheitskontrollen für SaaS-, Web- und IaaS-Dienste, wodurch die Angriffsflächen minimiert und sensible Daten geschützt werden. Eine SASE-fähige Infrastruktur bietet Secure Web Gateway (SWG)-Funktionen neben anderen Cloud-basierten Netzwerk- und Sicherheitsdiensten wie Cloud Access Security Broker (CASB), Data Loss Prevention (DLP) und Advanced Threat Protection (ATP). Dies ist notwendig, da Unternehmen ihre Anwendungen in die Cloud verlagern und sich nicht mehr auf lokale Firewalls zum Schutz ihrer Daten verlassen können (etwa weil diese Appliances für modernen Cloud-Verkehr wie API-Aufrufe und JSON blind sind). Unternehmen benötigen tiefergehende Sicherheitskontrollen, um einen genaueren Einblick in die Aktivitäten zu erhalten, die über SaaS-, Web- und IaaS-Dienste sowie über gemanagte und nicht gemanagte Geräte hinweg durchgeführt werden.
Durch die Vereinheitlichung dieser Fähigkeiten innerhalb einer einzigen Architektur ermöglicht das SASE-Konzept Unternehmen die Identifizierung und Dekodierung sowohl des Webverkehrs als auch der Cloud-basierten Anwendungen, wobei detaillierte Zusammenhänge wie persönliche und Unternehmensinstanzen derselben Cloud-Anwendung (z.B. Office 365, Gmail, Slack) aufgezeigt werden können. Unternehmen sind so in der Lage, ein umfassendes Bild der Bedrohungslandschaft zu erhalten, das den Kontext der integrierten Sicherheits- und Netzwerkdienste innerhalb der SASE-kompatiblen Plattform einbezieht. Dieses konsolidierte Cloud-Gateway stellt ein SWG der nächsten Generation (NG SWG) dar: Es erweitert den Schutz durch die Identifizierung, das Management und die Sicherung von Web-Datenverkehr und cloudbasierten Anwendungen, die Erkennung und Eindämmung cloudbasierter Bedrohungen und die Durchsetzung von Schutzfunktionen bei Datenverlusten – alles mit einer einheitlichen Engine zur Definition und Durchsetzung von Richtlinien.
Die erfolgreiche Kontrolle der Bewegung sensibler Daten durch kontextbezogene Kontrollen und ein datenzentriertes Sicherheitsmodell.
Datensicherheit ist ein integraler Bestandteil von SASE. Moderne Cloud-DLP-Lösungen bieten vollständige Transparenz und im besten Fall eine Kontexterkennung der Datenbewegung über die Cloud hinweg sowie eine Begrenzung von Datenverlusten und Exfiltrationen. Um DLP zu skalieren und zu optimieren, müssen die Richtlinien dabei datenzentriert sein und unabhängig vom Endpunkt oder Cloud-Service auf die Daten angewendet und verfolgt werden. Die Verwaltung von DLP-Richtlinien wird innerhalb eines SASE-Frameworks vereinfacht, da dieselben Richtlinien auf alle Cloud-Anwendungen und Websites angewendet werden können. Auf diese Weise wird sichergestellt, dass dieselben DLP-Richtlinien auf abgelegte, „statische“ Daten (data-at-rest) und „dynamische“ Daten, auf die (gerade) zugegriffen wird (data-in-motion), angewendet werden. Zudem sollte ein SASE-fähiges Framework Daten effektiv identifizieren und klassifizieren sowie ein genaues Verständnis zur Unterstützung von Richtlinien auf der Grundlage von Kontexten wie Benutzer, Gerätetyp, Dateityp, Datenkennungen und mehr liefern.
Schutz vor Cloud-basierten Bedrohungen und Kombination von Kontrollen für Bedrohungen und Daten für eine effiziente und umfassende Kontrolle in einem Schritt.
Angesichts der rapiden Zunahme von Cloud-basierten Bedrohungen wie etwa Phishing und Drive-by-Angriffen, bieten traditionelle Lösungen nur eine begrenzte Transparenz und stellen so ein erhebliches Risiko dar. Gefragt ist eine skalierbare native Cloud-Plattform, um den Schutz vor Bedrohungen in der Cloud in Echtzeit (schnelles Scannen) und in der Tiefe (Sandboxing) zu unterstützen. Hierdurch können jegliche Malware und Bedrohungen effektiv erkannt und entsprechend bekämpft werden.
Eine ATP-Lösung, die auf dem SASE-Modell basiert, kann erheblich dazu beitragen, die Komplexität und Kosten für SecOps und Incident Response (IR)-Teams zu reduzieren und gleichzeitig die Wirksamkeit und den Umfang der Bedrohungsabwehr zu verbessern. Sie kann auch dabei helfen, alle Sicherheitsereignisse, die über gemanagte und nicht gemanagte Clouds hinweg gesammelt werden, zu zentralisieren und eine einzige, konsolidierte Ansicht aller Aktivitäten zu erhalten. Um effektiv zu sein, muss diese Lösung umfang- und aufschlussreiche Metadaten aus dem Web- und Cloud-Verkehr zur weiteren Analyse und Untersuchung sammeln.
:quality(80)/images.vogel.de/vogelonline/bdb/1681400/1681404/original.jpg "Das neue eBook „Zero Trust – Sicherheit vor Vertrauen“ stellt das Konzept vor und zeigt, warum Zero Trust eine logische Konsequenz der fortschreitenden Digitalisierung ist. (Production Perig - stock.adobe.com)")
Neues eBook „Zero Trust“
Zero Trust wird in der Digitalisierung immer wichtiger
Zero-Trust-Ansatz als Strategie für Fernzugriffe.
Für den Fernzugriff haben sich Sicherheitsteams traditionell auf komplexe und teure VPN-Appliance-Implementierungen verlassen, die nicht skalierbar sind und wachsende Wartungskosten verursachen, aber gleichzeitig schwer zu verwalten sind. Gleichwohl können durch den traditionellen „offenen“ Netzwerkzugang von VPNs sensible Daten leicht exfiltriert werden und kompromittierte Konten oder (böswillige) Insider sich lateral innerhalb des Netzwerks bewegen. SecOps-Teams benötigen eine moderne Lösung für den sicheren Zugang, die sich leicht skalieren lässt und gleichzeitig den sicheren Zugriff von Remote-Benutzern auf ausgewählte private Anwendungen in öffentlichen Clouds und Rechenzentren unabhängig vom Standort ermöglicht. Ein SASE-Anbieter kann eine Cloud-Sicherheitslösung bereitstellen, die den Zugriff auf private Applikationen auf Anwendungsebene auf der Grundlage von Zero Trust-Prinzipien ermöglicht. Dies umfasst die Authentifizierung von Benutzern sowie die Überprüfung und Klassifizierung des Gerätestatus, bevor Benutzer mit definierten privaten Anwendungen verbunden werden.
Ein robustes, globales Edge-Netzwerk, das hochleistungsfähig ist, eine hohe Kapazität aufweist und „Cloud-lastige“ Kommunikation unterstützen kann, bildet das Rückgrat für SASE.
Die globale Netzwerkarchitektur eines Anbieters ist entscheidend dafür, wie lange Kundendaten zu und von den nächstgelegenen Points of Presence (POP) unterwegs sind, bevor sie verarbeitet werden, was die End-to-End-Latenzzeit potenziell erhöht. Letztlich beeinflusst die zugrunde liegende Netzwerkinfrastruktur den Umfang und die Wirksamkeit der Sicherheitskontrollen, wobei traditionelle Netzwerke für ein SASE-Modell nicht geeignet sind.
:quality(80)/p7i.vogel.de/wcms/79/cf/79cffa163c747ed010d471a109828b03/89373832.jpeg "Mit SASE wird IT-Sicherheit selbst zu einem Cloud Service, der sich auf allen Endgeräten anwenden lässt, unabhängig davon, womit die Nutzer auf Apps zugreifen. (Bild: gemeinfrei)")
Sicherheit für SD-WAN mit SASE
Neues Sicherheitskonzept für SD-WAN
Ein Anbieter, der den Prinzipien der SASE-Idee folgt, stellt seine Dienste über ein globales Cloud-Edge-Netzwerk zur Verfügung und bietet Sicherheitsservices, die dem Nutzer am nächsten sind, optimiert das Routing und die Verfügbarkeit und ermöglicht gleichzeitig Sicherheitsfunktionen wie DLP und ATP inline. Dies ermöglicht eine schnelle Verarbeitung mit minimaler Latenz und Unterbrechung für den Anwender. Anbieter, die den Kundenverkehr zu zentralen Rechenzentren zurückführen, handeln im Grunde gegen das SASE-Modell und sind nicht in der Lage, alle erforderlichen Netzwerk- und Sicherheitsdienste zu liefern, die von Unternehmen verlangt werden.
SASE ermöglicht auch eine nahtlose Integration der SD-WAN-Funktionalität in einer Cloud-basierten Architektur, in der die SD-WAN-Funktionalität nativ neben den Sicherheitsservices aufgebaut ist, was die Skalierung der Leistung und Bereitstellung für die Benutzer von Remote-Büros erleichtert. SASE-fähige Architekturen ermöglichen es, SD-WAN-Edge-Lösungen direkt mit dem Edge-Cloud-Netzwerk zu verbinden, wodurch die Komplexität der Bereitstellung physischer SD-WAN-Hubs vermieden und die Kosten und die Komplexität der Bereitstellung mehrerer Netzwerk- und Sicherheitsanwendungen im gesamten Unternehmensnetzwerk reduziert werden. Dieses Zugriffsmodell kann auch dazu beitragen, Overlays zu vereinfachen, die die Komplexität für die Verwaltung des Unternehmensnetzwerks erhöhen.
Integrierte Tools für Management- und Verwaltung reduzieren die Komplexität und steigern die Effizienz.
Die meisten großen Sicherheitsanbieter bieten ein Portfolio von hardware- und softwarebasierten Sicherheitsprodukten an, die durch die Übernahmen anderer Firmen realisiert wurden. Aber auch wenn eine gewisse Integration vorhanden ist, haben die SecOps-Teams mit der komplexen Gestaltung, Konfiguration und Verwaltung ihrer Sicherheitsinfrastruktur zu kämpfen. Im Gegensatz dazu sollte eine SASE-Lösung eine vollständig einheitliche Verwaltung und Administration ermöglichen. Entsprechend sollte man sich vor Produkten hüten, die zwar mit einem „SASE“-Label versehen wurden, aber separate Konfigurationen und Dashboards erfordern, um mehrere Produkte zu gemeinsamen Arbeitsabläufen zu verbinden. Eine „echte“ SASE-fähige Lösung sollte REST-APIs sowie die gemeinsame Nutzung von Bedrohungsinformationen auf der Grundlage von Standards bieten, um ihre Funktionalitäten erweitern zu können.
Ein SASE-Framework bringt wesentliche Sicherheitsservices in einem Cloud-nativen Modell zusammen, das globale Netzwerke mit hoher Kapazität und niedriger Latenz für eine optimierte Anwenderfreundlichkeit nutzt. Unternehmen, die sich für SASE entscheiden, profitieren von einer vereinfachten Umgebung, die auf der Konsolidierung mehrerer Sicherheitstechnologien basiert, sowie von reduzierten Kosten und einer deutlich verbesserten Anwenderfreundlichkeit sowohl für Endbenutzer als auch für Administratoren. Entscheidend ist, dass Unternehmen durch die Einführung einer SASE-Architektur wesentlich besser vor neu auftretenden Bedrohungsfaktoren geschützt und besser gerüstet sind, um den Anforderungen des Datenschutzes und der Datensicherheit auch in Zukunft gerecht zu werden.
Über den Autor: Thomas Ehrlich ist Country Manager DACH von Netskope.
(ID:46667727)
:quality(80)/images.vogel.de/vogelonline/bdb/1881500/1881549/original.jpg "Tommy Grosche, Senior Channel Director Germany bei Fortinet, hält den hybriden SASE-Ansatz in der fertigenden Industrie für sinnvoller als das reine Cloud-Modell. (Fortinet)")
:quality(80)/images.vogel.de/vogelonline/bdb/1942600/1942654/original.jpg "Die Zukunft der Unternehmens-IT liegt in der Cloud, wie Zero Trust und SSE unterstreichen und die hybride Arbeitswelt fordert. (thodonal - stock.adobe.com)")