:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3c/313c4d5d5853b79cb0b6e35922a67b12/0114113318.jpeg ""Umfassender Cyberschutz auf allen Ebenen", ein Interview von Oliver Schonschek, Insider Research, mit Waldemar Bergstreiser von Kaspersky. (Bild: Vogel IT-Medien / Kaspersky / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Abschied vom Perimeter Ist Ihre Architektur bereit für SASE?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Im Zeitalter der Cloud befinden sich IT-Infrastrukturen inmitten tiefgreifender Veränderungen, welche die Art und Weise, wie Anwendungen und Daten bereitgestellt und genutzt werden, deutlich umstrukturieren. Immer mehr Unternehmen erkennen, dass sich ihre physische Netzwerk- und Sicherheitsinfrastruktur weiterentwickeln muss, um ihre Umgebungen, in denen sich der Perimeter immer mehr auflöst, effektiv schützen zu können.
Cloud-Dienste, Security und Networking konvergieren und schaffen ein neues Modell, bei dem Sicherheit und Networking nicht mehr nur aus einzelnen Anwendungen und Geräten bestehen, sondern als Software-Dienste neben Cloud-basierten Anwendungen bereitgestellt werden.
Gartner hat den Begriff SASE (Secure Access Service Edge) geprägt, um dieses neu entstehende Sicherheits- und Netzwerk-Framework zu beschreiben. Die Analysten weisen auf sieben Bereiche hin, in denen Sicherheits- und Netzwerkteams ihre Architektur mit Blick auf die Vorteile von SASE überprüfen sollten. Im Folgenden werfen wir einen Blick auf diese Bereiche und zeigen die sich hieraus ergebenden Vorteile, um Sicherheits- und Netzwerkteams zu helfen, ihre Position bei SASE einordnen zu können.
:quality(80)/images.vogel.de/vogelonline/bdb/1675700/1675778/original.jpg "Secure Access Service Edge (SASE) bedeutet im Idealfall, dass Unternehmen Sicherheitsfunktionen komplett als Cloud-Service von einem Dienstleister erhalten. (gemeinfrei)")
Secure Access Service Edge (SASE)
Sicherheit für Edge und Multicloud
Von einzelnen Sicherheitslösungen hin zu richtlinienbasierten Sicherheitsdiensten durch eine Cloud-native, auf Mikrodiensten basierende Umgebung.
Eine Architektur, die auf traditionelle Netzwerk- und Sicherheitsanwendungen gründet, welche lediglich als Software in die Cloud portiert wurden, ist nicht SASE-fähig. Dennoch ist dies ein weit verbreiteter Ansatz, obgleich er nicht skaliert, unter Interoperabilitätsproblemen leidet, nicht in der Lage ist, neue Funktionen schnell bereitzustellen und Sicherheitsservices mit einer viel zu hohen Latenz liefert. Nur eine native Cloud-Architektur kann nahtlose Sicherheitsdienste bereitstellen, die den Anforderungen an die Risikominderung in vollem Umfang entsprechen. Es gibt wenig Zweifel daran, dass Cloud-nativen Umgebungen die Zukunft gehöret, da sie sich schnell an den sich wandelnden Netzwerk- und Sicherheitsanforderungen anpassen können und in der Lage sind, neue Produkte nativ zu erstellen und Sicherheitsservices bereitzustellen, ohne dabei die Produktivität des Unternehmens zu behindern oder die Nutzerfreundlichkeit zu beeinträchtigen. Als entsprechend zukunftssicher gelten Investitionen in diesem Bereich der IT-Security.
Die Kombination von Cloud- und Web-Sicherheitstechnologien vereinfacht den Betrieb und senkt die Kosten.
Eine SASE-Infrastruktur unterstützt Unternehmen bei der Implementierung konsistenter Sicherheitskontrollen für SaaS-, Web- und IaaS-Dienste, wodurch die Angriffsflächen minimiert und sensible Daten geschützt werden. Eine SASE-fähige Infrastruktur bietet Secure Web Gateway (SWG)-Funktionen neben anderen Cloud-basierten Netzwerk- und Sicherheitsdiensten wie Cloud Access Security Broker (CASB), Data Loss Prevention (DLP) und Advanced Threat Protection (ATP). Dies ist notwendig, da Unternehmen ihre Anwendungen in die Cloud verlagern und sich nicht mehr auf lokale Firewalls zum Schutz ihrer Daten verlassen können (etwa weil diese Appliances für modernen Cloud-Verkehr wie API-Aufrufe und JSON blind sind). Unternehmen benötigen tiefergehende Sicherheitskontrollen, um einen genaueren Einblick in die Aktivitäten zu erhalten, die über SaaS-, Web- und IaaS-Dienste sowie über gemanagte und nicht gemanagte Geräte hinweg durchgeführt werden.
Durch die Vereinheitlichung dieser Fähigkeiten innerhalb einer einzigen Architektur ermöglicht das SASE-Konzept Unternehmen die Identifizierung und Dekodierung sowohl des Webverkehrs als auch der Cloud-basierten Anwendungen, wobei detaillierte Zusammenhänge wie persönliche und Unternehmensinstanzen derselben Cloud-Anwendung (z.B. Office 365, Gmail, Slack) aufgezeigt werden können. Unternehmen sind so in der Lage, ein umfassendes Bild der Bedrohungslandschaft zu erhalten, das den Kontext der integrierten Sicherheits- und Netzwerkdienste innerhalb der SASE-kompatiblen Plattform einbezieht. Dieses konsolidierte Cloud-Gateway stellt ein SWG der nächsten Generation (NG SWG) dar: Es erweitert den Schutz durch die Identifizierung, das Management und die Sicherung von Web-Datenverkehr und cloudbasierten Anwendungen, die Erkennung und Eindämmung cloudbasierter Bedrohungen und die Durchsetzung von Schutzfunktionen bei Datenverlusten – alles mit einer einheitlichen Engine zur Definition und Durchsetzung von Richtlinien.
Die erfolgreiche Kontrolle der Bewegung sensibler Daten durch kontextbezogene Kontrollen und ein datenzentriertes Sicherheitsmodell.
Datensicherheit ist ein integraler Bestandteil von SASE. Moderne Cloud-DLP-Lösungen bieten vollständige Transparenz und im besten Fall eine Kontexterkennung der Datenbewegung über die Cloud hinweg sowie eine Begrenzung von Datenverlusten und Exfiltrationen. Um DLP zu skalieren und zu optimieren, müssen die Richtlinien dabei datenzentriert sein und unabhängig vom Endpunkt oder Cloud-Service auf die Daten angewendet und verfolgt werden. Die Verwaltung von DLP-Richtlinien wird innerhalb eines SASE-Frameworks vereinfacht, da dieselben Richtlinien auf alle Cloud-Anwendungen und Websites angewendet werden können. Auf diese Weise wird sichergestellt, dass dieselben DLP-Richtlinien auf abgelegte, „statische“ Daten (data-at-rest) und „dynamische“ Daten, auf die (gerade) zugegriffen wird (data-in-motion), angewendet werden. Zudem sollte ein SASE-fähiges Framework Daten effektiv identifizieren und klassifizieren sowie ein genaues Verständnis zur Unterstützung von Richtlinien auf der Grundlage von Kontexten wie Benutzer, Gerätetyp, Dateityp, Datenkennungen und mehr liefern.
Schutz vor Cloud-basierten Bedrohungen und Kombination von Kontrollen für Bedrohungen und Daten für eine effiziente und umfassende Kontrolle in einem Schritt.
Angesichts der rapiden Zunahme von Cloud-basierten Bedrohungen wie etwa Phishing und Drive-by-Angriffen, bieten traditionelle Lösungen nur eine begrenzte Transparenz und stellen so ein erhebliches Risiko dar. Gefragt ist eine skalierbare native Cloud-Plattform, um den Schutz vor Bedrohungen in der Cloud in Echtzeit (schnelles Scannen) und in der Tiefe (Sandboxing) zu unterstützen. Hierdurch können jegliche Malware und Bedrohungen effektiv erkannt und entsprechend bekämpft werden.
Eine ATP-Lösung, die auf dem SASE-Modell basiert, kann erheblich dazu beitragen, die Komplexität und Kosten für SecOps und Incident Response (IR)-Teams zu reduzieren und gleichzeitig die Wirksamkeit und den Umfang der Bedrohungsabwehr zu verbessern. Sie kann auch dabei helfen, alle Sicherheitsereignisse, die über gemanagte und nicht gemanagte Clouds hinweg gesammelt werden, zu zentralisieren und eine einzige, konsolidierte Ansicht aller Aktivitäten zu erhalten. Um effektiv zu sein, muss diese Lösung umfang- und aufschlussreiche Metadaten aus dem Web- und Cloud-Verkehr zur weiteren Analyse und Untersuchung sammeln.
:quality(80)/images.vogel.de/vogelonline/bdb/1681400/1681404/original.jpg "Das neue eBook „Zero Trust – Sicherheit vor Vertrauen“ stellt das Konzept vor und zeigt, warum Zero Trust eine logische Konsequenz der fortschreitenden Digitalisierung ist. (Production Perig - stock.adobe.com)")
Neues eBook „Zero Trust“
Zero Trust wird in der Digitalisierung immer wichtiger
Zero-Trust-Ansatz als Strategie für Fernzugriffe.
Für den Fernzugriff haben sich Sicherheitsteams traditionell auf komplexe und teure VPN-Appliance-Implementierungen verlassen, die nicht skalierbar sind und wachsende Wartungskosten verursachen, aber gleichzeitig schwer zu verwalten sind. Gleichwohl können durch den traditionellen „offenen“ Netzwerkzugang von VPNs sensible Daten leicht exfiltriert werden und kompromittierte Konten oder (böswillige) Insider sich lateral innerhalb des Netzwerks bewegen. SecOps-Teams benötigen eine moderne Lösung für den sicheren Zugang, die sich leicht skalieren lässt und gleichzeitig den sicheren Zugriff von Remote-Benutzern auf ausgewählte private Anwendungen in öffentlichen Clouds und Rechenzentren unabhängig vom Standort ermöglicht. Ein SASE-Anbieter kann eine Cloud-Sicherheitslösung bereitstellen, die den Zugriff auf private Applikationen auf Anwendungsebene auf der Grundlage von Zero Trust-Prinzipien ermöglicht. Dies umfasst die Authentifizierung von Benutzern sowie die Überprüfung und Klassifizierung des Gerätestatus, bevor Benutzer mit definierten privaten Anwendungen verbunden werden.
Ein robustes, globales Edge-Netzwerk, das hochleistungsfähig ist, eine hohe Kapazität aufweist und „Cloud-lastige“ Kommunikation unterstützen kann, bildet das Rückgrat für SASE.
Die globale Netzwerkarchitektur eines Anbieters ist entscheidend dafür, wie lange Kundendaten zu und von den nächstgelegenen Points of Presence (POP) unterwegs sind, bevor sie verarbeitet werden, was die End-to-End-Latenzzeit potenziell erhöht. Letztlich beeinflusst die zugrunde liegende Netzwerkinfrastruktur den Umfang und die Wirksamkeit der Sicherheitskontrollen, wobei traditionelle Netzwerke für ein SASE-Modell nicht geeignet sind.
:quality(80)/p7i.vogel.de/wcms/79/cf/79cffa163c747ed010d471a109828b03/89373832.jpeg "Mit SASE wird IT-Sicherheit selbst zu einem Cloud Service, der sich auf allen Endgeräten anwenden lässt, unabhängig davon, womit die Nutzer auf Apps zugreifen. (Bild: gemeinfrei)")
Sicherheit für SD-WAN mit SASE
Neues Sicherheitskonzept für SD-WAN
Ein Anbieter, der den Prinzipien der SASE-Idee folgt, stellt seine Dienste über ein globales Cloud-Edge-Netzwerk zur Verfügung und bietet Sicherheitsservices, die dem Nutzer am nächsten sind, optimiert das Routing und die Verfügbarkeit und ermöglicht gleichzeitig Sicherheitsfunktionen wie DLP und ATP inline. Dies ermöglicht eine schnelle Verarbeitung mit minimaler Latenz und Unterbrechung für den Anwender. Anbieter, die den Kundenverkehr zu zentralen Rechenzentren zurückführen, handeln im Grunde gegen das SASE-Modell und sind nicht in der Lage, alle erforderlichen Netzwerk- und Sicherheitsdienste zu liefern, die von Unternehmen verlangt werden.
SASE ermöglicht auch eine nahtlose Integration der SD-WAN-Funktionalität in einer Cloud-basierten Architektur, in der die SD-WAN-Funktionalität nativ neben den Sicherheitsservices aufgebaut ist, was die Skalierung der Leistung und Bereitstellung für die Benutzer von Remote-Büros erleichtert. SASE-fähige Architekturen ermöglichen es, SD-WAN-Edge-Lösungen direkt mit dem Edge-Cloud-Netzwerk zu verbinden, wodurch die Komplexität der Bereitstellung physischer SD-WAN-Hubs vermieden und die Kosten und die Komplexität der Bereitstellung mehrerer Netzwerk- und Sicherheitsanwendungen im gesamten Unternehmensnetzwerk reduziert werden. Dieses Zugriffsmodell kann auch dazu beitragen, Overlays zu vereinfachen, die die Komplexität für die Verwaltung des Unternehmensnetzwerks erhöhen.
Integrierte Tools für Management- und Verwaltung reduzieren die Komplexität und steigern die Effizienz.
Die meisten großen Sicherheitsanbieter bieten ein Portfolio von hardware- und softwarebasierten Sicherheitsprodukten an, die durch die Übernahmen anderer Firmen realisiert wurden. Aber auch wenn eine gewisse Integration vorhanden ist, haben die SecOps-Teams mit der komplexen Gestaltung, Konfiguration und Verwaltung ihrer Sicherheitsinfrastruktur zu kämpfen. Im Gegensatz dazu sollte eine SASE-Lösung eine vollständig einheitliche Verwaltung und Administration ermöglichen. Entsprechend sollte man sich vor Produkten hüten, die zwar mit einem „SASE“-Label versehen wurden, aber separate Konfigurationen und Dashboards erfordern, um mehrere Produkte zu gemeinsamen Arbeitsabläufen zu verbinden. Eine „echte“ SASE-fähige Lösung sollte REST-APIs sowie die gemeinsame Nutzung von Bedrohungsinformationen auf der Grundlage von Standards bieten, um ihre Funktionalitäten erweitern zu können.
Ein SASE-Framework bringt wesentliche Sicherheitsservices in einem Cloud-nativen Modell zusammen, das globale Netzwerke mit hoher Kapazität und niedriger Latenz für eine optimierte Anwenderfreundlichkeit nutzt. Unternehmen, die sich für SASE entscheiden, profitieren von einer vereinfachten Umgebung, die auf der Konsolidierung mehrerer Sicherheitstechnologien basiert, sowie von reduzierten Kosten und einer deutlich verbesserten Anwenderfreundlichkeit sowohl für Endbenutzer als auch für Administratoren. Entscheidend ist, dass Unternehmen durch die Einführung einer SASE-Architektur wesentlich besser vor neu auftretenden Bedrohungsfaktoren geschützt und besser gerüstet sind, um den Anforderungen des Datenschutzes und der Datensicherheit auch in Zukunft gerecht zu werden.
Über den Autor: Thomas Ehrlich ist Country Manager DACH von Netskope.
(ID:46667727)
:quality(80)/p7i.vogel.de/wcms/d3/a0/d3a07c39b5071976d1a3380a5917afc0/0107788277.jpeg "Mit SSE-Lösungen, die zentrale Sicherheitsservices integriert bereitstellen, können Unternehmen die Transformation ihrer IT-Sicherheit bereits heute einleiten. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/aa/60aa661f246599ea7d0aed1f005bb35f/0108838541.jpeg "SASE bietet eine effektive Methode, um sicherzustellen, dass Mitarbeitende auf die von ihnen benötigten Ressourcen Zugriff haben, während das Netzwerk gleichzeitig vor Cyberangriffen geschützt wird. (Bild: putilov_denis - stock.adobe.com)")