:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Software-defined Wide Area Network Mit sicherem SD-WAN Zweigstellen absichern
Business-Anwendungen sind das Herzblut digitaler Unternehmen. Sie müssen ständig verfügbar sein, auch in Zweigstellen. Die Lösung hierfür heißt Software-definiertes Wide-Area-Networking (SD-WAN). Allerdings schafft die dynamische Natur des SD-WAN neue Sicherheitsrisiken, die Unternehmen adressieren müssen. Daher sollte Security von Beginn an Bestandteil einer jeden SD-WAN-Lösung sein.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107800/107800/65.jpg "SonicWall_Registered-2C.JPG ()")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Lange haben Unternehmen ihre Außenstellen fast stiefmütterlich behandelt. Lokale Daten waren veraltet und die Netzverbindung zur Zentrale langsam und instabil. Heutigen Ansprüchen genügt diese Handhabe nicht mehr: Unternehmen brauchen in all ihren Zweigstellen hohe und konsistente Geschwindigkeiten – und das bei meist höherem Traffic, mehr Nutzern sowie implementierten Software- und Infrastructure-as-a-Service (SaaS und IaaS)-Lösungen. Für die Anwendung in Unternehmen mit vielen Zweigstellen steht heute SD-WAN an vorderster Stelle.
Das Software-definierte Wide-Area-Networking kategorisiert den Traffic automatisch in Typ, Nutzer, Quelle und Ziel, um kritische Applikationen über Pfade mit einer angemessenen Bandbreite und minimaler Latenz zu leiten. Kombiniert mit einer vereinfachten Ausfallsicherung schafft SD-WAN Zugang zu Ressourcen überall im verteilten Netzwerk sowie zu hochentwickelte Anwendungen, komplexen Workflows und Cloud-basierten Services – auch auf privaten Geräten. Doch diese Möglichkeiten werden von Risiken begleitet, wie die folgenden Anwendungsbeispiele zeigen.
Sicherheitsrisiken bei SD-WAN-Anwendungen
Wegen des wachsenden Bedarfs an Bandbreite wechseln viele große Unternehmen von Multi-Label-Protocol-Switching (MLPS) zu Breitband. Damit erhalten auch kritische Anwendungen Zugang zum Internet, was den Gefahrenherd vergrößert. Sicheres SD-WAN sollte daher mit einer Next Generation Firewall (NGFW) der Enterprise-Klasse kommen, um Bedrohungsschutz und -erkennung sowie gleichzeitig eine hochwertige Nutzererfahrung für Business-Applikationen zu gewährleisten.
Zunehmend verwenden Unternehmen auch SaaS in ihrem SD-WAN. Das führt zu mehr verschlüsseltem Traffic. Hacker nutzen das zu ihrem Vorteil, indem sie Malware einschleusen. Eine tiefgehende und leistungsstarke SSL-Inspektion am WAN Edge ist hier von Vorteil, um das Malware-Aufkommen zu überwachen und für vertiefte Sichtbarkeit in die Applikationsebenen zu sorgen.
Weiter eröffnen Vernetzung und Flexibilität von SD-WAN den Cyber-Kriminellen neue Angriffsflächen. Jedes Element des Netzwerks, von Cloud-Verbindungen über Remote-Nutzer und IoT-Geräte bis hin zu den SD-WAN-Verbindungen der einzelnen Filialen – alles kann zum Einfallstor für Schadsoftware werden. Gängige Lösungen sind für diesen Grad der Vernetzung zu simpel und reichen meist nicht aus, um das Netzwerk umfassend zu sichern.
Von SD-WAN zu Secure SD-WAN
SD-WAN-Lösungen unterstützen häufig nur grundlegende Schutzfunktionen wie zustandsorientierte Firewalls und VPN. Auch die Security-Architekturen in den Zentralen der Unternehmen sind oft unzureichend. Meistens verschlüsseln sie lediglich den Traffic und legen anschließend einen Security-Filter an die Enden des Netzwerks – mehr nicht. Viele Unternehmen implementieren deshalb nachträglich Security-Lösungen, um Funktionen wie Intrusion Prevention, Malware-Analyse, Web-Filterung, Sandboxing und SSL-Traffic-Kontrolle bereitzustellen. Diese Services erfordern komplexe Strategien sowie das entsprechende Equipment in der Zweigstelle, welches mit der SD-WAN-Lösung abgestimmt werden muss. All das ist schwierig zu managen und übersteigt oft die Ressourcen eines Unternehmens – nicht nur, aber besonders in den Zweigstellen.
Damit eine Security-Lösung den Anforderungen einer SD-WAN-Architektur gerecht wird, muss diese bereits bei der Planung mitgedacht werden. Die Security sollte von vornherein viele ihrer Design-Prinzipien mit dem SD-WAN teilen, wie Geschwindigkeit, Flexibilität und Skalierbarkeit. Auf jeden Fall sollte eine Security-Lösung für SD-WAN aber folgende Elemente beinhalten: ein umfassendes Repertoire an Security Tools, eine native Einbettung in die SD-WAN-Lösung und eine nahtlose Integration in andere Security-Lösung im gesamten Netzwerk.
:quality(80)/images.vogel.de/vogelonline/bdb/1539200/1539247/original.jpg "Wenn Keith Langridge, Vice President Networking bei BT, gefragt wird, ob man auch ein SD-WAN sicher betreiben kann, lautet seine Antwort: \"Es kommt darauf an!\" (BT)")
Software-Defined WAN vs. Multi-Protocol Label Switching
Ist SD-WAN genauso sicher wie MPLS?
Umfassende Security zum Schutz gegen Bedrohungen
Zweigstellen sind genauso betroffen von Bedrohungen, wie jede andere Stelle im Netzwerk auch. Daher muss ein umfassendes Security-Portfolio zur Verfügung stehen. Dazu gehören eine Next Generation Firewall (NGFW), die den Datenverkehr von Layer 2 bis Layer 7 einsieht und schützen kann, Intrusion-Detection- und Prevention-Systeme, Anwendungsfilter, Web-Security, Anti-Malware- und Antiviren-Tools, Datenverschlüsselung und eine hohe Leistung bei der Prüfung verschlüsselten Datenverkehrs.
Native Einbettung in die SD-WAN-Lösung
Security nativ in die SD-WAN-Lösung einzubetten reduziert den Aufwand in der Zweigstelle. Statt im Nachgang Anpassungen vorzunehmen, sollte im Idealfall ein NGFW-Gerät die SD-WAN-Funktionalität bereitstellen. Zum einen ist das Gerät so für den Prozessaufwand ausgelegt, der für den Betrieb der zahlreichen Security Tools erforderlich ist. Zum anderen können diese Tools und Sicherheitsrichtlinien über eine zentrale Konsole organisiert und verwaltet werden. Im besten Fall lassen sich alle SD-WAN-Funktionen über dieselbe Oberfläche managen.
Nahtlose Integration überall im Netzwerk
Nicht zuletzt sollte sich die Security-Lösung nahtlos in andere Tools im verteilten Netzwerk integrieren. Bedrohungsinformationen zu sammeln, zu korrelieren und zu adressieren erhöht die Sicherheit im gesamten verteilten Netzwerk. Unternehmen profitieren von der Verwaltung über eine einzige Oberfläche und sparen zudem Kosten ein. Denn sie konsolidieren ihre IT-Ressourcen nicht nur bei der Erstellung von Sicherheitsrichtlinien, sondern auch während des gesamten Lebenszyklus – von der Bereitstellung über Integration und Monitoring bis zur Optimierung der Security.
Digitale Transformation – ohne Abstriche bei der Security
Ständige Verfügbarkeit und Leistung von Business-Anwendungen sind für die digitale Wirtschaft von heute ein Muss – nicht nur in der Zentrale, sondern auch in Unternehmensfilialen. SD-WAN bietet hierfür eine dynamische Lösung, die Produktivität und Integrität von Zweigstellen sicherstellt.
Ein sicheres SD-WAN sollte eine Reihe von vollständig integrierten Security-Lösungen beinhalten. So bietet es nicht nur wesentliche SD-WAN-Funktionen, sondern sichert auch die gesamte Bandbreite kritischer Anwendungen und Services in den Zweigstellen. Gleichzeitig integriert es diese nahtlos in das Security-Framework des Unternehmens. Dies reduziert Security-Aufwand, gewährleistet einen konsequenten Schutz und beachtet die Durchsetzung von Sicherheitsrichtlinien. Eine Lösung mit den entsprechenden Security Tools, nativer Einbettung und nahtlos Integration im gesamten Netzwerk reduziert schlussendlich auch die Gesamtbetriebskosten des SD-WAN – ohne Kompromisse bei der Sicherheit.
Über den Autor:Josef Meier (CISSP/CEH) ist seit Sommer 2015 bei Fortinet tätig. Als Director Sales Engineering Germany verantwortet er deutschlandweit die technische Pre-Sales-Strategie sowie das Team der System Engineers. Er hat fast 20 Jahre Erfahrung im IT-Security-Bereich, und bevor er zu Fortinet kam war er unter anderem tätig als Manager Pre-Sales Central & Eastern Europe bei HP und TippingPoint sowie Head of Systems Engineering bei SSP Europe.
(ID:45914112)
:quality(80)/images.vogel.de/vogelonline/bdb/1942600/1942654/original.jpg "Die Zukunft der Unternehmens-IT liegt in der Cloud, wie Zero Trust und SSE unterstreichen und die hybride Arbeitswelt fordert. (thodonal - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1881500/1881549/original.jpg "Tommy Grosche, Senior Channel Director Germany bei Fortinet, hält den hybriden SASE-Ansatz in der fertigenden Industrie für sinnvoller als das reine Cloud-Modell. (Fortinet)")