:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
WAN-Transformation und Edge-Sicherheit Sicherheitsmodell SASE – So geht Secure Access Service Edge
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Vor einem Jahr veröffentlichte Gartner seinen wegweisenden Bericht „Die Zukunft der Netzwerksicherheit liegt in der Cloud“. Gartner prägte darin den SASE-Begriff, um die Notwendigkeit einer Kombination aus WAN-Transformation und Edge-Sicherheitstransformation zu beschreiben, damit Unternehmen alle Vorteile der Verlagerung von Anwendungen und Workloads in die Cloud nutzen können. Doch wie funktioniert eine „Secure Access Service Edge“-Architektur.
Um eine SASE-Architektur zu erstellen, kann ein Unternehmen mit nur einem Transformationsprojekt beginnen, aber letztendlich müssen sowohl WAN- als auch Sicherheitsarchitekturen berücksichtigt werden. Dies liegt daran, dass herkömmliche WAN- und Sicherheitsarchitekturen, die auf Routern und Firewalls der nächsten Generation basieren, den für die Cloud bestimmten Anwendungsverkehr über ihre Rechenzentren oder Hub-Standorte lenken, um die Sicherheit zu gewährleisten (siehe Abbildung 1). Durch dieses Backhauling entsteht jedoch eine Latenz (Verzögerung), die sich negativ auf die Leistung von Cloud-Anwendungen auswirkt.
Warum sollte man Cloud-Datenverkehr nicht direkt in die Cloud senden und somit das Internet mit Sicherheitsdiensten aus der Cloud nutzen? Genau das bewirkt SASE sowohl im Hinblick auf die Transformation der Netzwerkarchitektur als auch der Sicherheitsarchitektur.
:quality(80)/p7i.vogel.de/wcms/e5/be/e5be643b854bc19219ac755635eb9725/92738035.jpeg "Abbildung 1: Herkömmliche Netzwerk- und Sicherheitsarchitekturen übertragen den für die Cloud bestimmten Datenverkehr via Backhauling in das Rechenzentrum zurück und erhöhen die Latenz, wodurch die Leistung der Cloud-Anwendungen beeinträchtigt wird.")
:quality(80)/p7i.vogel.de/wcms/75/63/756365c7e19acbe6f058c3ea55637f96/92738037.jpeg "Abbildung 2: Adaptiver Internet-Breakout aus der Zweigstelle bietet die höchste Leistung von Cloud-Anwendungen und ermöglicht eine granulare, konsistente Durchsetzung von Sicherheitsrichtlinien, um eine hohe Endbenutzerqualität zu bieten und gleichzeitig das Unternehmen vor Sicherheitslücken zu schützen.")
Netzwerktransformation
Aus Sicht der Netzwerkarchitektur befürwortet das SASE-Modell ein stark vereinfachtes WAN-Edge, bei dem nur die erforderlichen Netzwerkfunktionen am Edge platziert werden, idealerweise auf einer einzigen Plattform, die folgende Faktoren vereint:
- SD-WAN
- Routing
- Stateful zone-based Firewall
- Erweiterte Segmentierung
- WAN-Optimierung
- Sichtbarkeit und Kontrolle der Anwendung
SD-WAN-Angebote werden immer mehr angefragt und werden weiterhin sehr schnell bereitgestellt.
Sicherheitstransformation
Wenn Anwendungen überall gehostet werden und Benutzer von überall und von jedem Gerät aus darauf zugreifen können, was durch die enorme Zunahme von Remote-Mitarbeitern aufgrund der COVID-19-Pandemie noch verstärkt wurde, muss das herkömmliche Sicherheitsmodell angepasst werden. Im SASE-Modell schreibt Gartner, dass die meisten Sicherheitsdienste am besten in der Cloud und nicht auf teuren, komplex zu verwaltenden Firewalls der nächsten Generation bereitgestellt werden, die sich an verschiedenen Standorten befinden.
In der Cloud ist es deutlich einfacher, die neuesten Funktionen zur Erkennung und Abwehr von Bedrohungen auf dem aktuellen Stand zu halten. Und genau wie SD-WAN an Zweigstellen herkömmliche Router verdrängt, machen Sicherheitsdienste in der Cloud die Notwendigkeit von Firewalls der nächsten Generation in den Zweigstellen überflüssig.
Erste Schritte
Wie sollten Unternehmen, die SD-WAN oder Sicherheitsdienste aus der Cloud noch nicht eingeführt haben, starten, um SASE zu implementieren?
Eine praxiserprobte fortschrittliche SD-WAN-Plattform ist ein guter Ausgangspunkt. Eine einfache SD-WAN Lösung mit nur grundlegender Funktionalität ist unzureichend. Ein modernes SD-WAN ist erforderlich, um SASE vollständig zu aktivieren. Doch welche SD-WAN-Funktionen sind erforderlich, um eine robuste SASE-Architektur zu implementieren?
- Identifizierung von Anwendungen im ersten Paket und genaue Steuerung des Daten-Traffics, um sowohl QoS- als auch Sicherheitsrichtlinien gemäß der Geschäftsanforderungen durchzusetzen (siehe Abbildung 2)
- Automatische und tägliche Aktualisierung der Definitionen der Cloud-Anwendungen und der TCP/IP-Adressbereiche auf den neuesten Stand, um immer einen genauen und optimalen Internet-Breakout zu ermöglichen
- Automatisierung der Orchestrierung zwischen dem SD-WAN und den von der Cloud bereitgestellten Sicherheitsdiensten über eine einzige Konsole
- Automatisiertes Failover auf einen sekundären Cloud Security Enforcement Point, falls der primäre nicht mehr erreichbar ist, um Anwendungsunterbrechungen zu vermeiden
- Automatisierungen der Neukonfiguration von Verbindungen zu Cloud Security Enforcement Points, wenn ein neuer, näherer Standort für die Zweigstelle bereitgestellt wird, um die Anwendungslatenz weiter zu minimieren
- Ermöglichung, Cloud-Sicherheitsdienste – und deren SASE-Implementierung – in individuellem Tempo einzuführen
- Vermeidung vor allem eines Vendor-Lock-Ins, um neue Sicherheitsinnovationen übernehmen zu können, sobald diese verfügbar sind
Fazit
Gartner-Berichten und Analysten zufolge ist SASE eine unschlagbare Kombination aus SD-WAN und Sicherheitsdiensten aus der Cloud. Es ist die Synergie zwischen erstklassigem SD-WAN und erstklassiger Cloud-Sicherheit und die optimale Lösung für Unternehmen, die zukunftsweisende Cloud-Lösungen bevorzugen.
Über den Autor
Derek Granath ist VP Product Marketing bei Silver Peak. Er verfasst unter anderem Artikel für WAN Speak, einen Blog von Silver Peak.
(ID:46985124)
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945914/original.jpg "Security Service Edge beschreibt den Security-Teil des Modells SASE. SSE kann jedoch auch alleinstehend umgesetzt werden. (Sikov - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1881500/1881549/original.jpg "Tommy Grosche, Senior Channel Director Germany bei Fortinet, hält den hybriden SASE-Ansatz in der fertigenden Industrie für sinnvoller als das reine Cloud-Modell. (Fortinet)")