:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/65/4d659da289f5aca04c24cbb2ef2fd540/0111240624.jpeg "Der Blick von außen auf die eigenen IT-Ressourcen geht über das hinaus, was im Schwachstellenmanagement sichtbar ist. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/a8/60a85b048367a1658787275099d1d11c/0111864407.jpeg "ISX-Keynote-Sprecher Dr. Siegfried Rasthofer ist ein IT-Sicherheitsexperte mit langjähriger Erfahrung in den Bereichen Software-Exploitation, Secure Software Engineering, Reverse Engineering, Malware-Analyse, Offensive Security und Threat Intelligence. (Bild: www.rasthofer.info)")
:quality(80)/p7i.vogel.de/wcms/c2/4f/c24fa71856579436103293b63bbd631a/0112178358.jpeg "Die Kommunikationsschnittstelle MOVEit war kompromittiert. Die AOK hat deswegen die Verbindung vorläufig getrennt. Auch Verbraucherdaten waren möglicherweise offen zugänglich. (© Sven Krautwald - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/a4/b4a406fca20011692876d63ea87b8554/0111848384.jpeg "Mit Blockierlisten und Geo-IP-Filtern für Firewalls lassen sich viele Angriffe ganz einfach automatisch abwehren. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/c6/b3c641a4d3910d7e2aecfe566eacc8ef/0111572419.jpeg "Durch Cyberversicherungen versuchen viele Unternehmen das Geschäftsrisiko digitaler Bedrohungen abzufedern – doch Konditionen und Anforderungen steigen. (Bild: VideoFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/27/bc276af26a560cace6721af0a0e60fab/0111322090.jpeg "Observability erweitert und ergänzt das klassische Monitoring um Bigdata und KI – und erlaubt somit einen umfassend datengestützen Blick auf Detailfragen. (Bild: © lexiconimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
IT-Sicherheit mit SSE Sieben Tipps zur Security Service Edge
Security Service Edge (SSE) ist die natürliche Evolution des SASE-Rahmenwerks. SSE-Lösungen sollen die grundlegenden Sicherheitsherausforderungen adressieren, denen Unternehmen wegen hybridem Arbeiten, Anwendungen in Multicloud-Umgebungen, Edge-Computing und digitaler Operational Technologie (OT) gegenüberstehen. Wir geben sieben Tipps für die Wahl der passenden Lösung.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Bei Security Service Edge (SSE) wird durch die Ausgliederung des „A“ – dem Access-Teil von SASE (Secure Access Service Edge) – deutlich, dass das Netzwerk nicht länger als Teil einer Sicherheitslösung betrachtet wird. Es handelt sich dabei lediglich um den Mechanismus, der die Datenströme zur Sicherheits- und Kontrollplattform transportiert. Damit wird verdeutlicht, dass Sicherheit unabhängig von der Netzwerkkomponente zum Tragen kommen sollte, um zukunftsorientiert auch neu aufkommende Anwendungsszenarien im Bereich der Cloud, von Edge Computing, IoT, OT oder 5G abdecken zu können.
SSE-Lösungen sollen die grundlegenden Sicherheitsherausforderungen adressieren, denen Unternehmen wegen hybridem Arbeiten, Anwendungen in Multicloud-Umgebungen, Edge-Computing und digitaler Operational Technologie (OT) gegenüberstehen. Wenn Unternehmen Software- und Infrastructure-as-a-Service-Angebote (SaaS, IaaS) einführen, werden ihre Daten und Anwendungen zunehmend außerhalb ihrer lokalen Rechenzentren verteilt. Darüber hinaus sind immer mehr Benutzer mobil und verbinden sich von überall und über verschiedene Übertragungsmechanismen mit ihren Cloud-Apps und Daten.
Die Sicherung von Cloud Apps und mobilen Benutzern ist mit herkömmlichen Netzwerksicherheitsansätzen zunehmend schwierig, denn Legacy-Technologien sind im Rechenzentrum verankert und gestalten den Pfad vom Nutzer, Gerät oder Workload zum Service aufwändig. Traditionelle Sicherheit-Module für Rechenzentren sind zu komplexen, schwer zu integrierenden Sammlungen von Einzelprodukten geworden, die in einer Cloud-basierten Welt zwangsläufig Lücken zwischen unterschiedlichen Sicherheitslösungen öffnen und die Gefahr durch fortgeschrittene Bedrohungen oder Ransomware-Angriffe erhöht.
Ansätze auf Basis des SSE-Rahmenwerks von Gartner ermöglichen die Bereitstellung von Cyber-Sicherheit, ohne an ein Netzwerk gebunden zu sein. Die Sicherheit wird im Idealfall über die Cloud bereitgestellt, die der Benutzer-zu-App-Verbindung unabhängig vom Standort folgen kann. Die Bereitstellung aller Sicherheitsdienste auf einheitliche Weise reduziert außerdem das Risiko von Angriffsflächen. Die IT-Abteilung profitiert durch ein SSE-Model von ganzheitlichem Einblick in alle Datenströme unabhängig von den Kanälen, die für den Zugriff auf Anwendungen gewählt werden. Über einen Cloud-basierten Ansatz erfolgen Updates automatisch für alle Anwender ohne die typische Verzögerungszeit einer manuellen IT-Administration.
Doch es gibt etliche Lösungsansätze auf Basis des Security Service Edge. Der nachfolgende kurze Leitfaden gibt eine Orientierungshilfe für die Auswahl:
1. Globale Verfügbarkeit und Belastbarkeit
Wenn Unternehmen ihre gesamte Sicherheitsinfrastruktur für alle Funktionen an einen Cloud-Anbieter auslagern, brauchen sie eine Lösung, die weltweit verfügbar, ausfallsicher und skalierbar ist. Bei der Auswahl sollten also Faktoren einer nachweisbaren Verfügbarkeit und Belastbarkeit eine Rolle spielen, die sich nachprüfen lassen. Dazu tragen Service-Level-Agreements (SLAs) bei, die dem Kunden Auskunft über garantierte Serviceleistungen, wie Stabilität und Skalierbarkeit geben. Der Anbieter stellt damit sicher, dass er den Datenverkehr seiner Kunden in großem Umfang und mit der erforderlichen Performanz auf globaler Ebene schützen kann.
Es lohnt darüber hinaus der Einblick, auf welcher technologischen Basis diese Performanz zur Verfügung gestellt wird, um den modernen Anforderungen der Unternehmen gerecht zu werden. Der Client sollte immer und automatisch die Verbindung zum Sicherheitsservice wählen, die die beste Performance liefert und damit die Verarbeitung der Datenströme direkt an der Edge ermöglichen, um Latenz zu vermeiden. Externe Validierungen und Zertifizierungen des Serviceanbieters geben dem Kunden dabei Orientierungshilfe.
2. Sicherheit auf Basis von Zero Trust
Zero Trust ist der Schlüssel zur Bereitstellung der richtigen SSE-Funktionalität für den richtigen Dienst. Zu den Entscheidungskriterien für die geeignete Lösung gehört, dass Zero Trust für den gesamten Datenverkehr angeboten wird. Dabei kontrolliert Zero Trust die Sicherheit ausgehend von der Quelle des Datenverkehrs zu seinem Ziel über einen individuellen Kontrollvorgang auf der Basis von regeln. Es spielt dabei keine Rolle, ob es sich um Anwendungen und Services im Internet oder den remote Zugriff auf das Rechenzentrum handelt. Mit einem Zero Trust-Mechanismus wird jede Person und jedes Gerät individuell behandelt und bekommt Zugriff ausschließlich für das, wozu eine Berechtigung besteht.
Die SSE-Lösung sollte den Zugriff auf Basis des Least Privilege-Prinzips regeln, das jedem einzelnen Anwender oder Gerät Zugang zu Applikationen auf der Grundlage seiner Zugriffsrechte einräumt. Durch diese Microsegmentierung aller Quellen, die sowohl User, OT-Maschinen oder auch Workloads sein können, wird die laterale Ausbreitung von Angriffen in der IT-Umgebung verhindert. Da Anwendungen und Services auf diese Weise nicht mehr dem Internet ausgesetzt sind, wird die Angriffsfläche von Cyberkriminellen reduziert und das Geschäftsrisiko weiter minimiert.
3. Skalierbare und umfassende TLS-Inspektion
Die Untersuchung des gesamten - auch des verschlüsselten – Datenverkehrs auf darin verborgenen Schadcode ist die Grundlage für weiterführende Sicherheitsfunktionalität eines SSE-Ansatzes. Wert legen sollten Unternehmen dabei erneut auf die Performanz des Services, damit der ganzheitliche Sicherheitsscan nicht zum Nadelöhr für den Datenverkehr wird. Ein Proxy-Servicekontrolliert den Datenverkehr in alle Richtungen inline und in Echtzeit. Der Sitz der Kontrollinstanz zwischen Quelle und Ziel des Datenstroms bedeutet, dass eine vollständige TLS-Überprüfung durchgeführt werden kann und unkontrollierte Daten nicht passieren können. Das führt zu einer höheren Sicherheit, als es herkömmliche Passthrough-Firewalls ermöglichen. Es sollte eine SSE-Plattform gewählt werden, die TLS/SSL-Inspektion auf globaler Ebene bereitstellen kann. Diese Inline-Überprüfung bedingt nicht nur Advanced Threat Protection, sondern bildet auch die Grundlage für weitere Sicherheitsfunktionaliten, wie zum Beispiel Data Loss Prevention.
Durch die Vereinheitlichung wichtiger Datenschutztechnologien bietet eine SSE-Plattform eine bessere Sichtbarkeit und größere Einfachheit über alle Datenkanäle hinweg. Cloud DLP ermöglicht es, sensible Daten (z. B. personenbezogene Daten oder geistiges Eigentum) leicht zu finden, zu klassifizieren und zu sichern, um Compliance-Richtlinien zu unterstützen.
4. Flexibilität für zukünftige Einsatzszenarien
Es sollten SSE-Lösungen vermieden werden, die dem „One size fits all“-Ansatz folgen, da sich Unternehmen dadurch die Möglichkeit nehmen, das Security Service Edge Modell auch auf zukunftsträchtige Einsatzszenarien auszuweiten. Bei neu aufkommenden Trends im Umfeld von Edge Computing und 5G spielt die Möglichkeit eine Rolle, Anwendungen auch am Edge sicher zu betreiben und die Kommunikation der Datenströme unabhängig vom verwendeten Übertragungsmechanismus zu überwachen.
Unternehmen wollen die Sicherheitsfunktionen also auch an Orten einsetzen, die nicht immer in der Nähe des Internets liegen, und dabei dennoch die gleiche Kontrollfunktion ausüben können. Mit dem Fortschreiten der 5G-Verfügbakeit werden Anwendungen entstehen, die ihre über Sensoren in der Anwendung gesammelten Daten am Edge über den Funkstandard zur Weiterverarbeitung transportieren. Dementsprechend muss der SSE-Ansatz netzwerkunabhängig funktionieren und Edge Computing Funktionalität unterstützen, der schon heute in der Operational Technology oder in IoT-Umgebungen Einzug hält. Unternehmen sollten also Antworten auf die universelle Einsetzbarkeit der Sicherheit bekommen unter Berücksichtigung zukünftiger Einsatzszenarien.
5. Fokus auf die Anwendererfahrung
In Punkto Sicherheit sollte die Anwendererfahrung von Sicherheitslösungen immer im Mittelpunkt stehen, um auch auf breiter Front akzeptiert zu werden. Im Idealfall merkt der Anwender nichts von der Sicherheitslösung, die seine Datenströme schützt, so dass er in seiner Arbeit nicht beeinträchtigt wird oder durch manuelle Interaktion selbst eingreifen muss, wie das bei einer VPN-Lösung der Fall ist.
Benutzerfreundlichkeit bedeutet sicherzustellen, dass der Anwender beim Einsatz der SSE-Lösung eine nahtlose Erfahrung hat. Der Sicherheitsservice operiert unsichtbar im Hintergrund, ohne dass der Endnutzer weiß, auf welche Weise er geschützt ist. Entsprechen die Policies nicht den Anforderungen des Users, lassen sich diese von der IT-Abteilung nachjustieren. Eine Integration mit Partnern kann darüber hinaus, beispielsweise durch Digital Experience Monitoring auf Basis der Datenströme mit Collaboration Tools, wie Teams oder Zooms, für eine Verbesserung der Anwenderfreundlichkeit sorgen, da Engpässe schnell behoben werden können.
6. Integration mit einem Ökosystem an Partnern
Das Ökosystem der Partnerschaften mit Drittanbietern ist ein wichtiger Punkt für die SSE-Auswahl. Kein Anbieter ist in der Security-Landschaft an jeder Stelle so gut, dass er keine Partner benötigt, also zum Beispiel für die Cloud-Integration, AWS oder Azure, für Endpoint Detection, SD-WAN und vieles andere. Die Partner-Integration sollte in einem robusten, API-getriebenen Best-of-Breed-Ökosystem erfolgen, in dem die Partner ihr Know-how, ihre Erfahrung in spezifischen Bereichen einbringen, um auf eine Automatisierungsorchestrierung hinzuarbeiten. So leitet zum Beispiel der SD-WAN Partner den Datenverkehr an die Sicherheitsplattform weiter – und ist im traditionellen SASE-Rahmenwerk für die Anbindung zuständig.
7. Keine Anschaffung ohne umfangreiche Tests
Wer einen SSE-Service testen will, der sollte ihn in der Produktionsumgebung einem umfangreichen POC unterziehen. Ein Proof-of Concept mit einer eingeschränkten Anzahl an Usern oder Standorten gibt keinen Einblick in die Leistungsfähigkeit des Gesamtsystems und verschleiert eventuelle Limitierungen des Angebots oder Beschränkungen, die erst während der Implementierung im Backend zum Tragen kommen und das Deployment in die Länge ziehen. Gerade ein Test der TLS-Untersuchung ist ein Vorgang, der die Performanz des Systems offenlegt. Die Administration des Services sollte für die IT-Abteilung relativ einfach auf einer zentralen Benutzeroberfläche möglich sein. Es empfiehlt sich das Abarbeiten einer Checkliste zur Leistungsfähigkeit und Skalierbarkeit, um den gesamten Security Service Edge-Ansatz zu prüfen.
In der Cloud liegt die Zukunft
Somit wird klar, dass die Zeit der Rechenzentren als einzige Möglichkeit und als hauptsächliche Basis eines Firmennetzwerks zu Ende geht. Die Zukunft liegt in der Cloud, wie Zero Trust und SSE unterstreichen – und die hybride Arbeitswelt fordert. Wer daher die genannten sieben Faktoren bei der Auswahl der richtigen SSE-Lösung beachtet, kann sicherstellen, auf einen zukunftsfähigen und tragbaren Ansatz zu setzen, der die Anforderungen einer Fernarbeitswelt unterstützt.
Über den Autor: Nathan Howe ist Vice President of Emerging Technology bei Zscaler.
(ID:48093776)
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945914/original.jpg "Security Service Edge beschreibt den Security-Teil des Modells SASE. SSE kann jedoch auch alleinstehend umgesetzt werden. (Sikov - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1951800/1951811/original.jpg "Der Fokus des neuen Anbieters Skyhigh Security liegt auf Security Service Edge (SSE). (Skyhigh Security)")