:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
SASE – Secure Access Service Edge Umfassende Sicherheit vom Rechenzentrum bis zum Edge
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Die Netzwerksicherheit ist heute nicht mehr auf das Rechenzentrum beschränkt. Sie verlagert sich zunehmend in die Cloud. Damit kann das bewährte, Perimeter-basierte Sicherheitsmodell nicht mithalten. So müssen IT-Teams einen umfassenden Security-Ansatz finden – vom Rechenzentrum über Netzwerk und Cloud bis zum Edge.
Die Nutzung von Cloud-Anwendungen an allen Standorten ist heute zum Normalfall geworden. Nach Untersuchungen der Enterprise Strategy Group sagen 32 Prozent der Unternehmen, dass die Mehrzahl ihrer Anwendungen auf Basis von Software-as-a-Service (SaaS) funktioniert. Dieser Anteil wird in zwei Jahren auf 60 Prozent steigen.
Aufgrund der dadurch entstehenden Performance-Probleme an Niederlassungen und den hohen Kosten für die Datenübertragung ist das herkömmliche, zentralisierte Konzept nicht mehr ideal. Daher nutzen viele Unternehmen heute einen dezentralisierten Netzwerkansatz, um Kosten und die Performance an entfernten Standorten zu optimieren. Dies ermöglicht einen effizienteren direkten Internet-Zugang (DIA) für Zweigstellen, führt aber auch zu neuen Security-Problemen wie
- Lücken bei der Durchsetzung von Richtlinien: Zentralisierte Security-Richtlinien lassen sich in einem dezentralisierten Netzwerk nicht effektiv verwalten und durchsetzen. Denn der größte Teil des Datenverkehrs von Zweigstellen in die Cloud und das Internet läuft nicht über einen zentralen Punkt. Dies führt zu Transparenz-Lücken, die das Risiko durch erfolgreiche Angriffe oder Compliance-Verstößen erhöhen.
- Umfangreiche, komplexe Security-Tools: Sicherheitsteams haben bereits jetzt Mühe, Cybergefahren effektiv abzuwehren. Viele nutzen eine große Zahl von Einzellösungen, die schwer zu integrieren und zu verwalten sind. Diese Produkte erzeugen Tausende von Warnmeldungen, die aufgrund ihrer Menge nur teilweise beachtet werden.
Ausweg SASE-Konzept
Im Jahr 2019 veröffentlichte Gartner eine Studie mit dem Titel „The Future of Network Security is in the Cloud“. Sie entwickelte das Konzept Secure Access Service Edge (SASE), das noch mehr Sicherheitsfunktionen als ein Secure Internet Gateway besitzt. Die SASE-Architektur, wie sie auch von Cisco vorgelebt wird, kann neben Rechenzentrum und Netzwerk auch die Ränder von Cloud-, Rechenzentrums- und Zweigstellen-Netzwerken absichern. Zudem bietet sie über verschiedene Verbindungen hinweg eine sichere SD-WAN-Fabric. Die vier wichtigsten Merkmale dieses neuen Konzepts sind
- Identitäts-basiert: Die Gartner-Studie schlägt vor, dass „die digitale Transformation die Designmuster von Netzwerken und Security-Services umkehrt und den Schwerpunkt auf die Identität des Nutzers und/oder Geräts verlagert – statt auf das Rechenzentrum“. Dabei ist „die Identität des Nutzers/Geräts/Dienstes eines der wichtigsten Elemente des Kontextes, der in die verwendete Richtlinie einbezogen werden kann“.
- Cloud-native: Gartner sagt, dass moderne digitale Unternehmen „mehr sensible Daten außerhalb des Unternehmensrechenzentrums in Cloud-Diensten haben als innerhalb“. Außerdem ist dort „mehr Datenverkehr von Nutzern für Public-Cloud-Dienste bestimmt als für das Unternehmensrechenzentrum“.
- Edge Computing: Zur Unterstützung des SASE-Konzepts beschreibt die Studie eine „weltweite Fabric/Mesh von Netzwerk- und Netzwerksicherheitsfunktionen, die bei Bedarf eingesetzt werden können, um Einheiten mit Netzwerkfunktionen zu verbinden, auf die sie Zugriff benötigen“.
- Weltweit verteilt: Unternehmen sollten auch eine „intelligente Schaltzentrale“ einsetzen, in der „Identitäten über die weltweite Struktur sicherer Zugriffsmöglichkeiten des SASE-Anbieters mit vernetzten Funktionen verbunden werden“.
Zahlreiche Vorteile
Das SASE-Konzept konsolidiert eine große Anzahl von Netzwerk- und Sicherheitsfunktionen, die bislang von mehreren Einzellösungen bereitgestellt werden, in einer einzigen, vollständig integrierten Cloud-nativen Plattform. Zu den Vorteilen des SASE-Konzepts gehören
- Reduzierung von Kosten und Komplexität
- Sicherer Fern- und Mobil-Zugriff
- Latenzoptimiertes, richtlinienbasiertes Routing
- Sicherer nahtloser Zugang für Nutzer
- Verbesserte Sicherheit durch konsistente Richtlinien
- Aktualisierung von Richtlinien sowie des Schutzes vor Bedrohungen ohne Hardware- und Software-Upgrades
- Eingeschränkter Zugriff auf Basis von Nutzer-, Geräte- und Anwendungsidentität
- Höhere Effektivität der Netzwerk- und Security-Teams durch zentralisiertes Richtlinien-Management
Die Komponenten von SASE
Zu den wichtigsten Bestandteilen einer SASE-Lösung gehören
- SD-WAN (Software-Defined Wide Area Network): Damit können Unternehmen jede beliebige Kombination von Diensten zur Datenübertragung nutzen, wie MPLS, LTE, 5G und Breitbandverbindungen. Dabei lässt sich die effizienteste Kommunikationsmethode wählen, um Kosten zu senken und das Management zu vereinfachen.
- Sicherheit auf DNS-Ebene (Domain Name System): Die DNS-Auflösung ist der erste Schritt, wenn ein Nutzer auf eine Website oder einen anderen Dienst im Internet zugreifen möchte. Die Gewährleistung der Sicherheit auf DNS- und IP-Ebene – etwa durch Cisco Umbrella – ist daher die erste Abwehrmöglichkeit von Angriffen, bevor Nutzer mögliche Malware aufrufen.
- SWG (Secure Web Gateway): Ein Cloud-basierter Web-Proxy oder SWG bietet Malware-Erkennung, Datei-Sandboxing und dynamische Bedrohungserkennung, SSL-Entschlüsselung, Anwendungs- und Inhaltsfilterung sowie Data Loss Prevention.
- FWaaS (Firewall-as-a-Service): Die Cloud-basierte Bereitstellung von Firewall-Funktionalität dient zum Schutz des nicht webbasierten Internetverkehrs. Dazu gehören Sichtbarkeit und Kontrolle der Layer 3 und 4 (IP, Port und Protokoll) sowie Richtlinien für Layer 7 (Anwendungskontrolle) und IP-Anonymisierung.
- CASB (Cloud Access Security Broker): Ein CASB hilft bei der Kontrolle und Sicherung von Cloud-basierten SaaS-Lösungen. Damit können Unternehmen ihre Sicherheitsrichtlinien und Compliance-Vorschriften durchsetzen. CASBs ermöglichen über verschiedene Cloud-Plattformen hinweg Einblicke in Anwendungen und erkennen eine unerlaubte Nutzung. Sie entdecken automatisch die verwendeten Cloud-Apps und identifizieren gefährliche Anwendungen sowie weitere Risikofaktoren. In der Regel bieten sie DLP-Funktionalität sowie Warnmeldungen bei anormaler Benutzeraktivität, um interne und externe Bedrohungen abzuwehren.
- ZTNA (Zero Trust Network Access): Das von Forrester postulierte Security-Framework Zero Trust verfolgt einen Sicherheitsansatz nach dem Motto „niemals vertrauen, immer überprüfen“. ZTNA verifiziert Nutzer- und Geräte-Identitäten. Dadurch können Unternehmen unbefugten Zugriff verhindern, Vorfälle eindämmen und die Bewegung von Angriffen im Netzwerk einschränken. ZTNA erfordert daher einen starken, Cloud-basierten Ansatz zur Multi-Faktor-Authentifizierung, wie ihn beispielsweise Cisco Duo anbietet.
Das Zusammenspiel der Komponenten
Die verschiedenen Bestandteile einer SASE-Lösung können in der Regel nur dann optimal zusammenarbeiten, wenn sie aus einer Hand bereitgestellt werden. Dabei sollten sie eine Cloud-skalierte SD-WAN-Architektur nutzen, welche die komplexen Anforderungen moderner WANs in drei Bereichen erfüllt:
- Ständige Optimierung der Anwendungen, um eine vorhersagbare User Experience zu bieten, während sich die Apps weiterentwickeln.
- Sicherheit auf mehreren Ebenen, um flexibel die optimale Security-Lösung einzusetzen, ob on-Premises oder Cloud-basiert.
- Einfaches Management, das umfassende Richtlinien vom Nutzer bis zur Anwendung ermöglicht.
Dazu sollte sie Lösungen für die Mangement-, Orchestrierungs- und Steuerungsebene sowie für Edge-Router bieten. Auch eine ausfallsichere, performante Cloud-Infrastruktur ist wichtig. Mithilfe von Anycast-Routing lässt sich jedes Rechenzentrum eines Anbieters auf der ganzen Welt unter derselben IP-Adresse erreichen.
So werden Anfragen transparent an das nächstgelegene, schnellste Rechenzentrum gesendet, und ein Failover erfolgt automatisch. Dabei sollte die Infrastruktur mit weltweit führenden Internet Service Providern (ISPs), Content Delivery Networks (CDNs) und SaaS-Plattformen zusammenarbeiten, um für jede Anfrage die schnellste Route bereitzustellen. Dies gewährleistet hohe Geschwindigkeit, effektive Sicherheit und optimale Benutzerfreundlichkeit.
Über den Autor
Uwe Müller ist Architecture Lead Datacenter Sales and Presales bei Cisco.
(ID:46975063)
:quality(80)/p7i.vogel.de/wcms/60/aa/60aa661f246599ea7d0aed1f005bb35f/0108838541.jpeg "SASE bietet eine effektive Methode, um sicherzustellen, dass Mitarbeitende auf die von ihnen benötigten Ressourcen Zugriff haben, während das Netzwerk gleichzeitig vor Cyberangriffen geschützt wird. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/c8/d9c886ebee66a8cfdf77c246511a4872/0103881735.jpeg "Die Konvergenz von Netzwerk und Sicherheit ist eine grundlegende Voraussetzung, um das SASE-Versprechen einzulösen. (Bild: sdecoret - stock.adobe.com)")