:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
SASE – Secure Access Service Edge Umfassende Sicherheit vom Rechenzentrum bis zum Edge
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Die Netzwerksicherheit ist heute nicht mehr auf das Rechenzentrum beschränkt. Sie verlagert sich zunehmend in die Cloud. Damit kann das bewährte, Perimeter-basierte Sicherheitsmodell nicht mithalten. So müssen IT-Teams einen umfassenden Security-Ansatz finden – vom Rechenzentrum über Netzwerk und Cloud bis zum Edge.
Die Nutzung von Cloud-Anwendungen an allen Standorten ist heute zum Normalfall geworden. Nach Untersuchungen der Enterprise Strategy Group sagen 32 Prozent der Unternehmen, dass die Mehrzahl ihrer Anwendungen auf Basis von Software-as-a-Service (SaaS) funktioniert. Dieser Anteil wird in zwei Jahren auf 60 Prozent steigen.
Aufgrund der dadurch entstehenden Performance-Probleme an Niederlassungen und den hohen Kosten für die Datenübertragung ist das herkömmliche, zentralisierte Konzept nicht mehr ideal. Daher nutzen viele Unternehmen heute einen dezentralisierten Netzwerkansatz, um Kosten und die Performance an entfernten Standorten zu optimieren. Dies ermöglicht einen effizienteren direkten Internet-Zugang (DIA) für Zweigstellen, führt aber auch zu neuen Security-Problemen wie
- Lücken bei der Durchsetzung von Richtlinien: Zentralisierte Security-Richtlinien lassen sich in einem dezentralisierten Netzwerk nicht effektiv verwalten und durchsetzen. Denn der größte Teil des Datenverkehrs von Zweigstellen in die Cloud und das Internet läuft nicht über einen zentralen Punkt. Dies führt zu Transparenz-Lücken, die das Risiko durch erfolgreiche Angriffe oder Compliance-Verstößen erhöhen.
- Umfangreiche, komplexe Security-Tools: Sicherheitsteams haben bereits jetzt Mühe, Cybergefahren effektiv abzuwehren. Viele nutzen eine große Zahl von Einzellösungen, die schwer zu integrieren und zu verwalten sind. Diese Produkte erzeugen Tausende von Warnmeldungen, die aufgrund ihrer Menge nur teilweise beachtet werden.
Ausweg SASE-Konzept
Im Jahr 2019 veröffentlichte Gartner eine Studie mit dem Titel „The Future of Network Security is in the Cloud“. Sie entwickelte das Konzept Secure Access Service Edge (SASE), das noch mehr Sicherheitsfunktionen als ein Secure Internet Gateway besitzt. Die SASE-Architektur, wie sie auch von Cisco vorgelebt wird, kann neben Rechenzentrum und Netzwerk auch die Ränder von Cloud-, Rechenzentrums- und Zweigstellen-Netzwerken absichern. Zudem bietet sie über verschiedene Verbindungen hinweg eine sichere SD-WAN-Fabric. Die vier wichtigsten Merkmale dieses neuen Konzepts sind
- Identitäts-basiert: Die Gartner-Studie schlägt vor, dass „die digitale Transformation die Designmuster von Netzwerken und Security-Services umkehrt und den Schwerpunkt auf die Identität des Nutzers und/oder Geräts verlagert – statt auf das Rechenzentrum“. Dabei ist „die Identität des Nutzers/Geräts/Dienstes eines der wichtigsten Elemente des Kontextes, der in die verwendete Richtlinie einbezogen werden kann“.
- Cloud-native: Gartner sagt, dass moderne digitale Unternehmen „mehr sensible Daten außerhalb des Unternehmensrechenzentrums in Cloud-Diensten haben als innerhalb“. Außerdem ist dort „mehr Datenverkehr von Nutzern für Public-Cloud-Dienste bestimmt als für das Unternehmensrechenzentrum“.
- Edge Computing: Zur Unterstützung des SASE-Konzepts beschreibt die Studie eine „weltweite Fabric/Mesh von Netzwerk- und Netzwerksicherheitsfunktionen, die bei Bedarf eingesetzt werden können, um Einheiten mit Netzwerkfunktionen zu verbinden, auf die sie Zugriff benötigen“.
- Weltweit verteilt: Unternehmen sollten auch eine „intelligente Schaltzentrale“ einsetzen, in der „Identitäten über die weltweite Struktur sicherer Zugriffsmöglichkeiten des SASE-Anbieters mit vernetzten Funktionen verbunden werden“.
Zahlreiche Vorteile
Das SASE-Konzept konsolidiert eine große Anzahl von Netzwerk- und Sicherheitsfunktionen, die bislang von mehreren Einzellösungen bereitgestellt werden, in einer einzigen, vollständig integrierten Cloud-nativen Plattform. Zu den Vorteilen des SASE-Konzepts gehören
- Reduzierung von Kosten und Komplexität
- Sicherer Fern- und Mobil-Zugriff
- Latenzoptimiertes, richtlinienbasiertes Routing
- Sicherer nahtloser Zugang für Nutzer
- Verbesserte Sicherheit durch konsistente Richtlinien
- Aktualisierung von Richtlinien sowie des Schutzes vor Bedrohungen ohne Hardware- und Software-Upgrades
- Eingeschränkter Zugriff auf Basis von Nutzer-, Geräte- und Anwendungsidentität
- Höhere Effektivität der Netzwerk- und Security-Teams durch zentralisiertes Richtlinien-Management
Die Komponenten von SASE
Zu den wichtigsten Bestandteilen einer SASE-Lösung gehören
- SD-WAN (Software-Defined Wide Area Network): Damit können Unternehmen jede beliebige Kombination von Diensten zur Datenübertragung nutzen, wie MPLS, LTE, 5G und Breitbandverbindungen. Dabei lässt sich die effizienteste Kommunikationsmethode wählen, um Kosten zu senken und das Management zu vereinfachen.
- Sicherheit auf DNS-Ebene (Domain Name System): Die DNS-Auflösung ist der erste Schritt, wenn ein Nutzer auf eine Website oder einen anderen Dienst im Internet zugreifen möchte. Die Gewährleistung der Sicherheit auf DNS- und IP-Ebene – etwa durch Cisco Umbrella – ist daher die erste Abwehrmöglichkeit von Angriffen, bevor Nutzer mögliche Malware aufrufen.
- SWG (Secure Web Gateway): Ein Cloud-basierter Web-Proxy oder SWG bietet Malware-Erkennung, Datei-Sandboxing und dynamische Bedrohungserkennung, SSL-Entschlüsselung, Anwendungs- und Inhaltsfilterung sowie Data Loss Prevention.
- FWaaS (Firewall-as-a-Service): Die Cloud-basierte Bereitstellung von Firewall-Funktionalität dient zum Schutz des nicht webbasierten Internetverkehrs. Dazu gehören Sichtbarkeit und Kontrolle der Layer 3 und 4 (IP, Port und Protokoll) sowie Richtlinien für Layer 7 (Anwendungskontrolle) und IP-Anonymisierung.
- CASB (Cloud Access Security Broker): Ein CASB hilft bei der Kontrolle und Sicherung von Cloud-basierten SaaS-Lösungen. Damit können Unternehmen ihre Sicherheitsrichtlinien und Compliance-Vorschriften durchsetzen. CASBs ermöglichen über verschiedene Cloud-Plattformen hinweg Einblicke in Anwendungen und erkennen eine unerlaubte Nutzung. Sie entdecken automatisch die verwendeten Cloud-Apps und identifizieren gefährliche Anwendungen sowie weitere Risikofaktoren. In der Regel bieten sie DLP-Funktionalität sowie Warnmeldungen bei anormaler Benutzeraktivität, um interne und externe Bedrohungen abzuwehren.
- ZTNA (Zero Trust Network Access): Das von Forrester postulierte Security-Framework Zero Trust verfolgt einen Sicherheitsansatz nach dem Motto „niemals vertrauen, immer überprüfen“. ZTNA verifiziert Nutzer- und Geräte-Identitäten. Dadurch können Unternehmen unbefugten Zugriff verhindern, Vorfälle eindämmen und die Bewegung von Angriffen im Netzwerk einschränken. ZTNA erfordert daher einen starken, Cloud-basierten Ansatz zur Multi-Faktor-Authentifizierung, wie ihn beispielsweise Cisco Duo anbietet.
Das Zusammenspiel der Komponenten
Die verschiedenen Bestandteile einer SASE-Lösung können in der Regel nur dann optimal zusammenarbeiten, wenn sie aus einer Hand bereitgestellt werden. Dabei sollten sie eine Cloud-skalierte SD-WAN-Architektur nutzen, welche die komplexen Anforderungen moderner WANs in drei Bereichen erfüllt:
- Ständige Optimierung der Anwendungen, um eine vorhersagbare User Experience zu bieten, während sich die Apps weiterentwickeln.
- Sicherheit auf mehreren Ebenen, um flexibel die optimale Security-Lösung einzusetzen, ob on-Premises oder Cloud-basiert.
- Einfaches Management, das umfassende Richtlinien vom Nutzer bis zur Anwendung ermöglicht.
Dazu sollte sie Lösungen für die Mangement-, Orchestrierungs- und Steuerungsebene sowie für Edge-Router bieten. Auch eine ausfallsichere, performante Cloud-Infrastruktur ist wichtig. Mithilfe von Anycast-Routing lässt sich jedes Rechenzentrum eines Anbieters auf der ganzen Welt unter derselben IP-Adresse erreichen.
So werden Anfragen transparent an das nächstgelegene, schnellste Rechenzentrum gesendet, und ein Failover erfolgt automatisch. Dabei sollte die Infrastruktur mit weltweit führenden Internet Service Providern (ISPs), Content Delivery Networks (CDNs) und SaaS-Plattformen zusammenarbeiten, um für jede Anfrage die schnellste Route bereitzustellen. Dies gewährleistet hohe Geschwindigkeit, effektive Sicherheit und optimale Benutzerfreundlichkeit.
Über den Autor
Uwe Müller ist Architecture Lead Datacenter Sales and Presales bei Cisco.
(ID:46975063)
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945914/original.jpg "Security Service Edge beschreibt den Security-Teil des Modells SASE. SSE kann jedoch auch alleinstehend umgesetzt werden. (Sikov - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1881500/1881549/original.jpg "Tommy Grosche, Senior Channel Director Germany bei Fortinet, hält den hybriden SASE-Ansatz in der fertigenden Industrie für sinnvoller als das reine Cloud-Modell. (Fortinet)")