:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition Software-Defined Perimeter (SDP) Was ist Software-Defined Perimeter (SDP)?
Software-Defined Perimeter ist ein Sicherheitskonzept und technischer Ansatz. Mit dem Internet verbundene Geräte, Server, Anwender oder Infrastrukturkomponenten sind netztechnisch verborgen und für Angreifer von außen unsichtbar. Autorisierte Benutzer erhalten nur Zugriff auf definierte Ressourcen und nicht wie bei einem VPN auf Netzwerke. SDP-Realisierungen werden auch als Black Cloud bezeichnet und sorgen für eine umfassende Sicherheit.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
SDP ist die Abkürzung für Software-Defined Perimeter. Es handelt sich um ein von der Cloud Security Alliance (CSA) entwickeltes Sicherheitskonzept. Eine oft verwendete alternative Bezeichnung für eine mit SDP geschützte Umgebung ist Black Cloud. Software-Defined Perimeter stellt eine umfassende Sicherheit für Cloud-Umgebungen, Rechenzentren, Server und IT-Systeme her, indem die IT-Infrastruktur und die netztechnische Anbindung der Systeme verborgen werden. Die Systeme sind nicht per Hardware und Netzwerktechnik abgegrenzt, sondern durch einen Softwareansatz gesichert. Nur zuvor authentifizierte und autorisierte Nutzer oder Geräte erhalten Zugriff auf die gewünschten Services.
Im Gegensatz zu einem Virtual Private Network werden aber nicht Netzwerkverbindungen freigeschaltet. Der Anwender oder das Gerät kann explizit nur die für ihn freigegebenen Services nutzen. Für Angreifer sind die verfügbaren Services unsichtbar und dadurch nicht angreifbar. Software-Defined Perimeter ist eine praktische Umsetzung des Zero-Trust-Modells, das ohne Authentifizierung grundsätzlich keinem Gerät, Anwender oder Service vertraut. Zahlreiche Unternehmen wie Citrix oder Pulse Secure bieten SDP-Lösungen und -Produkte an.
Funktionsweise von SDP
Bevor irgendeine Art von Verbindung zu einem Service hergestellt werden kann, ist eine Authentifizierung und Autorisierung notwendig. Sie basiert auf mehreren Faktoren und prüft die Identität der User und/oder Geräte. Der SDP-Controller steuert, welche authentifizierten Anwender, Geräte und Server kommunizieren dürfen. Die Informationen teilt der Controller dem SDP-Gateway mit, das den eigentlichen Zugriff realisiert. Das Gateway terminiert die Verbindungen der Anwender und Services. Es schaltet die sichere Verbindung eines Anwenders für den Zugriff auf eine sichere Verbindung eines Services frei. Die hergestellte Verbindung ist exklusiv und erlaubt keine Nutzung weiterer Services. Sämtlicher Netzwerkverkehr ist verschlüsselt.
Die verschiedenen SDP-Deployment-Modelle
Software-Defined Perimeter kennt abhängig von den Kommunikationsbeziehungen zwischen den Anwendern, Servern und Gateways verschiedene Deployment-Modelle. Typische Deployment-Modelle sind:
- das Client-to-Gateway-Modell - Server sind für den Zugriff der Clients hinter einem Gateway platziert
- das Client-to-Server-Modell - eine SDP-Komponente direkt auf dem Server steuert den Zugriff der Clients
- das Server-to-Server-Modell - per SDP geschützte Server kommunizieren über ein Application Programming Interface (API)
- das Client-to-Server-to-Client-Modell - zwischen Clients wird eine SDP geschützte Peer-to-Peer-Kommunikation (P2P) ermöglicht
Abgrenzung von Software-Defined Perimeter und Virtual Private Network
In einem Virtual Private Network (VPN) sind die Kommunikationsteilnehmer wie Server und Clients in einem geschützten, verschlüsselten Netzwerk miteinander verbunden. Die Teilnehmer eines VPNs erhalten untereinander netzwerktechnischen Zugriff. Es findet seitens des VPNs keine weitere Kontrolle auf Applikationsebene statt. Die im VPN freigeschalteten Netzwerkressourcen sind für alle Teilnehmer sichtbar und angreifbar. Einem Angreifer mit Zugang zum VPN bietet sich eine große Angriffsfläche. Ein SDP hingegen verbirgt die netztechnische Anbindung und macht sie für Angreifer unsichtbar. Authentifizierte und autorisierte Nutzer erhalten nur Zugriff auf einzelne Services, ohne dass die dahinter verborgene Netzinfrastruktur preisgegeben wird.
Vorteile von Software-Defined Perimeter
Vorteile von SDP sind:
- Reduzierung der Angriffsfläche durch Verbergen der Netzinfrastruktur
- Zugriff nur auf einzelne Services und nicht auf komplette Netzwerke
- Umsetzung des Zero-Trust-Modells
- sichere Authentifizierung und Autorisierung von Anwendern, Geräten und Services
- geeignet für On-Premises-Systeme, Cloud-Umgebungen und IoT-Geräte
- größere Widerstandsfähigkeit gegenüber Angriffsszenarien wie Distributed Denial of Service (DDoS), Ransomware, Rechteausweitung, Cross-Site-Scripting (XSS) etc.
(ID:47018966)
:quality(80)/p7i.vogel.de/wcms/f7/6b/f76bad138fe92b08347abc030ba9b460/0104986873.jpeg "Die gewählte VPN-Lösung bestimmt, wie hoch das Maß an Privatsphäre und Sicherheit ausfällt. (Bild: © – WrightStudio – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/c8/d9c886ebee66a8cfdf77c246511a4872/0103881735.jpeg "Die Konvergenz von Netzwerk und Sicherheit ist eine grundlegende Voraussetzung, um das SASE-Versprechen einzulösen. (Bild: sdecoret - stock.adobe.com)")