:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Work-from-anywhere-WAN Wie SD-WAN die IoT- und Edge-Sicherheit revolutioniert
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Die Netzwerksicherheit stellt laufend neue Anforderungen an die Nutzer. Corona hat dies mehr als deutlich gemacht. Damit die Customer Journey beim Schutz vernetzter Geräte und Daten in einer Cloud-first-Umgebung nicht auf der Strecke bleibt, kommen SD-WAN und ein neuer Edge-to-Cloud-Ansatz für die Netzwerksicherheit ins Spiel.
Die Digitalisierung großer Teile der Wirtschaft und die vermehrte Nutzung von Home-Office haben die Sicherheit von Legacy-Netzwerken und Rechenzentren auf den Prüfstand gestellt und die Grenzen dieser Konzepte offenbart. Es war die Entwicklung zu beobachten, dass der Edge zum Schmelztiegel großer Datenmengen aus unterschiedlichen Quellen wurde und deren Schutz besonders sichergestellt werden muss. Unternehmen sind nun gut beraten, ihre Sicherheitslösungen auf Aktualität zu prüfen und gegebenenfalls neu aufzustellen. Damit die Customer Journey beim Schutz vernetzter Geräte und Daten in einer Cloud-first-Umgebung nicht auf der Strecke bleibt, kommen SD-WAN und ein neuer Edge-to-Cloud-Ansatz für die Netzwerksicherheit ins Spiel.
Netzwerksicherheit neu denken
Ein neuer Ansatzpunkt bei der Netzwerksicherheit besteht im sogenannten „Work-from-anywhere-WAN“. Dieses ist in den Mittelpunkt gerückt, als pandemiebedingt ein flexibler, ortsunabhängiger Zugriff auf Unternehmensdaten nötig war und durch Cloud- und SaaS-Anwendungen realisiert wurde. Der Einsatz einer modernen Sicherheitslösung darf nicht an bestimmte Orte gebunden sein und muss agentenlose Geräte mit einbeziehen, die mit internetbasierten Diensten interagieren. In diesem Zusammenhang ist es wichtig, dass IT-Verantwortliche neue, sicherheitstechnisch anspruchsvolle Lösungen schnell und unkompliziert in das bestehende Sicherheitskonzept integrieren können. Dazu ist es beispielsweise erforderlich, granulare Sicherheitsrichtlinien auf der Grundlage von Rollen durchzusetzen, die sich wiederum aus Parametern wie Anwendungstyp, Benutzer, Zeit, Standort und Gerät durchzusetzen.
Neue WAN- und Security-Dienste rasch einführen mit Zero-Touch-Provisioning
Für die Einführung neuer WAN- und Security-Dienste hat sich ein Automatisierungsprozess, das sogenannte Zero-Touch-Provisioning (ZTP) als hilfreich erwiesen. Es spart im Gegensatz zu traditionellen WAN-Modellen bei der Bereitstellung neuer Services bis zu drei Monate an Zeit ein. Mit ZTP werden Konfigurationen und Richtlinien einmal programmiert und dann an sämtliche Zweitstellen des Unternehmens übertragen. IT-Verantwortliche müssen nicht jedes Gerät einzeln programmieren. Wird eine neue Anwendung hinzugefügt, entfällt die Aufgabe, spezialisierte IT-Ressourcen an die einzelnen Unternehmensniederlassungen zu senden. Ergänzt mit Tools zur Problemlösung können IT-Abteilungen eine sichere Benutzererfahrung und einen unterbrechungsfreien Zugriff auf geschäftskritische Anwendungen gewährleisten. Daran anknüpfend gibt es noch weitere Aspekte, die für ein funktionierendes SD-WAN eine Rolle spielen – gerade im Hinblick auf gestiegene Datenmengen in der Cloud und am Edge.
Ein rollenbasierter Ansatz für optimierte Leistung und Sicherheit
Ein dynamisches Sicherheitsmandat stellt einen leitungsübergreifenden Schutz sicher – egal um welchen digitalen Touchpoint es sich handelt. Dazu ist ein rollenbasierter Ansatz zu etablieren, der Strategien in den Bereichen Sicherheit und Datenverkehr umfasst. Er hilft, durch die gezielte Auswahl des Geräte- beziehungsweise Zweigstellenzugangs Edge-Devices zu befähigen, den Datenverkehr automatisch mittels SD-WAN-Tunnel-Bonding und Pfadkonditionierung zu leiten.
Bei einem rollenorientierten Ansatz ist nicht die IP-Adresse, sondern die Benutzerrolle das Schlüsselattribut, um Authentifizierungsfaktoren abzufragen und Sicherheitsfeatures sowie Netzzugang bereitzustellen. Die Rolle ergibt sich aus dem Benutzernamen, der Gerätegruppe, dem Betriebssystem und gegebenenfalls einer eindeutigen MAC-Adresse, einschließlich seiner Position. Die Rolle wird in einem Policy Manager mit einer Zugangsrichtlinie verknüft. Darauf aufbauend wird ein Zero-Trust-Modell angewandt. Dieses stellt sicher, dass Benutzer und Geräte zunächst als nicht vertrauenswürdig eingestuft werden. Es spielt dabei keine Rolle, ob die Verbindung innerhalb oder außerhalb des traditionellen Sicherheitsbereichs zustande kommt. Erst wenn bei einem Verbindungswunsch die anfragende Rolle erkannt ist wird mit der verknüpften Zugangsrichtline die Verbindung entsprechend freigegeben. Ändern sich während der Nutzung einzelne Parameter, die eine Rolle definieren ergibt sich daraus eine neue Rolle, die wiederum mit einer weiteren Zugangsrichtlinie versehen einen anderen Zugang erhält oder, je nach Anwendungsfall gesperrt wird. Das kann in einem einfachen Beispiel die Tages- oder Arbeitszeit oder auch der Ort sein.
Außerdem gewährleistet dieses Modell, dass für Campus- oder Zweigstellennetzwerke die gleichen Steuermechanismen gelten wie für Remote-User und IoT-Geräte. Mithilfe von Geräte-Insights lassen sich alle mit dem Netzwerk verbundenen Geräte intelligent erfassen. Dadurch ist das gesamte Gerätespektrum im Netzwerk sichtbar. Dies ermöglicht eine einheitliche Richtlinie für das gesamte Netzwerk, die automatisiert sowohl im LAN/WLAN als auch im WAN durchgesetzt werden kann. So können Unternehmen davon ausgehen, dass Benutzer und Geräte nur mit Zielen oder Datensätzen kommunizieren können, die ihrer Rolle im Unternehmen zugeordnet sind.
Sicherheitsrichtlinien für die Cloud
IT-Sicherheitskonzepte für On-premises-Anwendungen und Cloud-Lösungen unterscheiden sich. On-premises-Lösungen werden gebündelt im lokalen Rechenzentrum eines Unternehmens gehostet. Es ist also die Errichtung einer zentralen Firewall möglich. Beim Cloud-Computing ist eine andere Herangehensweise erforderlich, da die Anwendungen dezentral gehostet werden. Hier helfen SD-WAN-Edge-Plattformen. Sie fangen Daten gleich am Edge ab, identifizieren und klassifizieren sie und halten die Informationen isoliert vom übrigen Datenverkehr im Netzwerk vor. In diesem Zuge lassen sich Sicherheitsrichtlinien automatisiert durchsetzen.
Die Sicherheitsrichtlinie einer Cloud-App könnte etwa wie folgt definiert werden:
- Vertrauenswürdigen SaaS-Traffic (Office 365, SAP, Oracle, Zoom) über das Internet direkt an die nächstgelegene SaaS-Instanz schicken.
- Daten aus Anwendungen wie Facebook und YouTube, die überwiegend im Privatbereich genutzt werden, an einen sicheren Web-Gateway-Dienst wie Zscaler, Netskope, McAfee oder Symantec senden zur Überprüfung.
- Nicht vertrauenswürdiger, verdächtiger oder unbekannter Datenverkehr geht zur weiteren Prüfung an einen regionalen Hub oder eine rechenzentrumsbasierte Next Generation Firewall.
Eine SD-WAN-Plattform gibt dem Anwender Möglichkeiten an die Hand, Sicherheitsfunktionen für neue Anwendungsfälle individuell zu implementieren – beispielsweise für den Remote-Zugriff auf die Edge oder die Verarbeitung von Daten von IoT-Geräten. Praxisbeispiele dazu gibt es viele: Angefangen bei Mitarbeitern, die vom Home-Office aus auf Unternehmensinformationen zugreifen, bis hin zu Überwachungskameras am Point-of-Sale einer Firma, die an das IoT angeschlossen sind. Ein virtuelles WAN-Overlay-Modell ermöglicht die Konfiguration und Durchsetzung einer End-to-End-Mikrosegmentierung, um differenzierte Sicherheitsrichtlinien und -steuerungen sicherzustellen. Dieses sorgt für eine Optimierung des Security-Levels, da Sicherheitsverstöße auf ein einzelnes Netzwerksegment beschränkt bleiben.
Verwaltung und Funktionalität von SD-WAN automatisieren
Die Entwicklung von einem fest installierten WAN zu einem Cloud-basierten WAN ist ein erster Schritt. Als nächstes spielt Künstliche Intelligenz gepaart mit Automatisierung eine tragende Rolle. Gewiss, die Cloud eröffnet Unternehmen die Möglichkeit einer einfachen und flexiblen WAN-Transformation. Doch damit ist das Entwicklungspotenzial noch nicht erschöpft. Zur Erfassung und Verwaltung großer Datenmengen ist ein zentrales, automatisiertes System nötig. Dieses trifft ohne menschliches Zutun Entscheidungen und erleichtert das Netzwerkmanagement.
Um die Notwendigkeit dieser Entwicklung deutlich zu machen, dient die Beschreibung eines Prozesses innerhalb einer traditioneller Sicherheitsarchitektur: In diesem Fall ist jede Sicherheitsrichtlinie und jede nachfolgende Änderung manuell zu konfigurieren und auf Gerätebasis zu verwalten. Dies zieht ein schwerfälliges Management nach sich und erhöht die Fehleranfälligkeit, da ein solches Vorgehen früher oder später zum Scheitern verurteilt ist. Bei verteilten und Cloud-basierten Anwendungen ist diese Problematik besonders ausgeprägt. Traditionelle, Router-zentrierte Sicherheitskonzepte erfordern, dass der gesamte Datenverkehr in der Cloud zum Sicherheitscheck durch das Rechenzentrum geleitet wird. Es liegt auf der Hand, dass manuelle Eingriffe diesen Prozess langwierig und kompliziert machen. Der Zeitaufwand für IT-Sicherheitsteams ist immens, wenn sie laufend Richtlinien auf den einzelnen Sicherheits-Appliances aktualisieren. SD-WANs schaffen hier mit KI und Automatisierung Abhilfe. Dabei erfolgt die Steuerung des freigegebenen Datenverkehrs durch eine Firewall; Daten werden an den Sicherheits-Stack des Rechenzentrums umgeleitet oder an einen anderen Anbieter ausgelagert. Die dynamische Zero-Trust-Segmentierung des Netzwerks und der Anwendung bilden mit rollenbasierten Richtlinien eine einheitliche und schnell einsetzbare Sicherheitslösung. Dies stellt einen enormen Vorteil gegenüber herkömmlichen und in Silos abgeschotteten Routern und Firewalls dar. Es ist eine Überprüfung des Traffics am Edge in Echtzeit möglich und die Integration von KI-gestütztem Betrieb (AIOps) sorgt für optimierte Effizienz.
Fazit
SD-WAN spielt eine immer größere Rolle in einer zukunftssicheren, vielschichtigen Netzwerk- und Sicherheitsstrategie. Es bietet eine flexible Lösung am Edge und in der Cloud sowie eine agile Segmentierung von Security-Services. Diese sind für Unternehmen absolut erforderlich, die bei ihrer digitalen Transformation auf die Multi-Cloud setzen. Da die Sicherheitsanforderungen für IoT steigen und die Fernarbeit zunimmt, wird SD-WAN unabdingbar, um moderne Konzepte für die Netzwerksicherheit über eine einzige Plattform zu verwalten.
Über den Autor: Simon Pamplin ist Chief Technologist WAN Edge EMEA bei Aruba Silver Peak.
(ID:47814348)
:quality(80)/images.vogel.de/vogelonline/bdb/1942600/1942654/original.jpg "Die Zukunft der Unternehmens-IT liegt in der Cloud, wie Zero Trust und SSE unterstreichen und die hybride Arbeitswelt fordert. (thodonal - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1942400/1942450/original.jpg "Die Kooperation von Palo Alto Networks und IBM soll zu einer KI-gestützten Sicherheitsautomatisierung für 5G-Netzwerke führen. (© – Yingyaipumi – stock.adobe.com)")