:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Work-from-anywhere-WAN Wie SD-WAN die IoT- und Edge-Sicherheit revolutioniert
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Die Netzwerksicherheit stellt laufend neue Anforderungen an die Nutzer. Corona hat dies mehr als deutlich gemacht. Damit die Customer Journey beim Schutz vernetzter Geräte und Daten in einer Cloud-first-Umgebung nicht auf der Strecke bleibt, kommen SD-WAN und ein neuer Edge-to-Cloud-Ansatz für die Netzwerksicherheit ins Spiel.
Die Digitalisierung großer Teile der Wirtschaft und die vermehrte Nutzung von Home-Office haben die Sicherheit von Legacy-Netzwerken und Rechenzentren auf den Prüfstand gestellt und die Grenzen dieser Konzepte offenbart. Es war die Entwicklung zu beobachten, dass der Edge zum Schmelztiegel großer Datenmengen aus unterschiedlichen Quellen wurde und deren Schutz besonders sichergestellt werden muss. Unternehmen sind nun gut beraten, ihre Sicherheitslösungen auf Aktualität zu prüfen und gegebenenfalls neu aufzustellen. Damit die Customer Journey beim Schutz vernetzter Geräte und Daten in einer Cloud-first-Umgebung nicht auf der Strecke bleibt, kommen SD-WAN und ein neuer Edge-to-Cloud-Ansatz für die Netzwerksicherheit ins Spiel.
Netzwerksicherheit neu denken
Ein neuer Ansatzpunkt bei der Netzwerksicherheit besteht im sogenannten „Work-from-anywhere-WAN“. Dieses ist in den Mittelpunkt gerückt, als pandemiebedingt ein flexibler, ortsunabhängiger Zugriff auf Unternehmensdaten nötig war und durch Cloud- und SaaS-Anwendungen realisiert wurde. Der Einsatz einer modernen Sicherheitslösung darf nicht an bestimmte Orte gebunden sein und muss agentenlose Geräte mit einbeziehen, die mit internetbasierten Diensten interagieren. In diesem Zusammenhang ist es wichtig, dass IT-Verantwortliche neue, sicherheitstechnisch anspruchsvolle Lösungen schnell und unkompliziert in das bestehende Sicherheitskonzept integrieren können. Dazu ist es beispielsweise erforderlich, granulare Sicherheitsrichtlinien auf der Grundlage von Rollen durchzusetzen, die sich wiederum aus Parametern wie Anwendungstyp, Benutzer, Zeit, Standort und Gerät durchzusetzen.
Neue WAN- und Security-Dienste rasch einführen mit Zero-Touch-Provisioning
Für die Einführung neuer WAN- und Security-Dienste hat sich ein Automatisierungsprozess, das sogenannte Zero-Touch-Provisioning (ZTP) als hilfreich erwiesen. Es spart im Gegensatz zu traditionellen WAN-Modellen bei der Bereitstellung neuer Services bis zu drei Monate an Zeit ein. Mit ZTP werden Konfigurationen und Richtlinien einmal programmiert und dann an sämtliche Zweitstellen des Unternehmens übertragen. IT-Verantwortliche müssen nicht jedes Gerät einzeln programmieren. Wird eine neue Anwendung hinzugefügt, entfällt die Aufgabe, spezialisierte IT-Ressourcen an die einzelnen Unternehmensniederlassungen zu senden. Ergänzt mit Tools zur Problemlösung können IT-Abteilungen eine sichere Benutzererfahrung und einen unterbrechungsfreien Zugriff auf geschäftskritische Anwendungen gewährleisten. Daran anknüpfend gibt es noch weitere Aspekte, die für ein funktionierendes SD-WAN eine Rolle spielen – gerade im Hinblick auf gestiegene Datenmengen in der Cloud und am Edge.
Ein rollenbasierter Ansatz für optimierte Leistung und Sicherheit
Ein dynamisches Sicherheitsmandat stellt einen leitungsübergreifenden Schutz sicher – egal um welchen digitalen Touchpoint es sich handelt. Dazu ist ein rollenbasierter Ansatz zu etablieren, der Strategien in den Bereichen Sicherheit und Datenverkehr umfasst. Er hilft, durch die gezielte Auswahl des Geräte- beziehungsweise Zweigstellenzugangs Edge-Devices zu befähigen, den Datenverkehr automatisch mittels SD-WAN-Tunnel-Bonding und Pfadkonditionierung zu leiten.
Bei einem rollenorientierten Ansatz ist nicht die IP-Adresse, sondern die Benutzerrolle das Schlüsselattribut, um Authentifizierungsfaktoren abzufragen und Sicherheitsfeatures sowie Netzzugang bereitzustellen. Die Rolle ergibt sich aus dem Benutzernamen, der Gerätegruppe, dem Betriebssystem und gegebenenfalls einer eindeutigen MAC-Adresse, einschließlich seiner Position. Die Rolle wird in einem Policy Manager mit einer Zugangsrichtlinie verknüft. Darauf aufbauend wird ein Zero-Trust-Modell angewandt. Dieses stellt sicher, dass Benutzer und Geräte zunächst als nicht vertrauenswürdig eingestuft werden. Es spielt dabei keine Rolle, ob die Verbindung innerhalb oder außerhalb des traditionellen Sicherheitsbereichs zustande kommt. Erst wenn bei einem Verbindungswunsch die anfragende Rolle erkannt ist wird mit der verknüpften Zugangsrichtline die Verbindung entsprechend freigegeben. Ändern sich während der Nutzung einzelne Parameter, die eine Rolle definieren ergibt sich daraus eine neue Rolle, die wiederum mit einer weiteren Zugangsrichtlinie versehen einen anderen Zugang erhält oder, je nach Anwendungsfall gesperrt wird. Das kann in einem einfachen Beispiel die Tages- oder Arbeitszeit oder auch der Ort sein.
Außerdem gewährleistet dieses Modell, dass für Campus- oder Zweigstellennetzwerke die gleichen Steuermechanismen gelten wie für Remote-User und IoT-Geräte. Mithilfe von Geräte-Insights lassen sich alle mit dem Netzwerk verbundenen Geräte intelligent erfassen. Dadurch ist das gesamte Gerätespektrum im Netzwerk sichtbar. Dies ermöglicht eine einheitliche Richtlinie für das gesamte Netzwerk, die automatisiert sowohl im LAN/WLAN als auch im WAN durchgesetzt werden kann. So können Unternehmen davon ausgehen, dass Benutzer und Geräte nur mit Zielen oder Datensätzen kommunizieren können, die ihrer Rolle im Unternehmen zugeordnet sind.
Sicherheitsrichtlinien für die Cloud
IT-Sicherheitskonzepte für On-premises-Anwendungen und Cloud-Lösungen unterscheiden sich. On-premises-Lösungen werden gebündelt im lokalen Rechenzentrum eines Unternehmens gehostet. Es ist also die Errichtung einer zentralen Firewall möglich. Beim Cloud-Computing ist eine andere Herangehensweise erforderlich, da die Anwendungen dezentral gehostet werden. Hier helfen SD-WAN-Edge-Plattformen. Sie fangen Daten gleich am Edge ab, identifizieren und klassifizieren sie und halten die Informationen isoliert vom übrigen Datenverkehr im Netzwerk vor. In diesem Zuge lassen sich Sicherheitsrichtlinien automatisiert durchsetzen.
Die Sicherheitsrichtlinie einer Cloud-App könnte etwa wie folgt definiert werden:
- Vertrauenswürdigen SaaS-Traffic (Office 365, SAP, Oracle, Zoom) über das Internet direkt an die nächstgelegene SaaS-Instanz schicken.
- Daten aus Anwendungen wie Facebook und YouTube, die überwiegend im Privatbereich genutzt werden, an einen sicheren Web-Gateway-Dienst wie Zscaler, Netskope, McAfee oder Symantec senden zur Überprüfung.
- Nicht vertrauenswürdiger, verdächtiger oder unbekannter Datenverkehr geht zur weiteren Prüfung an einen regionalen Hub oder eine rechenzentrumsbasierte Next Generation Firewall.
Eine SD-WAN-Plattform gibt dem Anwender Möglichkeiten an die Hand, Sicherheitsfunktionen für neue Anwendungsfälle individuell zu implementieren – beispielsweise für den Remote-Zugriff auf die Edge oder die Verarbeitung von Daten von IoT-Geräten. Praxisbeispiele dazu gibt es viele: Angefangen bei Mitarbeitern, die vom Home-Office aus auf Unternehmensinformationen zugreifen, bis hin zu Überwachungskameras am Point-of-Sale einer Firma, die an das IoT angeschlossen sind. Ein virtuelles WAN-Overlay-Modell ermöglicht die Konfiguration und Durchsetzung einer End-to-End-Mikrosegmentierung, um differenzierte Sicherheitsrichtlinien und -steuerungen sicherzustellen. Dieses sorgt für eine Optimierung des Security-Levels, da Sicherheitsverstöße auf ein einzelnes Netzwerksegment beschränkt bleiben.
Verwaltung und Funktionalität von SD-WAN automatisieren
Die Entwicklung von einem fest installierten WAN zu einem Cloud-basierten WAN ist ein erster Schritt. Als nächstes spielt Künstliche Intelligenz gepaart mit Automatisierung eine tragende Rolle. Gewiss, die Cloud eröffnet Unternehmen die Möglichkeit einer einfachen und flexiblen WAN-Transformation. Doch damit ist das Entwicklungspotenzial noch nicht erschöpft. Zur Erfassung und Verwaltung großer Datenmengen ist ein zentrales, automatisiertes System nötig. Dieses trifft ohne menschliches Zutun Entscheidungen und erleichtert das Netzwerkmanagement.
Um die Notwendigkeit dieser Entwicklung deutlich zu machen, dient die Beschreibung eines Prozesses innerhalb einer traditioneller Sicherheitsarchitektur: In diesem Fall ist jede Sicherheitsrichtlinie und jede nachfolgende Änderung manuell zu konfigurieren und auf Gerätebasis zu verwalten. Dies zieht ein schwerfälliges Management nach sich und erhöht die Fehleranfälligkeit, da ein solches Vorgehen früher oder später zum Scheitern verurteilt ist. Bei verteilten und Cloud-basierten Anwendungen ist diese Problematik besonders ausgeprägt. Traditionelle, Router-zentrierte Sicherheitskonzepte erfordern, dass der gesamte Datenverkehr in der Cloud zum Sicherheitscheck durch das Rechenzentrum geleitet wird. Es liegt auf der Hand, dass manuelle Eingriffe diesen Prozess langwierig und kompliziert machen. Der Zeitaufwand für IT-Sicherheitsteams ist immens, wenn sie laufend Richtlinien auf den einzelnen Sicherheits-Appliances aktualisieren. SD-WANs schaffen hier mit KI und Automatisierung Abhilfe. Dabei erfolgt die Steuerung des freigegebenen Datenverkehrs durch eine Firewall; Daten werden an den Sicherheits-Stack des Rechenzentrums umgeleitet oder an einen anderen Anbieter ausgelagert. Die dynamische Zero-Trust-Segmentierung des Netzwerks und der Anwendung bilden mit rollenbasierten Richtlinien eine einheitliche und schnell einsetzbare Sicherheitslösung. Dies stellt einen enormen Vorteil gegenüber herkömmlichen und in Silos abgeschotteten Routern und Firewalls dar. Es ist eine Überprüfung des Traffics am Edge in Echtzeit möglich und die Integration von KI-gestütztem Betrieb (AIOps) sorgt für optimierte Effizienz.
Fazit
SD-WAN spielt eine immer größere Rolle in einer zukunftssicheren, vielschichtigen Netzwerk- und Sicherheitsstrategie. Es bietet eine flexible Lösung am Edge und in der Cloud sowie eine agile Segmentierung von Security-Services. Diese sind für Unternehmen absolut erforderlich, die bei ihrer digitalen Transformation auf die Multi-Cloud setzen. Da die Sicherheitsanforderungen für IoT steigen und die Fernarbeit zunimmt, wird SD-WAN unabdingbar, um moderne Konzepte für die Netzwerksicherheit über eine einzige Plattform zu verwalten.
Über den Autor: Simon Pamplin ist Chief Technologist WAN Edge EMEA bei Aruba Silver Peak.
(ID:47814348)
:quality(80)/p7i.vogel.de/wcms/2d/aa/2daa66a6752f16f5aeec0d56dd726939/0106733656.jpeg "Der Aufwand, den Unternehmen in puncto Security betreiben müssen, wird immer größer. VMware hat zur Hausmesse „VMware Explore 2022“ einiges, das Hilfe verspricht, im Köcher. (Bild: gemeinfrei: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/4c/1f/4c1f0b82cb0e5bf4cd1665022745b944/0106826840.jpeg "Im Gesundheitswesen steigt das Interesse am Aufbau einer SASE-Architektur. (Bild: © – Gorodenkoff – stock.adobe.com)")