:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Work-from-anywhere-WAN Wie SD-WAN die IoT- und Edge-Sicherheit revolutioniert
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5e/af/5eaffc9135b35/se-insider-logo-2019.png "SE_Insider-Logo_2019.png (Vogel IT-Medien)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Die Netzwerksicherheit stellt laufend neue Anforderungen an die Nutzer. Corona hat dies mehr als deutlich gemacht. Damit die Customer Journey beim Schutz vernetzter Geräte und Daten in einer Cloud-first-Umgebung nicht auf der Strecke bleibt, kommen SD-WAN und ein neuer Edge-to-Cloud-Ansatz für die Netzwerksicherheit ins Spiel.
Die Digitalisierung großer Teile der Wirtschaft und die vermehrte Nutzung von Home-Office haben die Sicherheit von Legacy-Netzwerken und Rechenzentren auf den Prüfstand gestellt und die Grenzen dieser Konzepte offenbart. Es war die Entwicklung zu beobachten, dass der Edge zum Schmelztiegel großer Datenmengen aus unterschiedlichen Quellen wurde und deren Schutz besonders sichergestellt werden muss. Unternehmen sind nun gut beraten, ihre Sicherheitslösungen auf Aktualität zu prüfen und gegebenenfalls neu aufzustellen. Damit die Customer Journey beim Schutz vernetzter Geräte und Daten in einer Cloud-first-Umgebung nicht auf der Strecke bleibt, kommen SD-WAN und ein neuer Edge-to-Cloud-Ansatz für die Netzwerksicherheit ins Spiel.
Netzwerksicherheit neu denken
Ein neuer Ansatzpunkt bei der Netzwerksicherheit besteht im sogenannten „Work-from-anywhere-WAN“. Dieses ist in den Mittelpunkt gerückt, als pandemiebedingt ein flexibler, ortsunabhängiger Zugriff auf Unternehmensdaten nötig war und durch Cloud- und SaaS-Anwendungen realisiert wurde. Der Einsatz einer modernen Sicherheitslösung darf nicht an bestimmte Orte gebunden sein und muss agentenlose Geräte mit einbeziehen, die mit internetbasierten Diensten interagieren. In diesem Zusammenhang ist es wichtig, dass IT-Verantwortliche neue, sicherheitstechnisch anspruchsvolle Lösungen schnell und unkompliziert in das bestehende Sicherheitskonzept integrieren können. Dazu ist es beispielsweise erforderlich, granulare Sicherheitsrichtlinien auf der Grundlage von Rollen durchzusetzen, die sich wiederum aus Parametern wie Anwendungstyp, Benutzer, Zeit, Standort und Gerät durchzusetzen.
Neue WAN- und Security-Dienste rasch einführen mit Zero-Touch-Provisioning
Für die Einführung neuer WAN- und Security-Dienste hat sich ein Automatisierungsprozess, das sogenannte Zero-Touch-Provisioning (ZTP) als hilfreich erwiesen. Es spart im Gegensatz zu traditionellen WAN-Modellen bei der Bereitstellung neuer Services bis zu drei Monate an Zeit ein. Mit ZTP werden Konfigurationen und Richtlinien einmal programmiert und dann an sämtliche Zweitstellen des Unternehmens übertragen. IT-Verantwortliche müssen nicht jedes Gerät einzeln programmieren. Wird eine neue Anwendung hinzugefügt, entfällt die Aufgabe, spezialisierte IT-Ressourcen an die einzelnen Unternehmensniederlassungen zu senden. Ergänzt mit Tools zur Problemlösung können IT-Abteilungen eine sichere Benutzererfahrung und einen unterbrechungsfreien Zugriff auf geschäftskritische Anwendungen gewährleisten. Daran anknüpfend gibt es noch weitere Aspekte, die für ein funktionierendes SD-WAN eine Rolle spielen – gerade im Hinblick auf gestiegene Datenmengen in der Cloud und am Edge.
Ein rollenbasierter Ansatz für optimierte Leistung und Sicherheit
Ein dynamisches Sicherheitsmandat stellt einen leitungsübergreifenden Schutz sicher – egal um welchen digitalen Touchpoint es sich handelt. Dazu ist ein rollenbasierter Ansatz zu etablieren, der Strategien in den Bereichen Sicherheit und Datenverkehr umfasst. Er hilft, durch die gezielte Auswahl des Geräte- beziehungsweise Zweigstellenzugangs Edge-Devices zu befähigen, den Datenverkehr automatisch mittels SD-WAN-Tunnel-Bonding und Pfadkonditionierung zu leiten.
Bei einem rollenorientierten Ansatz ist nicht die IP-Adresse, sondern die Benutzerrolle das Schlüsselattribut, um Authentifizierungsfaktoren abzufragen und Sicherheitsfeatures sowie Netzzugang bereitzustellen. Die Rolle ergibt sich aus dem Benutzernamen, der Gerätegruppe, dem Betriebssystem und gegebenenfalls einer eindeutigen MAC-Adresse, einschließlich seiner Position. Die Rolle wird in einem Policy Manager mit einer Zugangsrichtlinie verknüft. Darauf aufbauend wird ein Zero-Trust-Modell angewandt. Dieses stellt sicher, dass Benutzer und Geräte zunächst als nicht vertrauenswürdig eingestuft werden. Es spielt dabei keine Rolle, ob die Verbindung innerhalb oder außerhalb des traditionellen Sicherheitsbereichs zustande kommt. Erst wenn bei einem Verbindungswunsch die anfragende Rolle erkannt ist wird mit der verknüpften Zugangsrichtline die Verbindung entsprechend freigegeben. Ändern sich während der Nutzung einzelne Parameter, die eine Rolle definieren ergibt sich daraus eine neue Rolle, die wiederum mit einer weiteren Zugangsrichtlinie versehen einen anderen Zugang erhält oder, je nach Anwendungsfall gesperrt wird. Das kann in einem einfachen Beispiel die Tages- oder Arbeitszeit oder auch der Ort sein.
Außerdem gewährleistet dieses Modell, dass für Campus- oder Zweigstellennetzwerke die gleichen Steuermechanismen gelten wie für Remote-User und IoT-Geräte. Mithilfe von Geräte-Insights lassen sich alle mit dem Netzwerk verbundenen Geräte intelligent erfassen. Dadurch ist das gesamte Gerätespektrum im Netzwerk sichtbar. Dies ermöglicht eine einheitliche Richtlinie für das gesamte Netzwerk, die automatisiert sowohl im LAN/WLAN als auch im WAN durchgesetzt werden kann. So können Unternehmen davon ausgehen, dass Benutzer und Geräte nur mit Zielen oder Datensätzen kommunizieren können, die ihrer Rolle im Unternehmen zugeordnet sind.
Sicherheitsrichtlinien für die Cloud
IT-Sicherheitskonzepte für On-premises-Anwendungen und Cloud-Lösungen unterscheiden sich. On-premises-Lösungen werden gebündelt im lokalen Rechenzentrum eines Unternehmens gehostet. Es ist also die Errichtung einer zentralen Firewall möglich. Beim Cloud-Computing ist eine andere Herangehensweise erforderlich, da die Anwendungen dezentral gehostet werden. Hier helfen SD-WAN-Edge-Plattformen. Sie fangen Daten gleich am Edge ab, identifizieren und klassifizieren sie und halten die Informationen isoliert vom übrigen Datenverkehr im Netzwerk vor. In diesem Zuge lassen sich Sicherheitsrichtlinien automatisiert durchsetzen.
Die Sicherheitsrichtlinie einer Cloud-App könnte etwa wie folgt definiert werden:
- Vertrauenswürdigen SaaS-Traffic (Office 365, SAP, Oracle, Zoom) über das Internet direkt an die nächstgelegene SaaS-Instanz schicken.
- Daten aus Anwendungen wie Facebook und YouTube, die überwiegend im Privatbereich genutzt werden, an einen sicheren Web-Gateway-Dienst wie Zscaler, Netskope, McAfee oder Symantec senden zur Überprüfung.
- Nicht vertrauenswürdiger, verdächtiger oder unbekannter Datenverkehr geht zur weiteren Prüfung an einen regionalen Hub oder eine rechenzentrumsbasierte Next Generation Firewall.
Eine SD-WAN-Plattform gibt dem Anwender Möglichkeiten an die Hand, Sicherheitsfunktionen für neue Anwendungsfälle individuell zu implementieren – beispielsweise für den Remote-Zugriff auf die Edge oder die Verarbeitung von Daten von IoT-Geräten. Praxisbeispiele dazu gibt es viele: Angefangen bei Mitarbeitern, die vom Home-Office aus auf Unternehmensinformationen zugreifen, bis hin zu Überwachungskameras am Point-of-Sale einer Firma, die an das IoT angeschlossen sind. Ein virtuelles WAN-Overlay-Modell ermöglicht die Konfiguration und Durchsetzung einer End-to-End-Mikrosegmentierung, um differenzierte Sicherheitsrichtlinien und -steuerungen sicherzustellen. Dieses sorgt für eine Optimierung des Security-Levels, da Sicherheitsverstöße auf ein einzelnes Netzwerksegment beschränkt bleiben.
Verwaltung und Funktionalität von SD-WAN automatisieren
Die Entwicklung von einem fest installierten WAN zu einem Cloud-basierten WAN ist ein erster Schritt. Als nächstes spielt Künstliche Intelligenz gepaart mit Automatisierung eine tragende Rolle. Gewiss, die Cloud eröffnet Unternehmen die Möglichkeit einer einfachen und flexiblen WAN-Transformation. Doch damit ist das Entwicklungspotenzial noch nicht erschöpft. Zur Erfassung und Verwaltung großer Datenmengen ist ein zentrales, automatisiertes System nötig. Dieses trifft ohne menschliches Zutun Entscheidungen und erleichtert das Netzwerkmanagement.
Um die Notwendigkeit dieser Entwicklung deutlich zu machen, dient die Beschreibung eines Prozesses innerhalb einer traditioneller Sicherheitsarchitektur: In diesem Fall ist jede Sicherheitsrichtlinie und jede nachfolgende Änderung manuell zu konfigurieren und auf Gerätebasis zu verwalten. Dies zieht ein schwerfälliges Management nach sich und erhöht die Fehleranfälligkeit, da ein solches Vorgehen früher oder später zum Scheitern verurteilt ist. Bei verteilten und Cloud-basierten Anwendungen ist diese Problematik besonders ausgeprägt. Traditionelle, Router-zentrierte Sicherheitskonzepte erfordern, dass der gesamte Datenverkehr in der Cloud zum Sicherheitscheck durch das Rechenzentrum geleitet wird. Es liegt auf der Hand, dass manuelle Eingriffe diesen Prozess langwierig und kompliziert machen. Der Zeitaufwand für IT-Sicherheitsteams ist immens, wenn sie laufend Richtlinien auf den einzelnen Sicherheits-Appliances aktualisieren. SD-WANs schaffen hier mit KI und Automatisierung Abhilfe. Dabei erfolgt die Steuerung des freigegebenen Datenverkehrs durch eine Firewall; Daten werden an den Sicherheits-Stack des Rechenzentrums umgeleitet oder an einen anderen Anbieter ausgelagert. Die dynamische Zero-Trust-Segmentierung des Netzwerks und der Anwendung bilden mit rollenbasierten Richtlinien eine einheitliche und schnell einsetzbare Sicherheitslösung. Dies stellt einen enormen Vorteil gegenüber herkömmlichen und in Silos abgeschotteten Routern und Firewalls dar. Es ist eine Überprüfung des Traffics am Edge in Echtzeit möglich und die Integration von KI-gestütztem Betrieb (AIOps) sorgt für optimierte Effizienz.
Fazit
SD-WAN spielt eine immer größere Rolle in einer zukunftssicheren, vielschichtigen Netzwerk- und Sicherheitsstrategie. Es bietet eine flexible Lösung am Edge und in der Cloud sowie eine agile Segmentierung von Security-Services. Diese sind für Unternehmen absolut erforderlich, die bei ihrer digitalen Transformation auf die Multi-Cloud setzen. Da die Sicherheitsanforderungen für IoT steigen und die Fernarbeit zunimmt, wird SD-WAN unabdingbar, um moderne Konzepte für die Netzwerksicherheit über eine einzige Plattform zu verwalten.
Über den Autor: Simon Pamplin ist Chief Technologist WAN Edge EMEA bei Aruba Silver Peak.
(ID:47814348)
:quality(80)/images.vogel.de/vogelonline/bdb/1942600/1942654/original.jpg "Die Zukunft der Unternehmens-IT liegt in der Cloud, wie Zero Trust und SSE unterstreichen und die hybride Arbeitswelt fordert. (thodonal - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1942400/1942450/original.jpg "Die Kooperation von Palo Alto Networks und IBM soll zu einer KI-gestützten Sicherheitsautomatisierung für 5G-Netzwerke führen. (© – Yingyaipumi – stock.adobe.com)")