Benötigt ein Unternehmen SASE oder Zero-Trust?

Jahrelang wurde die Sicherheit quasi als Overlay zu den Netzwerklösungen hinzugefügt. Netzwerke und Bedrohungen haben sich jedoch verändert, so dass sich auch die Sicherheit weiterentwickeln muss. Um die Flexibilität und Produktivität zu verbessern, haben Unternehmen neue digitale Technologien und Verfahren eingeführt, die den Netzwerkrand neu definieren. Und in der heutigen „Work-from-anywhere“-Welt bewegen sich die Benutzer zwischen Standorten vor Ort, vernetzten Zweigstellen, Heimbüros und temporären Standorten auf Reisen.

Die veränderten Anforderungen von Unternehmen und Mitarbeitern bedeuten, dass der Netzwerkrand dynamischer und verteilter denn je ist, was die Angriffsfläche vergrößert und das Unternehmen neuen, fortschrittlichen Bedrohungen aussetzt. Die herkömmliche Hub-and-Spoke-Architektur zur Verbindung von Büros mit dem Rechenzentrum für den Anwendungszugriff ist nicht immer mehr sinnvoll.

Heute können mehrere Edge-Umgebungen WAN, Multi-Cloud, Rechenzentrum, Internet der Dinge (IoT) sowie Heim- und andere Remote-Arbeitsplätze umfassen. Die Verbindung all dieser Edge-Umgebungen hat die Leistung verbessert, allerdings oft auf Kosten einer zentralen Sichtbarkeit und einheitlichen Steuerung. Noch schlimmer ist, dass jede Edge unterschiedliche Arten von Risiken und Schwachstellen aufweist, die es Angreifern ermöglichen, sich Zugang zum Netzwerk zu verschaffen.

 

Sicherheit am Netzwerkrand

Unternehmen haben nicht nur mit immer komplexeren Sicherheitsanforderungen zu kämpfen, sondern auch mit der Abwehr von Cyberangriffen, die ausgefeilter und komplexer sind als je zuvor. Die beste Methode zur Absicherung der Unternehmensressourcen hängt oft vom jeweiligen Wissensstand des Administrators bzw. Sicherheitsverantwortlichen ab.

Secure-Access-Service-Edge (SASE) ist ein Beispiel dafür. Bei SASE handelt es sich um einen in der Cloud bereitgestellten Service, der Netzwerk- und Sicherheitsfunktionen mit WAN-Funktionen kombiniert. Das Konzept von SASE sieht vor, die Netzwerk- und Sicherheitsfunktionen über den üblichen Rahmen hinaus zu erweitern, so dass Benutzer die Vorteile von Firewall-as-a-Service (FWaaS), Secure-Web-Gateway (SWG), Zero-Trust-Network-Access (ZTNA) und Bedrohungserkennungsfunktionen nutzen können.

SASE basiert auf der Idee, dass Sicherheit nur über die Cloud bereitgestellt wird. Viele Unternehmen nutzen jedoch nicht nur die Cloud, sondern verfügen über hybride Netzwerkarchitekturen mit SD-WAN als Grundlage für die Verbindung von Rechenzentren, Campus, Zweigstellen, Multicloud-Implementierungen und Heimbüros für Remote-Mitarbeiter. In hybriden Netzwerken wird die Cloud häufig dort eingesetzt, wo Flexibilität und Skalierbarkeit entscheidend sind, aber lokale Arbeitslasten aufgrund von Compliance-, Finanz- oder Leistungsanforderungen mit niedriger Latenzzeit sowie einer Reihe anderer Überlegungen, die eine Verlagerung in die Cloud nicht sinnvoll erscheinen lassen, beibehalten werden.

Da hybride IT-Architekturen auf absehbare Zeit nicht verschwinden werden, ist ein Cybersicherheitsansatz erforderlich, der sowohl in der Cloud bereitgestellte als auch vor Ort befindliche Arbeitslasten unterstützt, wie eine Zero-Trust-Edge-Architektur, die Netzwerk- und Sicherheitsfunktionen zusammenführt, aber nicht auf die Cloud beschränkt ist wie SASE.

Man kann sich Zero-Trust-Edge ganz einfach so vorstellen, dass es sich um eine SASE-basierte Cloud-Konvergenz für Remote-Benutzer in Kombination mit einer Konvergenz vor Ort zur Sicherung moderner Infrastrukturtechnologien handelt. Das Hauptunterscheidungsmerkmal von Zero-Trust-Edge ist jedoch, dass ZTNA überall verfügbar ist – in der Cloud und vor Ort – um privaten und expliziten Zugriff auf Anwendungen sowohl für Netzwerkränder als auch für Remote-Benutzer zu ermöglichen.

Zero-Trust-Edge basiert auf den Prinzipien der Zero-Trust-Netzwerksicherheit und ist ein Beispiel für sicherheitsorientiertes Networking, bei dem Sicherheit und Networking überall im Netzwerk konvergieren, um einen sicheren Zugriff auf kritische Anwendungen und Ressourcen zu ermöglichen, unabhängig davon, ob die Benutzer vor Ort oder über die Cloud auf Ressourcen zugreifen.

Das Zero-Trust-Netzsicherheitsmodell basiert auf dem Grundsatz, dass einem Benutzer oder Gerät nur dann vertraut werden kann, wenn seine Identität und sein Status ausdrücklich bestätigt wurden. Zero-Trust konzentriert sich auf Benutzer, Geräte und die spezifischen Ressourcen, auf die zugegriffen wird, und verwendet Segmentierung und Kontrollzonen. Jede Zugriffsanforderung muss autorisiert und kontinuierlich überprüft werden. Selbst wenn ihnen der Zugriff gewährt wurde, können Benutzer und Geräte nur auf die Ressourcen zugreifen, die sie für ihre Arbeit benötigen.

Durch die vermehrte Bereitstellung von Home-Office-Arbeitsplätzen stehen die IT-Teams vor besonderen Herausforderungen, denn den Remote-Mitarbeitern muss die Sicherheit auf Unternehmensniveau und eine granulare Zugriffskontrolle geboten werden. Der Zero-Trust-Ansatz zur Absicherung der immer größer werdenden Netzwerkränder führt Sicherheit und Netzwerke zusammen, um sicherzustellen, dass jeder und alles überall im Netzwerk geschützt bleibt. Eine vollständige Zero-Trust-Edge-Lösung umfasst:

  • SD-WAN, um alle Büros oder Filialen  sicher mit jedem Rechenzentrum, jeder Multi-Cloud- und Software-as-a-Service-Umgebung (SaaS) zu verbinden. Neben zuverlässiger Konnektivität und Cloud-Anbindung sollte SD-WAN auch fortschrittliche Sicherheit bieten, eine dynamische Segmentierung ermöglichen, um laterale Bedrohungen für den Ost-West-Schutz zu verhindern, und durch die Überwachung der digitalen Erfahrung eine hervorragende Benutzererfahrung gewährleisten.
  • Ein einheitliches System für die konsistente Verteilung, Orchestrierung und Durchsetzung von Richtlinien, um überall konsistente Sicherheit zu gewährleisten, sowohl für Benutzer vor Ort als auch für Remote-Benutzer.
  • Sicherheit aus der Cloud, um Remote-Benutzer sicher zu verbinden. Umfassende Web-Sicherheit aus der Cloud muss mehrere Verteidigungsebenen mit künstlicher Intelligenz gestützter Web-Filterung, Video-Filterung, DNS-Filterung, IP-Reputation und Anti-Botnet-Service bieten. Die Lösung sollte in der Lage sein, Datenverluste zu verhindern und mobile Benutzer durch die Inline-Integration von Cloud-Access-Security-Broker (CASB) zu schützen.
  • ZTNA für den sicheren Zugriff auf kritische Anwendungen und Ressourcen, unabhängig davon, wo sich Benutzer, Geräte oder Ressourcen befinden. Anders als ein herkömmliches VPN ermöglicht ZTNA den Zugriff auf Benutzer pro Anwendung auf der Grundlage von Identität und Kontext.
Mathias Hein, Consultant, Buchautor, Redakteur

Hacker werden weiterhin auf die wachsende Angriffsfläche abzielen. Um den Veränderungen in der Belegschaft und der Bedrohungslandschaft zu begegnen, benötigen viele Unternehmen konsistente konvergente Netzwerke und Sicherheit, die sowohl vor Ort als auch in der Cloud verfügbar sind. Zero-Trust-Edge kann das Benutzererlebnis für verteilte Anwendungen verbessern, indem es SD-WAN als Basistechnologie nutzt und den Anwendungszugriff und die kontinuierliche Überprüfung von Benutzern mit einer überall verfügbaren ZTNA-Durchsetzung ermöglicht.