SASE-Spezialist Cato Networks stellt seine risikobasierte Application-Access-Control vor. Diese Funktion unterstützt Unternehmen dabei, potenzielle Infiltrationen zu vermeiden, die durch Remote-Work und Bring-Your-Own-Device (BYOD) entstehen. Unternehmensrichtlinien können ab sofort in Echtzeit in einem Gerätekontext durchgesetzt werden. Die IT kann so den Zugriff auf Unternehmensanwendungen oder Internet- und Cloud-Ressourcen einfacher managen und beschränken.
„Die BYOD-Geräte der Nutzer sind möglicherweise ungeschützt und können eine Hintertür zu Unternehmensnetzen öffnen“, erläutert Eyal Webber-Zvik, Vice President für Product Marketing bei Cato Networks. „Mit unserer Application-Access-Control kann die IT-Abteilung, abhängig vom Sicherheitszustand des Gerätes, die Zugriffe auf Unternehmensressourcen und Applikationen granular definieren. So minimiert sie das Sicherheitsrisiko von BYOD-Geräten, ohne die Produktivität zu beeinträchtigen.“
Cato führt Gerätekontext in SPACE zusammen
Angesichts der sich entwickelnden Bedrohungslandschaft reicht die Benutzeridentität allein nicht mehr aus, um den ZTNA-Zugriff oder BYOD-Risiken zu bewerten. Identitäten lassen sich fälschen und persönliche Geräte entsprechen nicht unbedingt den Sicherheitsstandards des Unternehmens. Hier braucht man eine Lösung, die den aktuellen Anforderungen an kontextbezogene Richtlinien entspricht. So kann man Produktionsverluste vermeiden und gleichzeitig die Risiken senken.
Um genau diese Herausforderung zu meistern, bettet Cato die kontinuierliche Analyse des Gerätekontexts in seine Cato-Single-Pass-Cloud-Engine (SPACE) ein. Der konvergente, cloudbasierte Software-Stack von Cato-SPACE untersucht kontinuierlich den Sicherheitszustand eines Geräts und ergreift Maßnahmen, wenn es nicht mehr konform ist. Zusätzlich zum Gerätekontext berücksichtigt Cato-SPACE bereits Identität, Netzwerk, Daten und viele weitere Attribute.
Die Kontextattribute werden über Cato-SPACE zur Verfügung gestellt und sind für alle aktuellen und zukünftigen Cato Network & Security-Services verfügbar. So lässt sich der Zugriff auf Applikationen granular definieren und kontrollieren.
Zum Beispiel:
- Arbeitet ein Anwender mit seinem persönlichen Gerät (BYOD) remote, kann er zwar
Daten auf die Kooperationsplattform hoch-, aber nicht herunterladen, und es stehen ihm keine weiteren Ressourcen zur Verfügung.
- Arbeitet ein und derselbe Benutzer aber von einem Unternehmensgerät aus, ist es möglich, ihm auch Download-Berechtigungen zuzuweisen. Auf Finanz-, ERP- und CRM-Systeme kann man zusätzlich einen schreibgeschützten Lesezugriff gewähren.
- Nutzt der Anwender ein unternehmenseigenes Gerät mit einer aktuellen Anti-Malware, lässt sich ein Lese- und Schreibzugriff auf die Kooperationsplattform, Finanzsysteme und Dateifreigaben gewähren.
- Schlussendlich lässt sich auch der Zugang zu allen Ressourcen blockieren, wenn ein Nutzer scheinbar an einem beliebigen Gerät und von einem ungewöhnlichen Ort aus arbeitet, z. B. in einem Krisengebiet.
Zu den Kontextattributen eines Geräts zählen der Typ der verwendeten Antimalware, das Vorhandensein einer Client-seitigen Firewall, einer vollständigen Festplattenverschlüsselung, der Patch-Level und weitere mehr. Diese Informationen werden vom branchenführenden OPSWAT-OESIS-System als Teil des Cato-Clients gesammelt.
„Wir freuen uns sehr, mit Cato Networks zusammenzuarbeiten“, so Hamid Karimi, VP of Technology Alliances and OEM der OPSWAT. “Die konvergente, Cloud-native SASE-Plattform von Cato nutzt das OESIS-Framework, um auf Endpunkt-Metadaten zuzugreifen. Dadurch haben IT-Abteilungen die Möglichkeit, granulare Richtlinien zu erstellen und so die Angriffsfläche zu reduzieren.”
Leistungs- und Sicherheitsprobleme bei ZTNA
ZTNA adressiert einen kritischen Bedarf beim Remote-Zugriff, scheitert aber an Sicherheits- und Produktivitätsproblemen. Und das untergräbt den Nutzen von ZTNA und SSE-Einzellösungen.
Im Gegensatz dazu prüft die Cato-SASE-Plattform den kompletten WAN- und Internetverkehr zu allen Benutzern auf komplexe Bedrohungen hin. Signaturbasierte Antimalware stoppt bekannte Angriffe; NGAM nutzt maschinelles Lernen und künstliche Intelligenz, um unbekannte Malware zu identifizieren und zu blockieren. Der Managed-IPS-Service von Cato verwendet Algorithmen aus dem maschinellen Lernen und nutzt die Expertise des Cato-SOC-Teams, um vor netzwerkbasierten Bedrohungen zu schützen.
Cato geht die Produktivitätsherausforderungen der Benutzer auf zwei Ebenen an. Durch die Analyse des Gerätekontexts in den FWaaS-, SWG- und ZTNA-Richtlinien kann Cato den Benutzerzugriff auf bestimmte Ressourcen einschränken. Dadurch, dass Cato den Gerätekontext innerhalb der CASB-Richtlinien nutzt, lässt sich der Benutzerzugriff auf Funktionen innerhalb dieser Anwendungen einschränken. Zusammengenommen kann die IT-Abteilung also Zugriffsrichtlinien erstellen, die ein Gleichgewicht zwischen dem Risikostatus eines Benutzers und seinem Bedarf schaffen – in Echtzeit.
Darüber hinaus gewährleistet der globale Private-Backbone von Cato eine optimale Benutzererfahrung von jedem Ort der Welt aus. Integrierte WAN-Optimierung und ein verwaltetes globales Netzwerk mit mehr als 70 PoPs bieten einen bis zu 40-mal höheren Durchsatz als das öffentliche Internet. Dies ist besonders wichtig, wenn Remote-Benutzer weltweit auf das Unternehmensnetz zugreifen. Bei ZTNA- und SSE-Einzellösungen fehlen vergleichbare Netzwerkkontrollen.
Catos Sicherheits- und Zugriffsrichtlinien können ab sofort in einem Gerätekontext umgesetzt werden und stehen allen Cato-Client-Kunden ohne zusätzliche Kosten zur Verfügung.
#CatoNetworks