Wie man mit SASE Sicherheit orchestriert - A1 Blog
Wie gut Beethoven wirklich klingt, ist eine Frage der Qualität des Orchesters – und der Dirigentin oder des Dirigenten. Ein Klangkörper ist nur so gut, wie jedes einzelne Instrument vernommen werden kann. Misstöne zu vermeiden, die das gesamte Erlebnis nachhaltig zerstören könnten, ist das Wichtigste. Warum diese Anleihen in der Musik? Weil es bei Fragen der Sicherheit im Unternehmen kaum anders zugeht. Betriebe sind gezwungen, in allen Positionen und auf allen Standorten, wo immer sie auch sein mögen, ein ganzheitliches Security-Konzept zu „bespielen“, um in der musikalischen Metapher zu bleiben. Umfassende und ortsunabhängige Sicherheit maßgeschneidert zu orchestrieren – das ist die Hauptaufgabe moderner Security-Lösungen.
Vom zentralen Datenverkehr…
Blicken wir kurz zurück: In den ersten Dekaden der Datenverarbeitung wurde der gesamte Datenverkehr zentral geführt. Folge: Firewall und Internetverbindung waren die Schnittstellen für den gesamten Traffic. Seit 2015 zeigt sich verstärkt der „Way into Cloud“: Immer mehr Anwendungen, zunehmend auch geschäftskritische, wandern in die Cloud. Außenstellen, Filialen oder dislozierte Niederlassungen erhalten Internetverbindungen, die dazu beitragen sollen, den Datenverkehr z. B. zwischen Filialen und der Cloud intelligent aufzuteilen. Hier spricht man von software-defined WAN oder auch SD-WAN.
… zur dirigierten Sicherheit
Durch neue Lösungen wie SD-WAN werden auch innovative IT-Organisationsmodelle begründet. Damit auch wirklich alle im Unternehmen von jedem Ort aus sicher und zuverlässig arbeiten können, müssen netzwerkbezogene Sicherheitsservices je nach Bedarf bereitgestellt werden. Um beim Bild des Dirigenten zu bleiben: Es braucht jemanden, der den direkten Internetzugriff und die Cloud-Anwendungen kontrolliert, gleichzeitig diese schützt und auch die Sicherheit von Usern – ob vor Ort, remote, im Homeoffice, beim Kunden oder mobil – gewährleistet. Und dies ohne den zusätzlichen Bedarf an Hardware. Das heißt, es benötigt eine Vernetzung von mehreren Standorten und eine einfach und rasch zu skalierende IT-Sicherheit.
SASE: Mehr als vier Buchstaben
SASE oder „Secure Access Service Edge“ ist ein Konzept, das dem Zusammenspiel in einem großen Klangkörper mit all seinen individuellen Begabungen, Neigungen und Anforderungen sehr nahekommt und eine gemeinsame Melodie entstehen lässt. Oder, wie es die Profis von Gartner ausdrücken: „Secure Access Service Edge ist ein neu entwickeltes Angebot, das die Leistungsfähigkeit von WAN (herkömmliche Netzwerke) mit umfassenden Netzwerksicherheitsfunktionen kombiniert, um den Bedarf digitaler Unternehmen an sicherem Zugang zu decken.“ Damit das gelingt, braucht es mehrere Einheiten. Die Basis ist, wie gesagt, ein SD-WAN – ein virtuelles Netzwerk, das User sicher mit Netzwerkstandorten verbindet. Dafür gibt es mehrere Möglichkeiten, etwa ein „klassisches“ MPLS (Multiprotocol Label Switching), aber natürlich auch Mobilfunknetze sowie die Kombination aus allem. Das SD-WAN wählt automatisch die jeweils effizienteste Verbindungsmethode aus. Das senkt die Kosten und vereinfacht das IT-Management. Nächster Aspekt: DNS Security (Domain Name System). Cyberkriminelle machen sich verstärkt die mangelhafte Verwaltung von DNS-Sicherheitskontrollen in Unternehmen zunutze, um Daten von infizierten Endpunkten aus dem Firmennetzwerk heraus zu schleusen und Umleitungen zu bösartigen Phishing-Sites vorzunehmen. Eine verlässliche DNS-Security-Lösung identifiziert riskante oder gefährliche Domains und verhindert, dass sich User (unbewusst) mit ihnen verbinden. Bestes Beispiel: Phishing. Via Mail kommt ein bösartiger Link herein, der den User auf eine Seite umleitet, um irgendwelche persönlichen Daten abzufragen. Beim Klick auf den Link geht die Link-Auflösungsanfrage nicht zu einem gewöhnlichen DNS-Server, sondern zu einem Server, der prüft, ob die Zieladresse bzw. der Zielserver gut- oder bösartig ist. Sollte „Bösartigkeit“ vorliegen, also Phishing, wird der Zugriff von der DNS-Security auf eine Blockseite umgeleitet.
Traue niemandem!
Weitere Elemente eines SASE-Konzepts sind ein sicherer Web Gateway, der u. a. über Malware-Erkennung sowie Schutz vor Datenverlusten verfügt, sowie Firewall as a Service. Hier werden cloudbasierte Firewall-Funktionen für den Datenverkehr im Hintergrund, der nicht im Web abläuft, bereitgestellt. Um die Sicherheit für Unternehmen und Mitarbeiter zu erhöhen, werden sogenannte „Cloud Access Security Broker“ (CASB)-Lösungen eingesetzt. Diese erkennen beispielsweise nicht genehmigte Nutzungen oder Zugriffe auf Daten und senden automatisiert Warnmeldungen aus. Beim SASE-Konzept gilt das Motto: „Vertrauen ist gut, Kontrolle ist besser.“ Ganz nach dem Prinzip: „Traue niemandem“, oder im IT-Sprech „Zero Trust Network Access“ (ZTNA). Anders gesagt: Erst wenn die Vertrauenswürdigkeit von Geräten und Usern überprüft wurde, wird Zugang gewährt. Das könnte man daher gerne auch „orchestrierte Sicherheit“ nennen …
Seitenkommentare