Um moderne Cloud- und SaaS-Infrastrukturen abzusichern, reichen Firewalls und Perimetersicherheit nicht aus. Die oft propagierte Alternative heißt Secure Access Service Edge (SASE). Die Umstellung kann jedoch sehr langwierig sein. Martin Stecher, Chief Architect bei Skyhigh Security, empfiehlt die Trennung von Sicherheits- und Access-Komponenten und zunächst Security Service Edge (SSE) einzuführen.
Cybersicherheitsstrategien basierten jahrelang auf dem Schutz der Grenzen des Unternehmensnetzwerks. Doch wie fast alle Unternehmen während der COVID-19-Krise erfahren haben, existiert diese Grenze nicht mehr. Nahezu alle neuen Softwarefunktionen werden heute als Services (SaaS) bereitgestellt, auf die Mitarbeiter von einer Vielzahl von Standorten und Geräten aus zugreifen. Kein Unternehmen kann sich heute mehr nach außen abschotten.
Die Pandemie hat auch die Grenzen virtueller privater Netzwerke aufgezeigt, die den Fernzugriff auf sichere Computerressourcen ermöglichen. Mit einem VPN können sich Mitarbeiter über eine verschlüsselte Verbindung, die über das öffentliche Internet läuft, durch die Unternehmensfirewall tunneln. Doch während der Lockdowns waren die VPNs in vielen Unternehmen mit der großen Nachfrage überfordert, so dass der Datenverkehr zum Erliegen kam.
Noch besorgniserregender war es, wenn frustrierte Benutzer die VPN-Verbindung vollständig unterbrachen, um sich direkt bei ihren SaaS-Anwendungen anzumelden, und so alle Sicherheitskontrollen umgingen und die gesamte Angriffsfläche vergrößerten.
Zudem kann auch Malware über VPN-Verbindungen eingeschleust werden und sich anschließend unkontrolliert im internen Netzwerk weiterverbreiten, weil der Sicherheitsschutz nur auf den Perimeter beschränkt war.
Der Perimeter hat ausgedient
Eine Umgebung ohne Perimeter erfordert einen neuen Ansatz für die Cybersicherheit. Vor drei Jahren prägte Gartner dafür den Begriff Secure Access Service Edge (SASE), um eine Architektur zu beschreiben, die softwaredefinierte Wide-Area-Netzwerke (SD-WANs) mit einem Portfolio von Cloud-basierten Sicherheitstools kombiniert – darunter Secure Web Gateway (SWG), Cloud Access Security Broker (CASB) und Zero-Trust Network Access (ZTNA).
Das Ziel von SASE ist es, vom traditionellen Perimeter-Schutz zu identitätsbasierten Kontrollen überzugehen, die Menschen von jedem Gerät und Standort aus sicher mit Daten und Anwendungen verbinden, auch wenn sie sich nicht im VPN befinden. Gartner prognostiziert, dass bis 2024 mehr als 40 Prozent der Unternehmen SASE einführen oder weiterentwickeln werden, während es Ende 2018 noch weniger als ein Prozent waren.
Einführung von Security Service Edge
Die Umstellung auf eine vollständige SASE-Umgebung ist für große Unternehmen ein langwieriger Prozess. Gartner hat erkannt, dass ein Alles-oder-Nichts-Ansatz in dieser Zeit nicht praktikabel ist, und schlägt vor, die Sicherheits- und SD-WAN-Komponenten aufzuteilen und die ersteren unter dem Begriff Security Service Edge (SSE) zu vereinen.
SSE vereint die Elemente, die für die Sicherung des Zugriffs auf Websites, Cloud-Dienste und interne Anwendungen erforderlich sind, und bringt unmittelbare Vorteile in Form von reduzierten Risiken, Kosten und Komplexität, während Unternehmen die SD-WAN-Komponenten in ihrem eigenen Tempo einbinden können.
Dieser Ansatz hat für Kunden mehrere Vorteile. Kein einzelner Anbieter kann die gesamte Funktionalität einer kompletten SASE liefern. Die Trennung von SSE und SD-WAN ermöglicht es Netzwerk- und Sicherheitsanbietern, sich auf ihre jeweiligen Kernkompetenzen zu konzentrieren.
Der Ansatz beschleunigt auch die Markteinführung, da die Anbieter die einzelnen Komponenten schneller bereitstellen und die Anwender sie schneller implementieren können, sodass unmittelbare Ergebnisse erzielt werden.
Konvergente Sicherheitslösungen
Ein konvergenter Sicherheitsansatz für SSE ist dringend erforderlich. Nach den meisten Angaben verwendet ein durchschnittliches Unternehmen zwischen 50 und 100 verschiedene Sicherheitsprodukte. Da die Sicherheitsbranche stark fragmentiert ist, können nur wenige dieser Produkte miteinander kommunizieren, sodass die Aufgabe, sie zu integrieren, meist dem Kunden überlassen wurde.
Das Hauptziel von SSE ist der Schutz von Anwendungen und Daten durch den Aufbau eines durchgängigen Cloud-Edge, der alle Arten des Zugriffs auf diese Anwendungen und Daten umfasst. Eine SSE-Lösung stellt diese Infrastruktur bereit und ermöglicht es Unternehmen, konsistente Datenschutz- und Bedrohungsabwehrrichtlinien für ihren gesamten Bestand anzuwenden, einschließlich Benutzern, Geräten, Standorten und Anwendungen.
SSE vereint Cloud Access Security Broker (CASB), Secure Web Gateway (SWG) der nächsten Generation, Zero Trust und DLP-Technologien, die über eine einzige globale Cloud-Fabric bereitgestellt werden, und Incident-Management.
Da es bei SSE in erster Linie um den Schutz von sensiblen Daten, während ihres gesamten Lebenszyklus geht, sollten Unternehmen auf eine datenzentrierte SSE-Lösung setzen, die gemeinsame Sicherheitsrichtlinien nicht nur auf Firmencomputern, sondern auch beim Zugriff über die Cloud und auf Daten in der Cloud und Fernzugriff auf Unternehmensdaten durchsetzen kann.
Damit wird das Perimetermodell in ein effektives, transaktionsbasiertes SSE-Datensicherheitsmodell transformiert.