Angriffsflächen verringern mit SASE

Lesezeit
4 Minuten
Bis jetzt gelesen

Angriffsflächen verringern mit SASE

30.10.2024 - 10:18
Veröffentlicht in:

Cyberkriminelle lieben es, wenn Unternehmen einen Flickenteppich an Werkzeugen für die Netzwerksicherheit ihr Eigen nennen. Denn das erlaubt es ihnen, durch das oft nicht sehr engmaschige Netz zu schlüpfen. Eine effiziente Verteidigung darf daher nicht aus Insellösungen bestehen. Besser sind holistische Secure-Access-Service-Edge-Plattformen. Der Artikel zeigt, worauf IT-Entscheider bei der Implementierung achten müssen und welche Komponenten die SASE-Plattformenthalten sollte, um die Sicherheit des gesamten IT-Umfelds zu gewährleisten.

Cybersecurity ist ein Wettlauf, in dem Angreifer meist einen Schritt voraus sind. Dabei lauert die Gefahr überall – in der Cloud, auf IoT-Geräten, bei Schnittstellen zu Drittanbietern oder bei unachtsamen Mitarbeitern. Cyberkriminelle finden stets neue Wege, um die Schwächen der digitalen Infrastruktur auszunutzen. Ein wirklich widerstandsfähiger Schutzschirm erfordert daher modernste Sicherheitswerkzeuge und -architekturen, die ohne Barrieren zusammenarbeiten und keine toten Winkel zulassen. Die Praxis zeigt, dass ein ganzheitlicher Ansatz in Form eines SASE-Konzepts (Secure Access Service Edge) die Netzwerksicherheit erhöhen, die Komplexität reduzieren, die Performance steigern und das Benutzererlebnis verbessern kann.

Sicherheit hat viele Ebenen
Eine robuste Netzwerksicherheitsstrategie umfasst zwei Ebenen. Auf der einen Seite stehen die Produkte aus dem SASE-Technologie-Stack, die beispielsweise Daten verschlüsseln und damit sichere Verbindungskanäle aufbauen. Vorzugsweise ist eine Single-Pass-Architektur implementiert, sodass eine Security-Software den Datenverkehr nicht jedes Mal neu entschlüsseln und analysieren muss, sondern ihn nur einmal prüfen und mit allen Applikations- und Sicherheitskonfigurationen abgleichen kann. So lässt sich beispielsweise einfach und schnell feststellen, ob eine Verbindung eine kritische Geschäftsanwendung nutzt, die priorisiert werden muss, oder ob ein Mitarbeiter nur ein YouTube-Video anschaut.

Die wichtigsten Komponenten einer SASE-Lösung auf einen Blick. (Quelle: Open Systems)
Bild 1: Die wichtigsten Komponenten einer SASE-Lösung auf einen Blick. (Quelle: Open Systems)
 

Die Basis dafür ist SD-WAN, also die softwaregesteuerte Netzwerkarchitektur. Darauf aufbauend können Produkte wie ein Secure Web Gateway (SWG) zusätzlich prüfen, ob eine Verbindung überhaupt erlaubt ist und Zugriffe auf Webseiten oder kompromittierte Daten im Zweifel verweigern. Ein Cloud Access Security Broker (CASB) hingegen bringt Transparenz und Kontrolle über Daten und Bedrohungen in der Cloud. Firewall und Zero Trust Network Access (ZTNA) sind weitere Beispiele für Technologien, die in einem SASE-Werkzeug enthalten sein sollten. Diese soll sicherstellen, dass jeder Zugriff auf Applikationen und Daten im Netzwerk auf Basis der Identität des Nutzers und des Geräts, der End-to-End-Überwachung und der Richtlinienkonformität kontrolliert wird. Es gilt der Grundsatz: Niemals vertrauen, immer prüfen.

Die zweite Ebene ist das Management dieser Komponenten – und hier wird schnell klar, warum ein ganzheitlicher Ansatz von Vorteil ist. Müssen sich die für die Netzwerküberwachung zuständigen Mitarbeiter mit einer Vielzahl unterschiedlicher Tools, Plattformen, Technologien, Dashboards, Konfigurationen und Interfaces auseinandersetzen, steigt die Komplexität drastisch an. Diese Unübersichtlichkeit führt zu Lücken, unentdeckten Risiken und im schlimmsten Fall zu schwerwiegenden Sicherheitsverletzungen. Standards, Automatisierung, Effizienz und Konsistenz müssen daher im Mittelpunkt der Netzwerksicherheit stehen. Diese Voraussetzungen können cloudbasierte SASE-Plattformen mit zentraler Verwaltung gewährleisten. Noch besser sind Co-Managed- oder Managed-Service-Angebote bei denen die Dienstleister sowohl die Produkte selbst entwickeln als auch die notwendige Expertise für die effiziente Verwaltung mitbringen oder den Betrieb selbst übernehmen.

Der Umstieg von historisch gewachsenen und laufenden Systemen auf einen neuen Ansatz schreckt naturgemäß nicht wenige Unternehmen ab. Bei der Umsetzung kommt es daher auf das Vertrauen in die Anbieter an – ebenso wie auf deren langjährige Erfahrungen mit Transformationsprojekten auf Netzwerkebene.

Der Weg in die SASE-Welt
Die ersten praktischen Schritte auf dem Weg zu einer SASE-Implementierung beginnen mit Pilotprojekten, die sich in der Regel auf SD-WAN konzentrieren – schließlich stellt es verschlüsselte Verbindungen her und bildet die Grundlage, auf der später Sicherheitsfunktionen und -richtlinien aufbauen. Bei der Auswahl der Projekte sollten Unternehmen eine Kombination aus verschiedenen Standorten, Remotemitarbeitern, Clouddiensten und Rechenzentren berücksichtigen, die sowohl Standorte mit guter als auch mit schlechter Verbindungsqualität umfasst.

Der nächste Schritt ist die Analyse des physischen Connectivity-Layer, also beispielsweise, welche Internetverbindungen verwendet werden. Das Design sowie die Abstimmung zwischen Connectivity-Layer und Netzwerk-Layer sind dabei zentrale Aspekte, die ein optimales Zusammenspiel der Gesamtplattform gewährleisten müssen. In der anschließenden Testphase sollten Unternehmen gemeinsam mit den SASE-Anbietern vorab definierte KPIs wie die Performance von Anwendungen, weniger Ausfallzeiten, eine verbesserte User Experience oder eine hohe Erreichbarkeit der Dienste untersuchen. In der Regel sind hier die Vorteile bereits nach kurzer Zeit sichtbar. Nach erfolgreichen Pilotprojekten können sukzessive weitere Standorte und Assets eingebunden werden.

Die drei Layer einer Netzwerk-Architektur: Connectivity, Netzwerk, Security. (Quelle: Open Systems)
Bild 2: Die drei Layer einer Netzwerk-Architektur: Connectivity, Netzwerk, Security. (Quelle: Open Systems)
 

Ein weiterer langfristiger Vorteil von SASE-Architekturen aus einer Hand ist die einfache Implementierung neuer Sicherheitsprodukte. Ist die Basis erst einmal gelegt, ist die Erweiterung deutlich weniger komplex und kann mit relativ geringem Aufwand umgesetzt werden. Bei der Auswahl des geeigneten SASE-Partners sollten Unternehmen außerdem darauf achten, dass dedizierte Engineering-Teams zur Verfügung stehen, die sowohl Experten für SASE-Technologien sind als auch die Architektur und Besonderheiten des jeweiligen Unternehmens genau kennen. Ein rund um die Uhr verfügbarer Support mit Level-3-Mitarbeitenden, die ihre eigenen SASE-Produkte sehr gut kennen, schafft zudem ein hohes Maß an Vertrauen und Sicherheit, das bei weitreichenden Unternehmensentscheidungen wie der Umstellung auf eine neue Netzwerkarchitektur dringend benötigt wird.

SASE-Einsatz in der Praxis
Da der Weg in die Cloud zumindest für einen Teil der Applikationen oder der IT-Infrastruktur für die meisten Unternehmen alternativlos ist und viele die Transformation bereits abgeschlossen haben, liegt ein Fokus der SASE-Architektur auf der Absicherung der entsprechenden Anwendungen und Verbindungen. Dabei geht es einerseits um interne Clouddienste, andererseits aber auch um externe aus dem SaaS-Bereich. Immer mehr Anwendungen sind einfach und kostengünstig über externe Anbieter verfügbar, was für die Geschäftsprozesse zwar positiv ist, aber auch neue Angriffsflächen bietet. Gleiches gilt für den Bereich IaaS, in dem Unternehmen nicht nur einzelne Anwendungen, sondern ihre Infrastruktur virtualisieren und auslagern. Anbieter von SASE-Werkzeugen müssen daher nicht nur über robuste Komponenten wie SD-WAN, Firewalls, Cloud SWG oder CASB verfügen, sondern auch die Architektur der Cloudprovider im Detail kennen und entsprechende Beratung anbieten.

Ein ebenso wichtiger kritischer Anwendungsfall ist das Einbinden und Absichern von externen Parteien, etwa Zulieferern oder Dienstleistern im produzierenden Gewerbe, die einen Zugang zur Fernwartung von Maschinen benötigen. Um eine barrierefreie und sichere Zusammenarbeit zu gewährleisten, sollten Remote-Access-Tools auch über eine Clientless-Variante verfügen, die sich auf Seiten der externen Unternehmen ohne großen Mehraufwand implementieren lässt. Sie gewährleisten über gesicherte Verbindungen den Zugriff auf die Applikationen oder Maschinen im eigenen Netzwerk, die wirklich notwendig sind, und stellen die Nachvollziehbarkeit aller Vorgänge sicher – ein Aspekt, den auch der Gesetzgeber mit Vorschriften wie NIS2 fordert.

Nicht minder wichtig ist die Architektur für den Schutz von Standorten, beispielsweise Produktionshallen. Hier greifen einerseits klassische Ansätze wie die Segmentierung einzelner Sicherheitszonen, um etwa geschäftskritische Applikationsserver von Produktionsmaschinen zu trennen. Statt jedoch auf eine Vielzahl unterschiedlich spezialisierter Firewalls zu setzen, sollte eine SASE-Plattform im Sinne eines ganzheitlichen Ansatzes über eine breit aufgestellte Firewall verfügen, die sowohl IT als auch OT verarbeiten kann – also neben der Anwendungsebene auch Maschinenprotokolle versteht und Sicherheitskonfigurationen auf diese anwendet.

Fazit
Eine ganzheitliche Netzwerksicherheitsstrategie und -architektur mit Fokus auf Cloud, verteilte Standorte und Flexibilität ist auf SASE-Ansätze angewiesen. Dabei sollten Technologie und Managed Services aus einer Hand kommen, denn nur fundiertes Know-how und langjährige Erfahrung können ein Höchstmaß an Sicherheit und optimale Konnektivität gewährleisten.

ln/Stefan Keller, Chief Product Officer bei Open Systems

Ähnliche Beiträge

Cybersicherheit stärken mit SIEM-Use-Cases

Learning by Doing: Erst mit den passenden Use Cases lernt das Security Information and Event Management (SIEM) eines Unternehmens richtig laufen. Doch was gilt es bei der Auswahl zu beachten? Auf welche Weise erfolgt die Implementierung der Use Cases? Und welchen Qualitätssprung ermöglicht Machine Learning in Bezug auf die Cybersicherheit innerhalb der Organisation? Auf diese und weitere Fragen gibt der Gastbeitrag Antworten.

Deepfakes – Gefahrenpotenzial und Schutzmechanismen

Deepfakes stellen eine wachsende Bedrohung für Unternehmen dar. Der Grund: Die Technologie, um sie zu erstellen, wird immer zugänglicher. Es ist wichtig, dass Organisationen über die Risiken informiert sind und wissen, wie sie Deepfakes erkennen und sich vor ihnen schützen können. Im Artikel erfahren Sie, wie Unternehmen trotz dieser digitalen Täuschungen ihre Reputation und Sicherheit bewahren können und wie künstliche Intelligenz dabei helfen kann.

Automatisierung und Unified Endpoint Management

Zur IT-Automatisierung zählt neben Techniken für Skripting/Orchestrierung und Konfigurationsmanagement und der Nutzung von APIs inzwischen auch die Art und Weise, wie sich Endgeräte im Netzwerk konfigurieren, administrieren und patchen lassen. Wie der Fachbeitrag veranschaulicht, ist auch hier keine Handarbeit mehr gefragt, sondern ebenfalls Automatisierung durch den Einsatz von Unified-Endpoint-Management-Systemen.