Digital Workplace
Ansätze für die Netzwerksicherheit
Fortsetzung des Artikels von Teil 1
Nie vertrauen, immer überprüfen
Zero Trust Network Access (ZTNA) basiert auf strenger Benutzer-identifizierung und Zugangsrichtlinien, Segmentierung von Daten und Ressourcen, hoher Datensicherheit bei der Speicherung und Übertragung sowie einer Sicherheitsorchestrierung. Strikt kontextabhängige Verbindungen begrenzen die Verwundbarkeit des Unternehmensnetzwerks, indem sie einem Benutzer nur den Zugriff auf die angeforderte Anwendung ermöglichen. Dies geschieht erst, nachdem der Benutzer seine Identität nachgewiesen hat und seine Anfragen risikofrei sind. Im Gegensatz zum VPN verwehrt die Zero-Trust-Architektur den Zugang zu Ressourcen, die nicht angefordert wurden, was für Unbefugte die laterale Bewegungsfreiheit im gesamten Netzwerk einschränkt. Der Begriff „Zero Trust“ klingt zunächst sehr nach Hochsicherheitstrakt und nicht nach Nutzerfreundlichkeit und Flexibilität. In der Praxis machen ZTNA-Nutzer jedoch die positive Erfahrung, dass sie zuverlässig Zugang zu ihren Ressourcen erhalten, wenn sie berechtigt sind. Das IT-Team kann dank dieser Sichtbarkeitsschicht Probleme leicht identifizieren und untersuchen, ob es sich um ein Netzwerkproblem oder ein Geräteproblem handelt. Die Herausforderungen für ZTNA liegen in der Unterstützung unterschiedlicher Nutzertypen (Büro, mobil oder Homeoffice), Geräte (stationär, mobil, IoT, OT) und spezieller Anwendungen, beispielsweise Entwicklerplattformen. Zudem muss ZTNA alle Möglichkeiten des Datenzugriffs und der Speicherung berücksichtigen, was komplex ist.
SASE als cloudbasiertes Framework
SASE kombiniert die Fähigkeiten von SD-WAN- und VPN-Technologien mit Cloud-nativen Sicherheitsfunktionen wie ZTNA, CASB (Cloud Access Security Broker), NGFW (Next-Generation Firewalls) und anderen Technologien. Die meisten Unternehmen nutzen bereits einzelne SASE-Elemente in ihrer Netzwerk- und Sicherheitsinfrastruktur. Das Ziel einer vollständigen SASE-Architektur ist es jedoch, ein Gesamtpaket bereitzustellen, um dezentral tätigen Mitarbeitern einen sicheren, direkten Zugang zu Unternehmensressourcen zu ermöglichen. Das Ziel sind deutlich geringere Latenzzeiten als bei VPN und weniger Komplexität.
ZTNA-Unterstützung im Rahmen einer SASE-Architektur bedeutet dabei, dass die Identität des Anwenders, des Geräts und der Anwendung weitaus wichtiger ist als Zugangsdaten, Standortinformationen oder IP-Adressen. Diese alten Verifizierungsmethoden, eingesetzt in herkömmlichen VPNs und DMZs, haben sich als Schwachpunkt vieler Netzwerke erwiesen. Im Gegensatz dazu sind identitätsbasierte Methoden in der Lage, die laterale Bewegung durch ein Netzwerk einzuschränken, sodass berechtigte Benutzer nur auf die Daten, Anwendungen oder Dienste zugreifen können, die sie zu diesem Zeitpunkt benötigen. Ein weiterer Vorteil von SASE ist die Möglichkeit, die Serviceebene für jede Anwendung zu wählen. So lässt sich etwa einer geschäftskritischen Anwendung Vorrang vor weniger wichtigen Anwendungen wie dem Web-Browsing einräumen.
Identitätszentrierte Sicherheit
Mit der Verlagerung von Ressourcen in die Cloud wächst die Bedeutung von cloudbasierten Sicherheits-Frameworks wie SASE. Während der Pandemie kam es verstärkt zu ausgeklügelten Phishing-Angriffen oder Cyberkriminelle haben sich als Mitarbeiter ausgegeben, um sich den Zugang zu Netzwerken und Ressourcen zu erschwindeln. Das SASE-Modell arbeitet nahtlos mit Cloud-Diensten zusammen, um diese Risiken zu mindern, indem es sich auf identitätszentrierte Sicherheit konzentriert.
Die richtige Herangehensweise an den Fernzugriff zu finden, ist für Unternehmen jedoch nicht gerade einfach. Von Vorteil kann eine entsprechend flexible Lösung sein, mit der sich eine SDP-Umgebung einrichten und ZTNA umsetzen lässt, die aber gleichzeitig auch ein VPN unterstützt.
Thomas Lo Coco ist Sales Manager DACH bei Netmotion
- Ansätze für die Netzwerksicherheit
- Nie vertrauen, immer überprüfen
Lesen Sie mehr zum Thema
