SASE und Zero Trust
Clevere Kombination
Fortsetzung des Artikels von Teil 1
Zero Trust Network Access (ZTNA)
Eine Zero-Trust-Lösung für einen Zero Trust Network Access (ZTNA) ist ein Framework aus verschiedenen Technologien, durch das nur authentifizierte und autorisierte Akteure Zugriff auf Netzwerk-ressourcen bekommen – und zwar maximal restriktiv, nur so viel wie nötig und niemals auf Dauer. Der Netzwerkperimeter ist bei SASE nicht mehr als Standort, sondern als eine Reihe dynamischer Edge-Funktionen definiert, die bei Bedarf als Service aus der Cloud bereitstehen. Benutzer und Geräte erhalten überall und jederzeit sicheren Cloud-Zugriff auf Anwendungen, Daten und Dienste.
Während SASE also dem Nutzer die benötigte Konnektivität bereitstellt, dient ZTNA als übergreifender Kontrollmechanismus für die richtige Verbindung zu Daten und Applikationen. Die Kombination ermöglicht es, Zero-Trust-Sicherheitsfunktionen nahe bei den Beschäftigten durchzusetzen. Gleichzeitig vereinfacht SASE die Konnektivität. Beide Konzepte spielen also zusammen, um eine verteilte Cloud-Architektur gleichzeitig zentral zu managen und endpunktspezifische Sicherheitsrichtlinien zu etablieren.
Die wichtigsten Vorteile der Kombination SASE und Zero Trust sind die folgenden:
- Zero Trust Network Access für ein hohes Sicherheitsniveau,
- Zugriffssicherheit zu Services und Anwendungen nahe am Nutzer,
- granulare Zugriffskontrolle für Daten, Anwendungen und Geräte,
- ein hohes Sicherheitsniveau für Anwendungen und übertragene Daten,
- Durchsetzung der Security-Richtlinien auf Basis von Identitäten und Kontext,
- Sicherheit in großem Umfang zu geringen Kosten sowie
- eine zentrale und ganzheitliche Sicht auf das gesamte Netzwerk inklusive zugehöriger Cloud-Infrastrukturen.
Der Weg zur Zero-Trust-Architektur
Im Prinzip lässt sich jede Unternehmens-umgebung nach den Zero-Trust-Prinzipien gestalten. Es ist aber nur selten möglich, sie in einem einzigen Technologie-Aktualisierungszyklus zu migrieren. Daher wird es eine Übergangszeit geben, in der Zero-Trust-Workflows mit anderen Abläufen koexistieren, während sukzessive eine Migration über einen Geschäftsprozess nach dem anderen erfolgt. Dabei muss gewährleistet sein, dass gemeinsame Elemente wie beispielsweise Identity-Management, Geräte-Management und Ereignisprotokollierung flexibel genug sind, um in einer Zero-Trust- und perimeterbasierten hybriden Sicherheitsarchitektur zu bestehen. Die wichtigste Voraussetzung sind detaillierte Kenntnisse über die Assets, also Systeme (physisch und virtuell), Objekte (einschließlich Benutzerrechte) und Geschäftsprozesse. Die Einführung einer Zero-Trust-Architektur gelingt nur mit einer klaren Sicht auf die Funktionen innerhalb der verschiedenen Abteilungen sowie auf die die Software, Anwendungen, Zugriffsebenen und Geräte, die aktuell und künftig zum Einsatz kommen.
Als erster Schritt sollte ein umfangreiches Cybersecurity-Audit erfolgen, um die Schwachstellen im Unternehmen zu identifizieren und zu klären, ob es bereits Sicherheitsvorfälle gab und ob sensible Daten unerwünscht das Unternehmensnetzwerk verlassen. Ein solcher Security Health Check durch externe Experten schafft die Basis zur Ausarbeitung der Strategie und Policies für die Zero-Trust-Architektur. Darauf aufbauend entwickeln Security-Fachleute gemeinsam mit dem Unternehmen die umfassende Sicherheitsarchitektur. Dazu zählen Zero-Trust-Richtlinien mit den entsprechenden Zugangsmandaten als über- geordnete Logik für die Anwendung auf On-Premises- und Cloud-Infrastrukturen.
Schritt für Schritt zur grenzenlosen Sicherheitszone
Wer SASE und Zero Trust kombiniert, kann die Chancen nutzen, die eine Cloud-Architektur bietet, und gleichzeitig Daten und Beschäftigte standortunabhängig, effizient und zuverlässig schützen. Leider tun sich viele Unternehmen schwer, eine solche Integration zu realisieren. Das liegt unter anderem daran, dass es keine ganzheitliche Patentlösung von einem einzigen Hersteller gibt, sondern nur Teilbereiche von ZTNA und SASE von verschiedenen Herstellern Berücksichtigung finden. Eine Umstellung wird also nicht im Handumdrehen erfolgen können, sondern erfordert mehrere gut geplante Schritte. Insbesondere die jungen Konzepte Zero Trust und SASE bedingen Know-how und ein strukturiertes Vorgehen. In den meisten Fällen kommt es nicht zu einem kompletten Neuaufbau auf der vielzitierten grünen Wiese. Es gilt vielmehr, eine Basis zu schaffen und dann Zero-Trust-fähige Dienste nach und nach in den Betrieb zu migrieren. Dafür sollten Unternehmen, IT- und Sicherheitsteams gemeinsam mit Fachleuten einen individuellen Ansatz entwickeln, der die Zielinfrastruktur und die schrittweise Umsetzung beinhaltet. So bekommen Unternehmen die Chance, gestiegenen Sicherheitsanforderungen wie auch dem agilen, vernetzten und von Remote-Arbeit geprägten Unternehmenskontext gleichzeitig gerecht zu werden.
Ben Kröger ist Senior Security Consultant und Leiter Support und Managed Service bei Axians IT Security.
- Clevere Kombination
- Zero Trust Network Access (ZTNA)
Lesen Sie mehr zum Thema
