Security Service Edge
Der Weg zur Multi-Cloud-Sicherheit
Fortsetzung des Artikels von Teil 1
Steigende Komplexität
Innerhalb einer solch komplexen Umgebung versuchen Unternehmen, die fehlende Transparenz und den daraus resultierenden mangelhaften Schutz mittels mehrerer Sicherheits-Tools zu kompensieren. Dabei nutzen sie viele unterschiedliche Sicherheitsprodukte, die in der Regel kaum oder gar nicht miteinander kommunizieren. Die Folge: Sicherheitsteams erhalten unzählige Warnmeldungen zu Anomalien und potenziell gefährlichen Bedrohungen, die sie auswerten und priorisieren müssen.
Die moderne IT-Umgebung in Unternehmen bedarf eines grundlegend neuen Sicherheitsansatzes. Dieser muss CISOs (Chief Information Security Officer) und ihren Sicherheitsteams einen transparenten Einblick in die gesamte IT-Landschaft ermöglichen – einschließlich der Cloud sowie sämtlicher Sicherheits-Tools. Gartner stellte dafür 2019 das Konzept „Secure Access Service Edge“ (SASE) vor: Über die SASE-Architektur sollen Security-Teams Schutzmaßnahmen etablieren, die auf Identitätskontrollen basieren und somit Beschäftigte sicher mit Daten und Anwendungen von jedem Standort und Gerät aus verbinden, ohne dass dafür ein VPN zum Einsatz kommen muss. SASE verbindet dazu ein softwaregesteuertes Weitverkehrsnetz (Software-Defined Wide Area Network, SD-WAN) mit einem breiten Portfolio von IT-Sicherheits-Tools.
Doch bei der Implementierung einer vollständigen SASE-Umgebung handelt es sich um einen langwierigen und komplexen Prozess, was sich in akuten Situationen als hinderlich erweisen kann. Folglich trennte Gartner die SD-WAN- und Sicherheitskomponenten voneinander – Letztere beschreibt der Begriff „Security Service Edge“ oder kurz SSE. Das Ziel der SSE-Architektur ist es, das Sicherheitsniveau an mehreren Fronten der IT-Umgebung gleichzeitig zu stärken. Sie schützt sowohl die Cloud-Anmeldedaten der Beschäftigten selbst als auch den Zugang zu sämtlichen Cloud-Services, aber auch zu Websites und internen Anwendungen. Außerdem lassen sich mit ihr den Umständen entsprechende Sicherheitsrichtlinien effizient und unternehmensweit – auch im Home-Office – umsetzen. Dafür sorgt ein enges Zusammenspiel aus verschiedenen Sicherheitstools und -mechanismen. Diese umfassen Cloud Access Security Broker (CASB, Service zum Schutz von Cloud-Applikationen), Cloud-Native Application Protection Plattform (CNAPP, Plattform für den Schutz Cloud-nativer Anwendungen), Secure Web Gateway (SWG, Lösung für den sicheren Web-Zugriff), Zero-Trust Network Access (ZTNA, Absicherung der Ressourcennutzung durch ein adaptives Vertrauensmodell mit laufender Kontrolle), Data Loss Prevention (DLP, Funktionen zum Schutz vor der Exfiltration interner Daten), Remote Browser Isolation (RBI, Betrieb des Browsers in einer Cloud-basierten Sandbox zum Schutz vor Malware) sowie Firewall as a Service (FWaaS, Cloud-basierte Firewall-Funktionalität auf Abruf).
Fazit
Eine SSE-Architektur reduziert nicht nur die allgemeine Komplexität einer Multi-Cloud-Umgebung, sondern hilft CISOs und IT-Sicherheitsteams auch dabei, verschiedene Sicherheitslösungen effizient und zentral zu managen. Dadurch sind sie in der Lage, die Durchsetzung von Sicherheitsrichtlinien und das Incident-Management von einer einzigen Konsole aus zu steuern. Dies verringert zugleich das Risiko von Fehlkonfigurationen. SSE gewährt dem Security-Team einen hohen Grad an Transparenz und Kontrolle über sämtliche Daten, Cloud-Services und -Anwendungen sowie Nutzer – ungeachtet dessen, wohin sich Daten bewegen oder von wo aus Beschäftigte auf Cloud-Services zugreifen.
Martin Stecher ist Chief Architect bei Skyhigh Security.
- Der Weg zur Multi-Cloud-Sicherheit
- Steigende Komplexität
Lesen Sie mehr zum Thema
