SSE und ZTNA
Schutz für die digitale Transformation
Fortsetzung des Artikels von Teil 1
Zero Trust als Basis von SSE
Den sicherheitstechnischen Herausforderungen einer digitalisierten Arbeitswelt mit Zugriffen von überall kann man nur mit einer stringenten Zero-Trust-Strategie begegnen – oder, wie es ein Lösungshersteller formuliert hat: „Die hybride Belegschaft erfordert einen neuen Sicherheitsansatz, der rund um den Security Service Edge entwickelt wurde. Und Zero Trust Network Access ist der richtige Ort, um diese Sicherheitstransformation zu beginnen.“
ZTNA bedeutet, bei jedem Zugriff auf Unternehmensressourcen auf implizites Vertrauen zu verzichten und jede digitale Interaktion in allen Phasen kontinuierlich zu verifizieren – nicht nur bei Zugriffen durch Externe, sondern auch beim organisationsinternen Netzwerkverkehr.
Manche Unternehmen nutzen für die Umsetzung einer Zero-Trust-Strategie verschiedene, schlecht miteinander integrierte Einzellösungen wie Endpunktschutz, Fernzugriff via VPN, Mehr-Faktor-Authentifizierung und Data Loss Prevention und setzen dabei nach dem Best-of-Breed-Prinzip auf Produkte unterschiedlicher Hersteller. Das IT-Security-Team muss diese Sicherheitsvorkehrungen aufwendig einzeln und im Zusammenspiel testen, implementieren, laufend aktualisieren und administrieren. Dies ergibt eine komplexe Landschaft mit hohem Verwaltungs- und Wartungsaufwand – geradezu ein Albtraum angesichts der knappen personellen und finanziellen Ressourcen, unter denen die IT-Organisationen heute typischerweise leiden. Erheblich besser wäre ein umfassender Ansatz, der alle Aspekte von Zero Trust einbezieht.
Ein erster Schritt in Richtung einer Zero-Trust-Architektur sind strenge Kontrollen zur Authentifizierung der Nutzeridentität und zur Einhaltung der Richtlinien. Die Zugriffsrechte sind dabei individuell je nach Nutzer und Situation auf das absolut Notwendige einzuschränken.
Auch Anwendungen und Micro-Services sowie der gesamte Datenverkehr gelten grundsätzlich nicht als vertrauenswürdig und sind ebenso während der ganzen Laufzeit kontinuierlich zu verifizieren. Gleiches gilt für die komplette Infrastruktur, von Routern und Switches über die Geräte der Belegschaft, Cloud- und IoT-Ressourcen bis hin zu den in der Lieferkette genutzten Ressourcen.
Eine effektive Zero-Trust-Strategie fußt auf drei Prinzipien. Das erste Prinzip ist der Blick auf das Ganze: Zero Trust darf sich nicht auf eine einzelne Technologie beschränken, sondern sollte das gesamte zur Sicherung des Unternehmens genutzte Ökosystem umfassen. Der zweite Punkt ist schrittweises Vorgehen: Der Aufbau eines vollständigen Zero-Trust-Unternehmens ist nicht trivial, aber man kann mit einfachen Maßnahmen beginnen, die sich schon mit den vorhandenen Sicherheitstools implementieren lassen. Das dritte Prinzip ist Business-Tauglichkeit: Der Zero-Trust-Ansatz bietet neben technischen Aspekten weitere Vorteile, die sich einfach und verständlich vermitteln lassen, wie etwa einfacherer Zugriff auf alle benötigten Ressourcen ohne komplizierten Aufbau von VPN-Verbindungen.
Von Zero Trust zu SSE
Neben der ZTNA-Funktionalität umfasst die ideale SSE-Plattform eine Reihe von Elementen: Cloud-basierte Next-Generation-Firewalls inklusive Web-Application-Firewall, Sicherheitsdienste aus der Cloud, Endpunktschutz, eine virtuelle Security-Instanz für den Zugriff von Mobilgeräten aus und eine einheitliche, funktionsübergreifende Verwaltungs- und Analyseoberfläche, die jederzeit vollständige Visibilität über die gesamte Plattform bietet. So schützt die Lösung nicht nur den Zugriff, sondern den gesamten Datenverkehr und verschafft dem IT-Security-Team alle benötigten Informationen.
Filialnetzwerke wie auch mobile Beschäftigte kommunizieren verschlüsselt mit dem nächstgelegenen Zugangspunkt. Dafür können bereits vorhandene IPSec-Gateways wie Router oder Perimeter-Firewalls zum Einsatz kommen. Der mobilen Verwendung dient ein Software-Client, der für Authentifizierung, Gerätesicherheit und die Einhaltung der Sicherheitsrichtlinien nach dem Least-Privilege-Prinzip zuständig ist. Dazu nutzt die Lösung jeweils eine User-ID, eine Device-ID und eine App-ID. Sind Mensch und Gerät authentifiziert, kümmern sich virtuelle Firewall-Instanzen in der Cloud um die Sicherheit der weiteren Kommunikation. Die Firewall stellt dafür Funktionen wie SSL- Entschlüsselung, DNS- und Web-Sicherheit, Threat Prevention (Bedrohungsvermeidung) und Sandboxing bereit – also alles, was eine On-Premises-Firewall leistet, nur eben aus der Cloud für alle Nutzende und Standorte weltweit. Die Firewall überprüft kontinuierlich sämtlichen Datenverkehr – Web-basiert oder anderweitig – inline nach dem ZTNA-Prinzip anhand von Person, Applikation, Gerät und Kontext. Nichts läuft an der Firewall vorbei, alles wird kontrolliert.
Um die weltweite Verfügbarkeit, eine stets ansprechende Geschwindigkeit sowie eine hohe Skalierbarkeit zu gewährleisten, lassen sich die Firewall-Instanzen in den Rechenzentren großer Hyperscaler wie Microsoft Azure, AWS oder Google Cloud provisionieren. Dies ermöglicht den Zugriff auf hochverfügbare High-Speed Backbones mit niedriger Latenz und stellt Zugangspunkte auf der ganzen Welt zur Verfügung. Dadurch sind Service-Level-Agreements mit garantierten End-to-End-Latenzzeiten selbst für SaaS-Anwendungen wie Microsoft 365 oder Salesforce erreichbar.
Joachim Walter ist CEO von Boll Europe in Ulm.
- Schutz für die digitale Transformation
- Zero Trust als Basis von SSE
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
