Adrian Grosu - stock.adobe.com
Wie funktioniert SD-Access?
SD-Access ist eine Kombination aus zwei Elementen: SDN und Access Edge. Das Ergebnis ist ein Netzwerk mit zentralisiertem Managementsystem und verbessertem Sicherheitsrichtlinien.
Software-defined Access (SD-Access) wendet die Prinzipien des Software-defined Networking (SDN) auf den Access Edge des Netzwerks an. SD-Access unterstellt den Access Edge der Verwaltung eines zentralen Netzwerk-Controllers, anstatt jeden Access Switch als unabhängige Einheit zu verwalten.
Das Ziel von SD-Access ist es, die feinkörnige Kontrolle des Netzwerkzugangs an den Netzwerkrand zu verlagern. Der Hauptgrund für die Einführung von SD-Access in Unternehmen ist der Wunsch nach mehr Sicherheit im Netzwerk.
Auch wenn die zentrale Verwaltung im SDN-Stil alle Aspekte des Verhaltens von Edge Switches steuern kann, besteht die Hauptmotivation für SD-Access darin, die Sicherheitskontrollen zu verschärfen, um zu bestimmen, wer und was sich verbinden kann und was die angeschlossenen Einheiten tun können.
Wie verhält sich SD-Access im Vergleich zu anderen Autorisierungsmaßnahmen?
Authentifizierter Zugang zum Netzwerk
SD-Access geht über den standardmäßigen authentifizierten Netzwerk-Zugang hinaus. Beim authentifizierten Netzwerkzugang, der für Ethernet unter IEEE 802.1x standardisiert ist, kann ein an einen geschützten Port angeschlossenes System zunächst nur mit dem Edge Switch kommunizieren, an den es angeschlossen ist. Es kann nicht mit dem Rest des Netzwerks interagieren, auch nicht mit anderen Ports desselben Switches.
Der Edge Switch zwingt das System, sich mit einer anerkannten Identitätsquelle, in der Regel dem Unternehmensverzeichnis, zu authentifizieren. Wenn das System keine für die Nutzung des Netzwerks autorisierte Identität vorweisen kann, gewährt der Switch dem System keinen Zugriff auf das Netzwerk über den Port hinaus, mit dem es verbunden ist. Der authentifizierte Zugang ist ein Fortschritt gegenüber dem offenen Zugang, aber er reicht nicht aus, wenn es darum geht, den Netzwerk Edge gründlich abzusichern. Der authentifizierte Zugang analysiert nur die Identität und prüft sie nur einmal beim ersten Zugang zum Netzwerk.
Network Access Control
Umfassende NAC-Systeme (Network Access Control) gehen wesentlich weiter als authentifizierter Netzwerkzugang. NAC führt Zustandsprüfungen an Endpunkten durch, um nach Anzeichen für eine Gefährdung oder die Nichteinhaltung von Sicherheitsrichtlinien zu suchen. Einige NAC-Systeme können auch die Netzwerknutzung überwachen, um anomale Verhaltensweisen zu erkennen, zum Beispiel wenn ein Knoten versucht, auf Teile eines Netzwerks zuzugreifen, für die er nicht zugelassen ist. NAC-Systeme enthalten auch Mechanismen, die den Zugriff auf das Netzwerk unterbrechen, wenn sich Systeme falsch verhalten.
Zero Trust
SD-Access zielt darauf ab, diese umfassendere und feinkörnigere Kontrolle in den Kern der Netzwerkfunktionen zu bringen, und zwar stärker als authentifizierter Netzwerkzugang und NAC. SD-Access entspricht den aktuellen Bestrebungen für ein Zero-Trust-Netzwerk, da SD-Access eine Plattform bietet, mit der Netzwerkteams sicherstellen können, dass sich ein System akzeptabel verhält. Das erfolgt nicht nur bei der Anmeldung, sondern auch bei jeder nachfolgenden Interaktion. Bei SD-Access muss das Netzwerk einem System nicht mehr vertrauen, dem es zuvor vertraut hat. Ein SD-Access-Netzwerk kann einen Software-defined Perimeter (SDP) oder einen Zero Trust Network Access (ZTNA) implementieren.
Wie funktioniert SD-Access?
SD-Access funktioniert durch die Verknüpfung der folgenden drei Elemente:
- Edge-Zugangskontrolle (Edge Access Control)
- Eine zentralisierte Richtlinien-Engine (Centralized Policy Engine)
- Behavioral Threat Analytics (verhaltensorientierte Bedrohungsanalyse)
Edge Access Control
Edge Switches übernehmen die Zugangskontrolle für SD-Access. Sie erzwingen die anfängliche Authentifizierung der Systemidentität und eine erneute Authentifizierung nach der ersten Zulassung. Sie weisen auch virtuelle LANs (VLAN) zu und wenden Zugriffskontrolllisten (ACL) auf jeden Port an, um zu kontrollieren, welche Teile des Netzwerks dieser Port erreichen kann. In einem herkömmlichen Netzwerk sind diese Zuweisungen im Wesentlichen statisch; in einem SD-Access-Netzwerk sind sie dynamisch und können jederzeit aktualisiert werden.
Wenn sich eine Richtlinie ändert, können sich auch diese Zuweisungen ändern. Solche Änderungen werden sofort wirksam, und die Systeme müssen sich neu authentifizieren und neu autorisieren. Wenn sich ein System nicht korrekt verhält und von anderen Systemen isoliert werden muss, kann sein Port gesperrt oder einem Quarantäne-VLAN zugewiesen werden.
Zentralisierte Policy Engine
Edge Switches weisen Ports VLANs zu und wenden ACLs auf Anweisung einer zentralisierten Policy Engine an. Im Kern eines SD-Access-Systems geben Edge Switches Zugriffsrichtlinien aus, die es SD-Access ermöglichen (aber nicht erfordern) Zero Trust zu implementieren. Die Zugriffsrichtlinien können ein breites Spektrum an Sicherheitsumgebungen schaffen. Diese können von völlig offen, das heißt, ohne jegliche Form der Autorisierung, bis hin zu vollständigem Zero Trust reichen, bei dem jeglicher Zugriff, der nicht ausdrücklich erlaubt ist, blockiert wird.
Behavioral Threat Analytics
Das Tool zur Behavioral Threat Analytics macht das SD-Access-Netzwerk verhaltensorientiert, was für die Implementierung eines SDP oder einer ZTNA unerlässlich ist. Es kann Anomalien im Verhalten erkennen und die Policy Engine benachrichtigen. Beispiele für Anomalien sind Verhaltensweisen, die mit Angriffen oder kompromittierten Systemen in Verbindung gebracht werden. Die Policy Engine kann dann das Edge-Netzwerk anweisen, den Zugang für die entsprechende Entität oder Identität zu blockieren, unter Quarantäne zu stellen oder einzuschränken.
Fazit
SD-Access ist einer von vielen Ansätzen für Zero Trust. Unternehmen, die Zero Trust am Netzwerkrand einführen möchten, sollten SD-Access zusammen mit anderen Optionen, zum Beispiel SDP, in Betracht ziehen. Darüber hinaus sollten sie die Implementierung von ZTNA in Erwägung ziehen, sobald es die Ressourcen erlauben.
