Elnur - stock.adobe.com
Anwender, Applikationen und Infrastruktur schützen
Veränderte Arbeitsweisen und Perimeter sorgen für andere Anforderungen bei Schutz und Sicherheit. Mit einer Zero-Trust-Architektur lässt sich die Angriffsfläche verringern.
Der Ansatz Zero Trust wurde in den letzten Jahren im Bereich Cybersicherheit heiß diskutiert. Das Konzept gibt es bereits länger, aber es gewinnt derzeit an Dynamik – auch, da es mit einigen weitreichenden technologischen und kulturellen Veränderungen in Unternehmen einhergeht.
Heutzutage hat sich das Netzwerkperimeter weiterentwickelt und geht über die traditionellen Unternehmensgrenzen hinaus. Das Zeitalter des hybriden Arbeitens gewinnt an Fahrt und remote arbeitende Teams sind an der Tagesordnung. Das bedeutet jedoch auch, dass es eine wachsende Zahl an nicht verwalteten, mobilen, IoT- und anderen vernetzten Geräten gibt, die die Tür zu Schwachstellen im Netzwerk öffnen.
Dies liegt auch daran, dass Unternehmen von einem festen Edge zu einem erweiterbaren Edge übergegangen sind – einem Edge, der sich dorthin erstreckt, wo sich die Datennutzer befinden. Schon vor der Pandemie bedeutete das Wachstum von Technologien wie IoT und 5G, dass Daten zunehmend am Netzwerkrand erzeugt, verarbeitet und konsumiert wurden.
Anstatt Daten jedoch auf das Rechenzentrum des Unternehmens zu beschränken, geht es heute eher um Datenzentren. Anwendungen, Workloads und Daten befinden sich überall und gleichzeitig in mehreren Clouds und an mehreren Standorten.
Daher können Unternehmen das Rechenzentrum nur absichern, wenn alle Anwendungen überall, konsistent und einfach geschützt sind. Es gibt jedoch immer größere Lücken in Bezug auf Sichtbarkeit und Schutz. Ein Grund dafür ist, dass sich die Angriffsfläche immer weiterentwickelt. Unternehmen sind daher oft gezwungen, mehrere, autarke Tools einzusetzen, um eine komplette Sichtbarkeit und damit umfangreichen Schutz zu erhalten.
Immer überprüfen, niemals vertrauen
Zero Trust gewinnt auch immer mehr an Bedeutung, da Unternehmen zunehmend erkennen, dass es keine Option mehr ist, Anwendern, Netzwerken und Systemen von vornherein zu vertrauen. Der Leitsatz für Zero Trust lautet keinem Gerät oder Anwender zu vertrauen, sondern immer alles zu überprüfen. Nutzer und Geräte müssen ihre Identität jedes Mal authentifizieren, wenn sie auf ein Netzwerk zugreifen wollen – und auf alle Anwendungen, Server oder andere Systeme.
Wie funktioniert Zero Trust und was bedeutet das für Unternehmen? Kontrollen werden dazu genutzt, Mikroperimeter um kritische Daten, Anwendungen und Services zu ziehen. So können IT-Teams gewährleisten, dass nur bekannter, erlaubter Datenverkehr und vertrauenswürdige Anwendungen Zugriff auf die zu schützenden Ressourcen haben. Mit einer Zero-Trust-Architektur können IT-Experten festlegen, wer einen Mikroperimeter passieren darf. Sie sind außerdem in der Lage, Kontrollen in der Nähe der geschützten Ressourcen einzurichten und so den unbefugten Zugriff sowie die mögliche Weitergabe sensibler und/oder wertvoller Daten zu verhindern.
Dieser Ansatz schützt Unternehmen zwar nicht vor jedem möglichen Angriff, aber er kann:
- Das Risiko von fortgeschrittenen Bedrohungen und Sicherheitsverletzungen verringern, indem Abweichungen und unbefugte Zugriffe verhindert werden;
- Schneller Bedrohungen erkennen und drauf reagieren;
- Lücken in der Sichtbarkeit reduzieren;
- Compliance-Anforderungen wie HIPAA, PCI-DSS, FISMA, EU-DSGVO und andere unterstützen.
Zero Trust und SASE
Ein erweiterbarer Netzwerkrand erfordert neue Architekturen, die es den Benutzern ermöglichen, direkt auf Daten zuzugreifen – und zwar ortsunabhängig. In diesem Fall wird der sichere Secure Access Service Edge (SASE) zunehmend als Möglichkeit angesehen, Anwender, Applikationen und Infrastruktur zu schützen. SASE kommt oft gemeinsam mit Zero Trust ins Spiel.
„Ziel für jedes Unternehmen sollte sein, dass Anwender überall auf die benötigten Daten zugreifen können und dies im Rahmen eines umfassenden Sicherheitsansatzes.“
Laurence Pitt, Juniper Networks
SASE soll die Sicherheit aus dem Rechenzentrum des Unternehmens heraus und näher an die Anwender und ihre Geräte bringen. Eines ist jedoch wichtig: SASE ist kein Produkt – unabhängig davon, was einige Anbieter sagen. Sie sind vielleicht der Meinung, dass Unternehmen SASE unabhängig von anderen Komponenten ihres Netzwerks einsetzen und aktivieren können. Allerdings geht SASE weit darüber hinaus. SASE kann eine Reihe von Komponenten umfassen, darunter Software-defined WAN, zentralisiertes Security-Management, Zero-Trust Netzwerk-Zugriff, moderne Threat Protection und Firewall-Services der nächsten Generation.
Der Schutz von Anwendern, Applikationen und Infrastruktur vor Bedrohungen ist von grundlegender Bedeutung. Nur so lässt sich ein optimales Netzwerkerlebnis gewährleisten. Gleichzeitig sollte nichts einen legitimen Nutzer stören oder ihn daran hindern, die von ihm benötigten Inhalte abzurufen.
Ziel für jedes Unternehmen sollte sein, dass Anwender überall auf die benötigten Daten zugreifen können – egal wo sie sich befinden – und dies im Rahmen eines umfassenden Sicherheitsansatzes. Dies bedeutet Schutz vor Exploits, Ransomware, IoT, Insider-Bedrohungen und Zero Days, vom Client bis zum Workload. Das ist SASE (geht aber auch darüber hinaus), kombiniert mit Zero Trust.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
