pressmaster - stock.adobe.com
Software-defined Perimeter: VPN ist nicht mehr zeitgemäß
Bei der Entwicklung von VPN waren die Netzwerkgrenzen noch klar zu erkennen. Heutige Umgebungen benötigen einen anders gefassten Sicherheitsansatz. Eine Alternative ist SDP.
In einer Welt, in der der Netzwerkperimeter exponentiell wächst, wo beginnt und endet da ein Firmennetzwerk? Es gibt unterschiedlichste Topologien, mit On-Premises, Private und Public Cloud. Daten werden mit den verschiedensten Partnern geteilt.
Angestellte, Kunden, Vertriebspartner und andere Dritte melden sich von den unterschiedlichsten Geräten an, mit den unterschiedlichsten Verbindungen und von den unterschiedlichsten Orten aus. VPNs (Virtual Private Networks) können unter diesen Voraussetzungen nicht mehr für ausreichende Sicherheit sorgen. Eine Alternative ist der sogenannte Software-defined Perimeter (SDP).
VPNs stammen noch aus Zeiten, in denen der Netzwerkperimeter, also die äußere Grenze des Netzwerks, klar definiert und vor allem abgegrenzt war. Doch in Zeiten mobiler Endgeräte und Remote Working brauchen Unternehmen einen deutlich breiteren Sicherheitsansatz. Um hier besser zu verstehen, wie sich VPN und SDP unterscheiden, hilft das Bild eines Hauses, das sinnbildlich für das Firmennetzwerk steht.
Sicherheit: Schwachstellen von VPN eliminieren
Bei unserem Haus entspricht das VPN der Haustür, die sich für jeden öffnet, der einen passenden Schlüssel hat – oder das Schloss aufbrechen kann. Denn eine Tür ist auch immer der Punkt, auf den Kriminelle ihre Anstrengungen konzentrieren werden. Außerdem gibt es in der Regel hinter der Tür keine weiteren Sicherheitsmaßnahmen, sie können sich also uneingeschränkt innerhalb des Hauses bewegen.
Gleiches gilt auch für ein VPN. Denn es stellt eine Tür in das Netzwerk dar. Und ist es einmal kompromittiert, kann ein Angriff sich schnell lateral ausbreiten und innerhalb des Rechenzentrums von Server zu Server wandern – insbesondere, wenn es keine Sicherheitsmaßnahmen gibt, die die Ausbreitung verhindern. VPNs stellen also innerhalb des Netzwerks einen SPoF (Single Point of Failure) dar, eine kritische Schwachstelle, die von Cyberkriminellen leicht ausgenutzt werden kann.
Früher, als es nur eine Handvoll Türen in ein Netzwerk gab, ließen sich VPNs noch überwachen und entsprechend absichern. Allerdings existieren mittlerweile Dutzende, wenn nicht sogar Hunderte, Türen in jedem Firmennetzwerk. So lässt sich kaum noch sicherstellen, dass alle verriegelt sind – oder dass jeder, der durch eine Tür tritt, auch die Berechtigung dazu hat.
Im Gegensatz dazu lassen sich Software-defined Perimeter als Haus ohne Türen beschreiben. Die Außenseite ist eine solide Ziegelmauer. Ohne Türen muss ein Angreifer also einen Ziegel nach dem anderen weghämmern. Aber nachdem das Netzwerk mittels Mikrosegmentierung geschützt ist, finden Angreifer hinter jedem Ziegel, den sie entfernen, nur einen weiteren Ziegel. Ein Zugang zum gesamten Haus ist also unmöglich.
Doch das ist nicht die einzige Sicherheitsmaßnahme, mit der SDPs vor Angreifern schützen. Die sogenannte dynamische Isolierung ist eine weitere. Bei dieser werden in weniger als fünf Sekunden kritische Daten und Systeme automatisch gegen unberechtigte Zugriffe isoliert. Dies verhindert eine Datenextraktion und gibt den Sicherheitsfachleuten genug Zeit, den Angriff zu untersuchen.
Auch die eigentliche Kommunikation ist bei SDPs deutlich sicherer als bei VPNs. Denn während Verbindungen über VPN die Datenübertragung nur zu einem relativ geringen Grad verschlüsseln, sind typische SDP-Verbindungen mit bis zu AES-256 verschlüsselt, was mehr als 115 Duodezilliarden möglichen Schlüsseln entspricht.
Geschwindigkeit: Einsatz in kürzester Zeit
VPNs brauchen relativ lange, bis sie tatsächlich einsatzbereit sind. Denn bei ihnen müssen große Mengen unterschiedlicher Szenarien berücksichtigt, Anwender bewertet und Regeln geschrieben werden. Diese Zeit ist bei SDPs massiv verkürzt. In manchen Fällen funktioniert das quasi binnen Millisekunden. Alles, was im besten Fall nötig ist, ist eine fehlerfreie Verbindung zwischen zwei Endpunkten.
Die SDP-Lösung baut dann einen sicheren Tunnel für die Paketübertragung zwischen zwei Geräten auf. So lässt sich ein SDP tatsächlich über Nacht für Tausende Anwender implementieren.
Einfachheit: Sicherheitsmanagement leicht gemacht
Die Komplexität ist ein weiterer Punkt, in dem sich VPNs und SDPs klar unterschieden. VPNs sind praktisch gleichbedeutend mit Komplexität, denn sie sind bekanntermaßen schwierig zu entwerfen, zu verwalten und zu warten.
Damit ein VPN ein annehmbares Level an Zugriffskontrolle bieten kann, bedarf es detaillierter und aktueller Dokumentationen, was im Angesicht der heutigen schnellwachsenden Netzwerke nahezu unmöglich ist. Darüber hinaus sind entsprechend angepasste Regelwerke für unterschiedliche geografische Regionen notwendig sowie eine Berücksichtigung möglicher Kompatibilitätsprobleme mit anderen Softwarelösungen.
„VPNs brauchen relativ lange, bis sie tatsächlich einsatzbereit sind. Denn bei ihnen müssen große Mengen unterschiedlicher Szenarien berücksichtigt, Anwender bewertet und Regeln geschrieben werden.“
Dr. Uwe Heckert, Unisys
Kommt dann noch eine Belegschaft hinzu, die in die Tausende oder gar Zehntausende geht, steigt die Komplexität nahezu ins Unermessliche. Denn jedes Mal, wenn ein neues VPN hinzugefügt oder ein neuer Benutzer zu einem bestehenden VPN hinzugefügt wird, muss ein neuer Regelsatz für die Firewall geschrieben werden.
Dies stellt eine zusätzliche Belastung für die Zugriffskontrolllisten dar. Sicherzustellen, dass jeder dieser Regelsätze stets aktuell ist, ist mathematisch nahezu unmöglich, angesichts der dynamischen Natur der Belegschaft, des Netzwerks und des Geschäfts. Das führt dazu, dass über kurz oder lang die Komplexität kaum noch zu überschauen ist – und die Sicherheit entsprechend darunter leidet.
SDPs hingegen sorgen für Einfachheit, indem sie das Sicherheitsmanagement sowohl über Netzwerke als auch Anwender und Geräte hinweg massiv verschlankt. Im Idealfall bedeutet das eine Lösung für alle Umgebungen – egal ob On-Premises, Cloud oder sogar Multi Cloud. Selbst komplexeste Umgebungen lassen sich so sehr leicht skalieren und verwalten.
Kosteneinsparungen: Maximierung der operativen Ressourcen
Zu guter Letzt darf auch der Kostenaspekt nicht vergessen werden. So ermöglichen SDPs im Vergleich zu VPNs sowohl kurz- als auch langfristig signifikante Einsparungen, wie die folgende Tabelle zeigt:
| VPN |
SDP |
| Benötigt ein eigenes Team zur Verwaltung der Komplexität des VPNs |
Benötigt kein eigenes Team, wodurch der notwendige Personalbedarf reduziert wird |
| Benötigt teure Hardware |
Spart Geld durch reinen Software-Overlay-Ansatz |
| Hat Kompatibilitätsprobleme mit anderer Software |
Lässt sich reibungslos in bestehende Security-Lösungen integrieren, was die Kosten und Probleme eines „Rip and Replace“-Projekts vermeidet |
| Erzeugt mit jedem neuen Anwender, Dienst und VPN neue Kosten |
Skaliert problemlos, ohne zusätzliche Kosten für neue Anwender, Anwendungen oder Dienste |
Bessere Sicherheit, höhere Geschwindigkeit und Einfachheit sowie mehr Kosteneinsparungen: Mehr Gründe braucht es nicht, um von VPN auf SDP umzusteigen. In einer Geschäftsumgebung, in der das Netzwerk sich immer weiter ausbreitet und Remote-Arbeit zwingend notwendig ist, ist es spätestens jetzt an der Zeit, auf Software-defined Perimeter zu setzen.
Über den Autor:
Dr. Uwe Heckert ist Vice President Public Sector EMEA bei GM Unisys Germany.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
