ADMIN

2022

03

2022-02-28T12:00:00

Moderne IT-Security

SCHWERPUNKT

091

Sicherheit

SASE

SASE in der Praxis

Eng verzahnt

von Joern Kraus

Veröffentlicht in Ausgabe 03/2022 - SCHWERPUNKT

Der 2019 vom Marktforschungsunternehmen Gartner geprägte Begriff Secure Access Service Edge beschreibt einen neuen Netzwerkansatz für verteilte Unternehmen, der die Sicherheit als Netzwerkfunktionalität betrachtet und über die Cloud bereitstellt. Der Beitrag beschreibt, wie die SASE-Implementierung in der Praxis erfolgt und welche Bausteine Organisationen benötigen, um ein tragfähiges Fundament für ihr SASE-Programm zu legen.

ASE, gesprochen "Sässi", ist ein neuer Ansatz, der ein breites Set von Netzwerk- und Security-as-a-Service-Funktionalitäten in einem cloud­zentrierten Servicemodell zusammenführt. Anders als im klassischen Datacenter wird der Datenstrom in diesem Modell also nicht über zentrale Ressourcen geleitet, sondern direkt am Edge und in der Cloud verarbeitet. Ziel ist es, die Anforderungen dezentraler Unternehmen und hybrider Arbeitskräfte flexibel abzubilden. Auch mit Blick auf die Sicherheit eröffnet SASE neue Möglichkeiten: Cloudbasierte Security-Tools erlauben es, Sicherheitschecks und Authentifizierungen multiregional und kontextbasiert anzustoßen und so unternehmensweit ein hohes Maß an Sicherheit zu gewähren. Gleichzeitig minimiert das zentralisierte, cloudbasierte Modell im Idealfall die Komplexität und die Kosten und verbessert Performance und Nutzererfahrung.
Im Folgenden zeigen wir, welche Security-Services eine moderne SASE-Architektur einbinden sollte und worauf es bei der Integration der Lösungen zu achten gilt.
Zero Trust als Grundlage
Traditionelle Sicherheitsgrundsätze unterscheiden oftmals nur zwischen vertrauenswürdig oder nicht vertrau­enswürdig. Hat sich eine Identität erfolgreich ins Netzwerk eingeloggt oder anderweitig Zugang erhalten, kann sie sich relativ problemlos lateral im Netzwerk ausbreiten – mit Blick auf die Netzwerksicherheit oft das Worst-Case-Szenario. Daher folgt die Security im Rahmen des SASE-Modells in der Regel einem konsequenten Zero-Trust-Ansatz, der sich intrinsisch über das gesamte Netzwerk- und Security-Ökosystem des Unternehmens erstreckt.
ASE, gesprochen "Sässi", ist ein neuer Ansatz, der ein breites Set von Netzwerk- und Security-as-a-Service-Funktionalitäten in einem cloud­zentrierten Servicemodell zusammenführt. Anders als im klassischen Datacenter wird der Datenstrom in diesem Modell also nicht über zentrale Ressourcen geleitet, sondern direkt am Edge und in der Cloud verarbeitet. Ziel ist es, die Anforderungen dezentraler Unternehmen und hybrider Arbeitskräfte flexibel abzubilden. Auch mit Blick auf die Sicherheit eröffnet SASE neue Möglichkeiten: Cloudbasierte Security-Tools erlauben es, Sicherheitschecks und Authentifizierungen multiregional und kontextbasiert anzustoßen und so unternehmensweit ein hohes Maß an Sicherheit zu gewähren. Gleichzeitig minimiert das zentralisierte, cloudbasierte Modell im Idealfall die Komplexität und die Kosten und verbessert Performance und Nutzererfahrung.
Im Folgenden zeigen wir, welche Security-Services eine moderne SASE-Architektur einbinden sollte und worauf es bei der Integration der Lösungen zu achten gilt.
Zero Trust als Grundlage
Traditionelle Sicherheitsgrundsätze unterscheiden oftmals nur zwischen vertrauenswürdig oder nicht vertrau­enswürdig. Hat sich eine Identität erfolgreich ins Netzwerk eingeloggt oder anderweitig Zugang erhalten, kann sie sich relativ problemlos lateral im Netzwerk ausbreiten – mit Blick auf die Netzwerksicherheit oft das Worst-Case-Szenario. Daher folgt die Security im Rahmen des SASE-Modells in der Regel einem konsequenten Zero-Trust-Ansatz, der sich intrinsisch über das gesamte Netzwerk- und Security-Ökosystem des Unternehmens erstreckt.
Dahinter steht die Idee, im ersten Schritt allen Usern, allen Ressourcen und den entsprechenden Zugriffen das Vertrauen abzusprechen und sämtliche Ressourcen und Nutzer konsequent voneinander abzuschirmen. Erst nach zuverlässiger kontext- oder rollenbasierter Autorisierung durch einen robusten Zugangsmechanismus wie die Multifaktor-Authentifizierung erhält eine Identität zeitlich begrenzten Zugriff auf einzelne Ressourcen oder Services.
Bei jedem neuen Zugriff auf weitere Ressourcen beginnt der Prozess von neuem. Ebenso lückenlos erfolgt die Analyse des gesamten Datenstroms. Um solch einen Zero-Trust-Ansatz durchzusetzen, bedarf es verschiedenster Security-Tools, die nahtlos miteinander verzahnt sind und sich zentral verwalten lassen.
Secure Web Gateway sorgt für Schutz
Zuverlässigen Schutz vor webbasierten Bedrohungen bietet ein Secure Web Gateway (SWG), das der Einhaltung von Security-, Compliance- und QoS-Policies dient. Es integriert eine breite Palette von Sicherheitstechnologien, stellt diese aus der Cloud heraus zur Verfügung und sorgt so dafür, dass die gesamten Netzwerkdaten bis auf die Anwendungsebene analysiert werden.
Gleichzeitig bietet die Nutzung von cloudbasierten SWGs auch Performancevorteile – aufgrund der hohen Skalierbarkeit ist SSL-Interception beispielsweise nahezu unbegrenzt möglich. Außerdem erlaubt die weltweite Verteilung von Zugangspunkten eine schnelle Anbindung an entsprechende Cloudsysteme, die hochperformant und mit den wichtigsten SaaS-Anbietern verbunden sind, und stellt so die Weichen für eine hohe Nutzerzufriedenheit.
Die tiefe Integration verschiedenster Netzwerk- und Security-Komponenten sorgt ortsunabhängig für einen sicheren und performanten Ressourcen-Zugriff.
Da das Management physischer Komponenten entfällt, haben die IT-Teams zudem mehr Zeit, um sich auf die tatsächliche Absicherung der Systeme zu konzentrieren – zumal moderne SWGs im Gegensatz zu fragmentierten Einzellösungen über ein einheitliches zentralisiertes Security-Management verfügen und damit ebenfalls zur Effizienz beitragen. Dies bedeutet, dass es für alle User unabhängig von deren Standort nur ein einziges Regelwerk zu pflegen gilt.
Aufsetzend auf einer Forward-Proxy-Architektur stellt das SWG zunächst die Anonymität der internen Clients sicher. Anschließend wird der gesamte Traffic vor der Weiterleitung von Daten aus dem Internet entschlüsselt, authentifiziert, gescannt und analysiert. Dafür gilt es, zunächst den Inhalt sichtbar und für andere Tools nutzbar zu machen. Jedes Secure Web Gateway sollte also eine robuste SSL/ TLS-Decryption-Funktion bereitstellen, die den gesamten Verkehr erst Compliance-konform entschlüsselt, dann zur Analyse weiterleitet und schließlich wieder verschlüsselt.
Kernkomponente SD-WAN
Ein entscheidendes Element des SASE-Frameworks ist das "Software-defined Wide Area Network" (SD-WAN) – also ein softwaredefinierter Ansatz für das Management von WAN-Verbindungen. Dieser soll sicherstellen, dass Netzwerkteilnehmer stets über die am besten geeigneten Verbindungen geleitet und viele gängige Übertragungsprobleme im Internet vermieden werden. Um den reibungslosen Zugriff auf Clouddienste und Anwendungen zu gewährleisten, sollten Verantwortliche bei der Konfiguration des SD-WANs darauf achten, dass es bereits Integrationsmöglichkeiten für die gewünschten Cloud- und Anwendungsanbieter vorsieht. Die tiefe Integration verschiedenster Netzwerk- und Security-Komponenten sorgt ortsunabhängig für einen sicheren und performanten Ressourcenzugriff.
Abschottung durch Sandboxing und Einmal-Container
Die entschlüsselten Daten aus dem Proxy-Server durchlaufen ebenfalls in der Cloud eine umfassende Inhaltsanalyse mit Sandboxing, um bösartigen Code in einem isolierten Umfeld identifizieren und analysieren zu können. Content-Scanner setzen dabei auf einen Mix multipler Analyseverfahren – von statischen und verhaltensbasierten Codescans über Hash-Reputationsanalysen bis hin zu Antimalware-Scans. In Verbindung mit Schwachstellendatenbanken lassen sich Bedrohungen auf diese Weise schnell und sicher identifizieren und klassifizieren, bevor Gefahr für Endpoints und Systeme entsteht.
Dennoch lässt es sich in der Praxis nie ganz ausschließen, dass User auf potenziell gefährliche Websites zugreifen: Die Zahl von Ransomware-, Malware- oder Phishing-Angriffen ist mit den Jahren und ganz besonders im Zuge der Coronapandemie rasant gestiegen. Um die Zugriffe auf Browser-Ebene zu schützen, bieten sich Tools zur Webisolation an. User können damit wie gewohnt auf sämtliche Inhalte und Websites zugreifen, selbst wenn diese noch nicht kategorisiert und potenziell riskant sind – doch diese werden abseits der Endpoints in Einweg-Containern ausgeführt und gerendert.
Anschließend leitet das Tool ausschließlich die gerenderten Webinhalte an die Browser der Mitarbeiter weiter. Es erreicht also keinerlei Code der angesprochenen Webseiten die Browser der User. Ein weiteres nützliches Feature der Webisolierung ist das Rendern von Seiten im Read-Only-Modus, um die Weitergabe von Anmeldeinformationen oder anderer sensibler Informationen zu verhindern und die Wahrscheinlichkeit kompromittierter Accounts zu minimieren. Auch E-Mail-Links zu bösartigen Websites lassen sich auf diese Weise neutralisieren.
Neben dem eingehenden Datenverkehr sind Unternehmen gut beraten, außerdem den abgehenden Traffic im Blick zu behalten. Daher gehört ein Tool zur Vermeidung ungewollter Datenverluste (Data Loss Prevention, DLP) zu den Grundkomponenten jedes SASE-Programms. Es überwacht und analysiert den gesamten Web-, Anwendungs- und E-Mail-Verkehr und verhindert, dass sensible Daten das Unternehmen verlassen oder von potenziellen Angreifern angefordert werden.
Das DLP-Werkzeug sollte so konzipiert sein, dass es auch Informationen erkennt, die an Shadow-IT-Anwendungen gesendet werden, und cloudbasierte Anwendungen scannt, um sensible Dateien zu identifizieren, die von Mitarbeitern über firmenfremde Links hochgeladen wurden.
Absicherung in Richtung Cloud durch CASB
Neben dem Secure Web Gateway gehört der Cloud Access Security Broker (CASB) zu den zentralen Bausteinen der SASE-Architektur. Im Gegensatz zum SWG überwacht er nicht die zentrale Schnittstelle zum Internet, sondern den Datenverkehr zwischen Nutzern und SaaS-Anwendungen und stellt auf diese Weise die Weichen für die durchgängige Durchsetzung der Sicherheitsrichtlinien.
Das Feature-Set reicht dabei von der Kontrolle der Zugriffe auf Anwendungen bis hin zur Malware-Erkennung in Dateidownloads. Außerdem unterstützt der CASB die Administratoren dabei, Zugriffe auf Cloud- oder nicht autorisierte Anwendungen zu erkennen und bei Bedarf zu blockieren. Über freigegebene APIs sind CASB-Systeme zudem in der Lage, Data-at-Rest in Cloudspeichern zu analysieren. Dies kann zum einen die Verbreitung von Schadcode unterbinden, zum anderen aber auch Bestandteil der DLP-Strategie sein.
Moderne Cloud-Firewall-Dienste, die typischerweise auf bewährten Next-Generation-Firewall-Technologien aufsetzen, sind ein weiterer wichtiger Baustein der SASE-Security-Architektur, da sie den Unternehmen volle Kontrolle über den Netzwerkverkehr bieten – über alle Ports und Protokolle hinweg. Darüber hinaus unterstützen zeitgemäße Firewalls Applikationserkennung und -steuerung. Auf diese Weise lassen sich granulare Policies definieren, die etwa Anwendungszugriffe nur für bestimmte Benutzergruppen erlauben.
Zu den Hauptaufgaben des SASE-Modells gehört es, das Management der Infrastrukturen zu vereinfachen und zu zentralisieren. Dafür sollte das eingesetzte Werkzeug mit einer einzigen, zentralen Managementkonsole arbeiten, die die Informationen sämtlicher Network- und Security-Services aggregiert, konsolidiert und dokumentiert – im Idealfall mit kontinuierlichem Monitoring. Im Vergleich zu fragmentierten Einzellösungen bedeutet das zentralisierte Management für Administratoren eine erhebliche Zeitersparnis.
Fazit
Studien zufolge stieg die Implementierung von SASE-Konzepten während der Corona-Pandemie sprunghaft an. SASE will den langjährigen Widerspruch zwischen Security und Performance aufheben und die oft unterbesetzten IT- und Security-Teams der Unternehmen entlasten – Ressourcen, die angesichts der steigenden Zahl der Cyberangriffe dringend benötigt werden. Die Umsetzung des SASE-Frameworks kann auch in einzelnen Schritten erfolgen. Das macht es relativ einfach, diesen Weg zu beschreiten.
(ln)
Joern Kraus ist Pre-Sales Manager bei Westcon Security.