ADMIN

2023

01

2022-12-29T12:00:00

Collaboration

PRAXIS

048

Sicherheit

Zero Trust

Cloud

Zusammenspiel von SASE und Zero Trust

Hand in Hand

von Mathias Hein

Veröffentlicht in Ausgabe 01/2023 - PRAXIS

Unternehmen stehen unter erheblichem Druck, mit den täglich wachsenden Anforderungen der Cybersecurity Schritt zu halten. Die Konzepte SASE und Zero Trust schicken sich an, dem Sicherheitsverantworlichen hier unter die Arme zu greifen. Wir zeigen, wie sich beim kombinierten Einsatz beider Technologien das Schutzniveau innerhalb des Netzwerks lokal und in der Cloud deutlich erhöhen lässt.

Die alten Perimeternetzwerke – auch als entmilitarisierte Zonen (DMZ) bezeichnet – stellen für Angreifer kaum noch ein Hindernis dar. Der Zweck eines solchen Konstrukts besteht nur darin, eine extra Sicherungsebene für das interne Netzwerk für den Fall vorzuhalten, dass einer der Server im Perimeter attackiert wird. Ansätze aus den Bereichen SASE und Zero Trust dominieren deshalb inzwischen die Welt der Cybersicherheit. Hierbei handelt es sich um zwei verschiedene Denkrichtungen und die daraus resultierenden Produkte.
Das bedeutet Secure Access Service Edge
Bei SASE (Secure Access Service Edge) handelt es sich um ein Architekturmodell, das Security- und Netzwerkfunktionalitäten miteinander kombiniert, um die dynamischen Zugriffsanforderungen in Unternehmen zu erfüllen. Geprägt vom Marktanalysten Gartner, dient das Konzept zur Schaffung einer sicheren Cloudumgebung, die vollständig in das Cloudnetzwerk eines Unternehmens eingebunden ist.
SASE entstand aus der Erkenntnis, dass die separate Behandlung von Netzwerk- und Sicherheitsanforderungen nicht zum Ziel führt. Traditionelle Architekturen, die das Rechenzentrum eines Unternehmens als Mittelpunkt für den Zugriff positionieren, sind in der neuen Cloudwelt zunehmend ineffektiv. SASE bietet eine Skalierbarkeit entsprechend den geschäftlichen Anforderungen und hilft bei der Verwaltung der Sicherheitsrichtlinien des Unternehmens auf verschiedenen Ebenen. Das Konzept zielt darauf ab, Komplexität zu minimieren. Es schafft die notwendige Konnektivität für Remotebenutzer, um auf die Cloudressourcen einer Organisation zuzugreifen. Hierzu ersetzt es den auf Rechenzentren fokussierten Blick durch eine Infrastruktur für Cloud-Netzwerksicherheit. Ganz nebenbei will das Modell durch das Implementieren eines mehrschichtigen, aber einheitlichen Systems von Schutzmaßnahmen auch die Effizienz maximieren.
Die alten Perimeternetzwerke – auch als entmilitarisierte Zonen (DMZ) bezeichnet – stellen für Angreifer kaum noch ein Hindernis dar. Der Zweck eines solchen Konstrukts besteht nur darin, eine extra Sicherungsebene für das interne Netzwerk für den Fall vorzuhalten, dass einer der Server im Perimeter attackiert wird. Ansätze aus den Bereichen SASE und Zero Trust dominieren deshalb inzwischen die Welt der Cybersicherheit. Hierbei handelt es sich um zwei verschiedene Denkrichtungen und die daraus resultierenden Produkte.
Das bedeutet Secure Access Service Edge
Bei SASE (Secure Access Service Edge) handelt es sich um ein Architekturmodell, das Security- und Netzwerkfunktionalitäten miteinander kombiniert, um die dynamischen Zugriffsanforderungen in Unternehmen zu erfüllen. Geprägt vom Marktanalysten Gartner, dient das Konzept zur Schaffung einer sicheren Cloudumgebung, die vollständig in das Cloudnetzwerk eines Unternehmens eingebunden ist.
SASE entstand aus der Erkenntnis, dass die separate Behandlung von Netzwerk- und Sicherheitsanforderungen nicht zum Ziel führt. Traditionelle Architekturen, die das Rechenzentrum eines Unternehmens als Mittelpunkt für den Zugriff positionieren, sind in der neuen Cloudwelt zunehmend ineffektiv. SASE bietet eine Skalierbarkeit entsprechend den geschäftlichen Anforderungen und hilft bei der Verwaltung der Sicherheitsrichtlinien des Unternehmens auf verschiedenen Ebenen. Das Konzept zielt darauf ab, Komplexität zu minimieren. Es schafft die notwendige Konnektivität für Remotebenutzer, um auf die Cloudressourcen einer Organisation zuzugreifen. Hierzu ersetzt es den auf Rechenzentren fokussierten Blick durch eine Infrastruktur für Cloud-Netzwerksicherheit. Ganz nebenbei will das Modell durch das Implementieren eines mehrschichtigen, aber einheitlichen Systems von Schutzmaßnahmen auch die Effizienz maximieren.
SASE setzt auf Software-defined
Fünf Kernkomponenten von SASE präzisieren das grundlegende Konzept:
- Software-defined-WAN (SD-WAN)
- Firewall-as-a-Service (FWaaS)
- Secure Web Gateway (SWG)
- Cloud Access Security Broker (CASB)
- Zero Trust Network Access (ZTNA)
Die Idee besteht nun darin, die passenden Komponenten für Netzwerksicherheit wirkungsvoll zu kombinieren. Ein Software-defined-WAN nutzt als Netzwerkdienst Techniken der Virtualisierung, um die Benutzer eines Unternehmens über mehrere Transportdienste wie MPLS-Knoten (Multiprotocol Label Switching), VPNs, Breitband-Internet, LTE/5G und andere be­stehende Netzwerkinfrastrukturen mit Arbeitslasten zu verbinden. Mit automatischer und optimierter Steuerung des Datenverkehrs bietet die SD-WAN-Technologie eine effiziente Alternative zum herkömmlichen WAN, da Unternehmen von den Rechenzentren vor Ort abrücken.
Generell erlaubt die SDN-Technologie eine dynamische Netzwerkverwaltung und -konfiguration, um den Anforderungen des momentanen Datenverkehrs oder bestimmten Anwendungsfällen gerecht zu werden, zum Beispiel der Aufrechterhaltung von kritischen Anwendungen. SD-WAN schafft sichere Tunnel, die es Nutzern und Unternehmen ermöglichen, sich direkt mit Software-as-a-Service- (SaaS) und Infrastruktur-as-a-Service-Anbietern (IaaS) zu verbinden. Dadurch lassen sich im Idealfall die Kosten für zusätzliche Infrastruktur senken, die Konnektivität und das Nutzererlebnis verbessern und die Angriffsflächen im Vergleich zu einem herkömmlichen oder hybriden WAN verringern.
SD-WAN greift auf anwendungsspezifische Routingprotokolle zurück, um die Anwendungsleistung zu verbessern. Die meisten SD-WAN-Produkte schaffen virtualisierte Overlays in Form von verschlüsselten Tunneln, und eine zentralisierte Managementfunktion steuert den Netzwerkverkehr über das WAN durch diese Tunnel auf die effizienteste Weise. Der Verkehr lässt sich nach Geschäftsfällen und Richtlinien priorisieren und bietet im Regelfall eine optimale Servicequalität (QoS).
Weitere Bestandteile von SASE
Firewall-as-a-Service bezeichnet im Grunde eine Firewall in der Cloud. Wie andere As-a-Service-Kategorien arbeitet die FWaaS in der Cloud und wird über das Internet bezogen und durch einen Drittanbieter aktualisiert und gewartet. Dieses Element zwischen der Netzwerk- und der Sicherheitsebene soll für einen überwachten benutzerdefinierten Verkehrsfluss zum Unternehmensnetzwerk sorgen. Dies geschieht durch die Eliminierung aller erkannten Bedrohungen, die von Benutzern erzeugt werden und sich negativ auf die Unternehmenssicherheit auswirken können.
Der Secure Web Gateway verhindert, dass ungesicherter Traffic in ein internes Netzwerk gelangt. Unternehmen setzen SWGs ein, um Mitarbeiter vor dem Zugriff auf beziehungsweise Infektionen durch schädlichen Webtraffic, Websites mit Sicherheitslücken, über das Internet übertragene Cyberbedrohungen zu schützen. Außerdem lässt sich mit SWGs die Implementierung und Einhaltung gesetzlicher Vorgaben sowie interner Richtlinien gewährleisten. Gemäß der Definition von Gartner müssen Secure Web Gateways mindestens URL-Filterung, Erkennung und Aussieben von Schadcode sowie Anwendungskontrollen bieten. Weiter ist eine native oder integrierte Data-Loss-Prevention-Funktion erforderlich.
Beim Cloud Access Security Broker handelt es sich um einen Erzwingungspunkt für die Sicherheitsrichtlinien, der zwischen Unternehmensbenutzern und Dienstanbietern in der Cloud positioniert ist. In einem CASB können mehrere unterschiedliche Richtlinien gebündelt sein – von der Authentifizierung und Zuordnung von Anmeldeinformationen über die Verschlüsselung bis hin zur Erkennung von Schadsoftware. Dieses sichere Verbindungstool für Cloudanwendungen und Benutzer besitzt die Fähigkeit, den Austausch von Diensten ständig zu überwachen. Falls erforderlich, aktiviert ein CASB Sicherheits- und Datenschutzrichtlinien, um die Einhaltung der organisatorischen Vorgaben zu gewährleisten.
Zero Trust Network Access schließlich bezeichnet eine Reihe von Technologien und Funktionen, die Remotenutzern sicheren Zugriff auf interne Anwendungen ermöglichen. ZTNA basiert auf einem adaptiven Modell, bei dem grundsätzlich keine Verbindung als vertrauenswürdig gilt. Zugriff erfolgt nur nach Erforderlichkeit mit minimaler Rechtevergabe auf Basis granularer Richtlinien. Remote-User profitieren so von sicherer Konnektivität zu privaten Apps, ohne Netzwerkzugang zu erhalten. Zudem sind Anwendungen nicht im Internet öffentlich sichtbar.
Bild 1: Die einzelnen Bestandteile des SASE-Konzepts – eine besondere Rolle spielt der Einsatz eines SD-WAN.
Zero Trust – vertraue niemandem
Zero Trust stellt ähnlich wie SASE ein Framework für Netz- und Sicherheitswerkzeuge dar, das auf einer Reihe von Grundsätzen beruht, wie Vertrauensstufen in einer Organisation zu interpretieren sind. Die Idee des Ansatzes ist es, nicht mehr davon auszugehen, dass jeder, der einmal das Netz betreten hat, für immer vertrauenswürdig ist. Denn diese blinde Verlässlichkeit hat nicht selten zu Datenschutzverletzungen geführt. Daher lautet das Mantra des Zero-Trust-Konzepts: "Vertraue niemandem, überprüfe alles!".
Die Denkweise des Zero-Trust-Ansatzes hilft dabei, die Problembereiche der zentralisierten Perimetersicherheit vor Ort zu erkennen und zu beseitigen. Die aktuellen dezentralen Zugriffskonzepte auf die Unternehmensressourcen gehen davon aus, dass der mobile Perimeter von Benutzern und Geräten gebildet wird, die von überall auf der Welt aus Zugriffsversuche unternehmen. Dies bedeutet, dass die Zugriffsauthentifizierung im gesamten Netzwerk kontinuierlich erfolgen muss. Hierzu gibt es Kategorien von Tools, die dabei helfen, eine Zero-Trust-Strategie konsistent in die Unternehmensarchitektur zu implementieren.
Benutzer und Geräte betreffend ist das Workforce Management der Ausgangspunkt, um Ordnung in den Prozess der Identitätsüberprüfung zu bringen und die Netzwerktransparenz und die Kontrollen des Datenverkehrs zu verbessern. Tools wie Multifaktor-Authentifizierung (MFA), Single Sign-on (SSO) oder IP-Zulassungslisten (Whitelisting) helfen dabei, ein mehrschichtiges Validierungssystem einzurichten, um einen sicheren Zugang mit zusätzlichen Blockierungsmöglichkeiten bereitzustellen, etwa wenn Phishing geschieht oder generell Anmeldeinformationen verlorengehen.
Beim Zero-Trust-Modell geht es nicht nur darum, niemandem und nichts zu trauen, der oder das auf das Netzwerk zugreifen will, sondern auch darum, die Umgebung zu hinterfragen, in der interne und externe Daten fließen. Durch die Aufteilung und Isolierung des Arbeitsplatzes in kleinere Segmente und die Einführung von Zero Trust Network Access oder Zweifaktor-Authentifizierung können Governance- und Compliance-Anforderungen ein zentralisiertes Risikomanagement über die Zugangskontrolle einsetzen. Netzwerk und Anwendungen bleiben so stets im Blick.
Um das Potenzial für menschliche Fehler zu minimieren und die Effektivität der ergriffenen Maßnahmen zu verbessern, ist schließlich die Automatisierung eines Zero-Trust-Systems ein Muss. Die ständige Analyse identifiziert Abweichungen von Standard-Benutzermustern und zeigt den möglichen Verbesserungsbedarf auf.
Interne Anwendungen absichern
Der sichere Remotezugriff auf interne Anwendungen basiert bei ZTNA auf den folgenden vier Prinzipien:
- ZTNA isoliert den Anwendungszugriff vollständig vom Netzwerkzugang. Diese Isolierung verringert die Risiken für das Netzwerk, beispielsweise Infektionen durch kompromittierte Geräte. Ausschließlich autorisierte User, die authentifiziert wurden, dürfen auf bestimmte Anwendungen zugreifen.
- ZTNA stellt ausschließlich ausgehende Verbindungen her und gewährleistet, dass sowohl Netzwerk- als auch Anwendungsinfrastruktur für nicht autorisierte User unsichtbar sind. Da IP-Pakete niemals ins Internet gelangen, entsteht quasi ein Darknet und das Netzwerk wird unauffindbar.
- Mithilfe der nativen Anwendungssegmentierung von ZTNA stellen IT-Verantwortliche sicher, dass der Anwendungszugriff nur individuell erfolgt. Autorisierte User können lediglich auf bestimmte Anwendungen und nicht auf das gesamte Netzwerk zugreifen. Durch die Segmentierung lassen sich Zugriffe besser kontrollieren und die laterale Ausbreitung von Malware und anderen Bedrohungen verhindern.
- ZTNA legt anders als herkömmliche Ansätze zur Netzwerksicherheit den Fokus auf den Nutzer und die von ihm eingesetzte Anwendung. Das Netzwerk verliert an Bedeutung und das Internet wird zum neuen Unternehmensnetzwerk, das Ende-zu-Ende-verschlüsselte TLS-Mikrotunnel anstelle von MPLS verwendet.
Mit der richtigen Kombination von Tools können IT-Administratoren eine Routine etablieren: Überwachung des Benutzer- und Geräteverhaltens, kontinuierliche Überprüfung der Einhaltung von Richtlinien, Verringerung potenzieller Sicherheitsverletzungen und Schutz sensibler Daten. Der Netzwerkverkehr lässt sich so besser verteilen, kontrollieren und segmentieren – Benutzer können nur auf das zugreifen, was sie entsprechend ihrer definierten Rollen brauchen. Das Potenzial eines Verstoßes ist gering, aber nie gleich null. Er kann aber effizienter erkannt und kontrolliert werden, da Aktivitätsprotokolle helfen, Unregelmäßigkeiten operativer zu erkennen.
Zwei Teile desselben Puzzles
Sowohl Zero Trust als auch SASE sind auf Bedrohungsabwehr ausgerichtete Infrastruktursysteme, die mit dem gleichen Ziel geschaffen wurden – Organisationen besser vor Cyberbedrohungen zu schützen. Keine der beiden Architekturen bietet eine fertige Lösung als Plattform. Aus diesem Grund müssen IT-Verantwortliche beide Konzepte als eine Möglichkeit zur Modernisierung der Sicherheit verstehen, um veraltete Perimeteransätze zu überwinden. Selbst aus unterschiedlichen Blickwinkeln betrachtet, ergänzen sich Zero Trust und SASE gegenseitig.
SASE als Infrastruktur ist ein riesiges Sicherheitsmodell, das für die richtige Integration viel Zeit und Ressourcen benötigt. Daher sollten die implementierten Elemente wie eine gut geölte Maschine funktionieren, die im gesamten Unternehmen verbesserte Abwehrmaßnahmen einführt. Zero Trust hingegen ist relativ einfach zu etablieren, erfordert aber ein größeres tägliches Engagement der Organisationsmitglieder. Die Verbesserung des Schutzniveaus ist der Grund, warum Zero-Trust-basierte Tools oft als wesentlicher Bestandteil von SASE angesehen werden. Und Letzteres wiederum etabliert sich als Umgebung, um die Idee von Zero Trust zu verwirklichen.
Fazit
Cyberkriminelle haben es auf die ständig wachsende Angriffsfläche der Unternehmen abgesehen. Um den Veränderungen in der Belegschaft und der Bedrohungslandschaft zu begegnen, benötigen Organisationen konsistente konvergente Netzwerke und Sicherheit, die sowohl vor Ort als auch in der Cloud verfügbar sind. Zero Trust kann das Benutzererlebnis für verteilte Anwendungen verbessern, indem es SD-WAN als Basistechnologie nutzt und den Anwendungszugriff sowie die kontinuierliche Überprüfung von Benutzern mit einer überall verfügbaren ZTNA-Durchsetzung ermöglicht.
Beide Architekturen bieten Sicherheit durch Design und eine breite Abdeckung verschiedener Komponenten im Netzwerk. Im Idealfall vereinheitlichen die entsprechenden Werkzeuge den Nutzungskomfort, erhöhen die Managebarkeit verteilt arbeitender Organisationen und verbessern die Qualität der Anwendungsleistung bis zum entfernten Perimeter. Zero Trust und SASE verlagern alles in die Cloud und optimieren die Verfahren, um ein höheres Schutzniveau zu ermöglichen und gleichzeitig Compliance-Richtlinien im Netzwerk zu beachten.
(ln)