Secure Access Service Edge (SASE) ist ein Bestandteil von Zero-Trust-Architekturen, der Netzwerkelemente innerhalb und außerhalb einer herkömmlichen Netzwerkgrenze schützt. Mit dem fortschreitenden digitalen Wandel von Unternehmen, der zunehmenden Normalität von Remote-Arbeit und der Nutzung von Cloud-Diensten zur Ausführung von Anwendungen wechselt die Sicherheit in die Cloud – und SASE bietet diese Sicherheit.
Früher bestanden Computernetzwerke aus einem Büronetzwerk und dem spezifischen Rechenzentrum eines Unternehmens. Mitarbeiter kamen ins Büro und meldeten sich an einem Computer an, um auf im Rechenzentrum ausgeführte Anwendungen zuzugreifen. Alle Unternehmenstransaktionen erfolgten innerhalb des Netzwerkperimeters.
Bei diesem traditionellen Ansatz zur Netzwerksicherheit wurde eine Firewall rund um das Netzwerk eingerichtet. Befand sich ein Anwender erst einmal innerhalb dieser Firewall, galt der entsprechende Computer für das Sicherheitsprotokoll als vertrauenswürdig, und die weiteren Aktivitäten des Anwenders im Netzwerk wurden nicht mehr überwacht.
Durch den digitalen Wandel hat sich die Arbeitsweise der Mitarbeiter drastisch verändert. Viele Mitarbeiter greifen im Büro oder per Fernzugriff auf Anwendungen zu, die außerhalb der Sicherheitsvorkehrungen des unternehmenseigenen Rechenzentrums im Internet ausgeführt werden. Beispielsweise könnte ein Mitarbeiter über einen Laptop am Küchentisch auf Salesforce zugreifen. Die Anwendung könnte sich dabei im Internet befinden, oder der Mitarbeiter greift per Fernzugriff auf die im unternehmenseigenen Rechenzentrum gehostete Anwendung zu.
In der Arbeitswelt von heute existiert das einst sorgsam geschützte Netzwerkperimeter nicht mehr, weil sich überall Zugangspunkte befinden. Und inzwischen ist das Internet das Mittel der Wahl für den Informationsaustausch. Die Herausforderung besteht in dieser Umgebung darin, die Gateways zu schützen, die zurück in die Unternehmensumgebung führen, die sogenannten Edges.
Um unzureichende Sicherheitsprotokolle für Perimeter in dieser verteilten Umgebung zu ergänzen, stützen sich IT-Teams häufig auf eine Vielzahl von Anbietern, Richtlinien und Konsolen, die Daten schützen sollen – und zwar nicht immer ganz erfolgreich. SASE ist eine neue Lösung zur Vereinfachung der Cybersicherheit und Verbesserung der Effektivität von Umgebungen mit verteiltem Zugriff.
Das SASE-Modell
SASE ist eine Sammlung von Technologien, die Netzwerk- (SD-WAN, VPN) und Sicherheitsfunktionen (SWG, CASB, FWaaS, ZTNA) kombiniert. Solche Technologien werden üblicherweise siloartig in Form von Einzellösungen bereitgestellt. SASE – oder Zero Trust Edge – kombiniert sie in einem einzelnen, integrierten Cloud-Dienst.
Das SASE-Modell ermöglicht es Unternehmen, ihre Netzwerke zu vereinen und die Sicherheit für verteilte Anwender und Geräte zu stärken.
Organisationen, die ihr anwenderseitiges Netzwerk und ihre Sicherheitsprotokolle für die Netzwerkverwaltung optimieren möchten, führen die SASE-Architektur ein, um Zero Trust Network Access zu ermöglichen. Beim Zero-Trust-Modell geht es darum, nie zu vertrauen, immer zu verifizieren und stets mit Bedrohungen zu rechnen, bis sich ein Computer als vertrauenswürdig erwiesen hat. Durch das Internet ist alles miteinander verbunden, und kein Gerät ist von Natur aus vertrauenswürdig, da es sich um eine offene Informationsplattform handelt.
SASE ist ein essenzielles Element der Zero-Trust-Architektur. Viele Aspekte von SASE sind keine von Grund auf neuen Technologien, sondern eine Kombination neuer und vorhandener Technologien. SASE bietet dem Anwender, Gerät oder Edge-Computing-Standort Sicherheitskontrolle. In der Vergangenheit entstand durch Cybersicherheitsprotokolle Firewall-Schutz für ein Rechenzentrum; bei SASE hingegen basiert die Authentifizierung auf der digitalen Identität, Echtzeit-Kontext und Unternehmensrichtlinien.
SASE umfasst drei wesentliche Bestandteile:
Ein SWG steuert den Internetzugriff und legt fest, worauf ein Anwender zugreifen kann und worauf nicht. Wenn ein Anwender versucht, auf einer verdächtigen Website auf einen Inhalt zuzugreifen oder diesen herunterzuladen, oder versucht, auf ein verbotenes Ziel zuzugreifen, etwa eine Glücksspiel-Website, wird dieser Vorgang durch das Gateway blockiert.
Cyberangriffe sind heutzutage ausgesprochen ausgeklügelt. Nachdem langsam die meisten Leute den alten Stil einer klassischen Phishing-E-Mail mit falsch geschriebenen Wörtern und einem ungewöhnlichen sprachlichen Stil erkennen konnten, gehen böswillige Angreifer inzwischen raffinierter vor. Jetzt ist es fast unmöglich zu erkennen, welche E-Mails legitim sind und welche von einem Hacker gesendet wurden, selbst für versierte Anwender.
Interne Schulungen zum Thema Cybersicherheit sind unabdingbar für zuverlässigeren Schutz, aber selbst geschulte Anwender können Fehler machen. SWG ist ein weiteres Tool, das Ihr Sicherheitsteam nutzen kann, um den gesamten eingehenden und ausgehenden Datenverkehr Ihres Netzwerks zu überwachen. Wenn eine Bedrohung auftaucht, kann das Sicherheitsteam diese mit SWG eindämmen.
CASB verleiht SaaS-Anwendungen Transparenz. Wenn ein Benutzer eine Verbindung zu Salesforce, Office 365 oder einer anderen Anwendung herstellt, kann Ihr Sicherheitsteam sehen, welche Daten Ihre Anwender übermitteln, welche Dateien zu OneDrive oder SharePoint hochgeladen bzw. von dort heruntergeladen werden und wer den entsprechenden Vorgang wann gestartet hat.
Bei CASB handelt es sich um lokal oder in der Cloud gehostete Software. Diese vermittelt unter Verwendung von Sicherheitsrichtlinien für den Cloud-Zugriff zwischen Anwendern und Cloud-Diensten und verfolgt Handlungen im Netzwerk nach.
Der Ausgangspunkt für die CASB-Berichterstattung ist die Konfiguration der Optionen für jede Anwendergruppe innerhalb der Organisation. Beispielsweise könnte eine Gruppe autorisiert sein, Inhalte hochzuladen, aber nicht herunterzuladen. Eine andere Gruppe darf vielleicht Dokumente bearbeiten, während wieder eine andere nur Lesezugriff hat. Das Unternehmen legt die Richtlinie fest.
Das Unternehmen bestimmt auch, welche Maßnahme im Falle einer verbotenen Aktion erfolgen soll. Ihr Sicherheitsteam kann Protokolle einrichten, um die Aktivität automatisch zu blockieren oder sie zuzulassen und den Vorfall der für die Überwachung verantwortlichen Person zu melden.
ZTNA-Gateways sind das neue Element von SASE. ZTNA ist eine Sicherheitsarchitektur, die nur Zugriff auf Datenverkehr zwischen authentifizierten Anwendern, Geräten und Anwendungen gewährt. Datenverkehr gilt dabei nie als vertrauenswürdig, und bei allen Endgeräten wird davon ausgegangen, dass der Anwender böswillige Absichten hat, bis das Gegenteil bewiesen wurde. ZTNA ersetzt VPNs für die Remote-Authentifizierung von Anwendern.
VPN ist die Technologie, die Unternehmen üblicherweise verwenden, um Remote-Anwender mit dem Firmennetzwerk zu verbinden. VPN bringt einige Probleme mit sich: Die Technologie ist kostspielig, und häufig ist die aufgebaute Verbindung instabil. Darüber hinaus führen ineffiziente Remote-Verbindungen für die Mitarbeiter häufig zu Problemen dabei, ihre Arbeit zu erledigen. Solche Produktivitätseinbußen kosten das Unternehmen wiederum Geld.
Das größte Problem in Bezug auf VPN ist, dass es Remote-Zugang mit eingeschränkten Sicherheitskontrollen bietet. Um über VPN auf ein Unternehmensnetzwerk zuzugreifen, authentifiziert sich ein Anwender über ein Heimnetzwerk und hat dann vollständigen Zugriff auf das Front- und Backend des Netzwerks. Der Anwender erledigt seine Arbeit im Frontend der Anwendung. Wenn Malware aus dem Internet ihren Weg auf den Computer findet, kann sie ins Backend derselben Anwendung gelangen und alle dort hinterlegten Daten abrufen. Es kommt zu einem Datenleck.
ZTNA nimmt der Malware die Möglichkeit, sich im Netzwerk zu bewegen, da ZTNA jeden Anwender, jedes Gerät und jede Anwendung im Netzwerk einzeln als vertrauenswürdig authentifiziert.
VPN-Schwachstellen:
Der Weg hin zu Zero Trust
Der erste Schritt hin zu Zero Trust ist, dass ein Unternehmen die Entscheidung trifft, diese Architektur einzuführen. Mit der Zeit können IT- und Sicherheitsteams schrittweise Technologien aus unterschiedlichen Produktgruppen implementieren, um den Reifegrad zu erhöhen.
Ein Ausgangspunkt besteht darin, die Probleme in Ihrer Umgebung zu verstehen, mit denen Ihr Unternehmen Tag für Tag zu kämpfen hat. Wenn der Internetzugang beispielsweise nicht kontrolliert wird – also jeder auf alles zugreifen kann und Anwender unbewusst und unbeabsichtigt Malware herunterladen –, könnte SWG Ihr Einstieg in die Zero-Trust-Technologie sein.
Der nächste Schritt könnte dann darin bestehen, zu bestimmen, welche SaaS-Apps Mitarbeiter nutzen und wer worauf zugreifen kann. Es ist sinnvoll, die Transparenz für Ihr Sicherheitsteam zu erhöhen, damit dieses entsprechend den Zugriff für autorisierte Aktivitäten gewähren und sicherstellen kann, dass sich Anwender stets innerhalb des Richtlinien-Frameworks bewegen.
Letzten Endes geht es bei Zero Trust um den Schutz Ihrer Daten
Auch wenn SASE-Sicherheitsparameter umgesetzt werden, ist das Netzwerk noch nicht vollständig auf Zero Trust ausgelegt; Sie sind jedoch auf dem Weg dorthin. Zero Trust ist eine langfristige Reise zur Verbesserung der Sicherheit in Ihrem Netzwerk, und wenn Sie diesen Weg fortsetzen, wird die Sicherheit immer besser.
Der Schutz physischer Assets wie Laptops oder Server oder digitaler Assets wie Anwenderkonten oder Anwendungen ist nicht das Hauptziel der Cybersicherheit. Vielmehr geht es um den Schutz der im Geschäftsbetrieb verwendeten Daten, einschließlich Benutzernamen, Kennwörtern, proprietärer Unternehmensdaten, vertraulichen Materials und Zahlungsinformationen.
Weiterführende Forschung
Weiterführende Artikel
The Future of Zero Trust in the Cloud (Die Zukunft von Zero Trust in der Cloud)
Planning for a Zero Trust Architecture (Planen einer Zero Trust-Architektur)
What is Zero Trust and Why Does it Matter? (Was ist Zero Trust und warum ist es wichtig?)
An Expert Discussion on Zero Trust (Ein Expertengespräch zum Thema Zero Trust)