Wohin sich CASB und SWG entwickeln

Quelle: Netskope

Daten und Nutzer bewegen sich immer häufiger in der Cloud. Durch die weltweite Ausbreitung von Homeoffice-Arbeitsplätzen wird sie vermehrt zum Arbeiten, zum Speichern von Daten und zur Zusammenarbeit genutzt.

Die digitale Transformation wurde so in nie dagewesener Weise beschleunigt. Dabei geht der Weg deutlich in Richtung der Secure Access Service Edge (SASE)-Zukunft, die Gartner erstmals 2019 in seinem Bericht „The Future of Network Security Is In the Cloud“ vorausgesagt hat.

Anzeige

Der Umbruch erstreckt sich vor allem auf vier wesentliche Bereiche: Netzwerke, Sicherheit, Anwendungen und Daten: Jede dieser Transformationen hat Auswirkungen auf die erforderlichen Fähigkeiten für Cloud Access Security Broker (CASB) und Secure Web Gateways (SWG) im Kontext der SASE-Architektur.

 

Ersatz für Ihr Secure Web Gateway (SWG)

 

Anzeige

Netzwerke

Die Netzwerk-Transformation reduziert Backhauling, Hairpinning und Latenz, um einen direkten Cloud-Zugriff zwischen Benutzern und Anwendungen zu ermöglichen. Die Zahl der Remote-Mitarbeiter ist so hoch wie nie zuvor und wird voraussichtlich auch in absehbarer Zukunft deutlich über dem Niveau vor der Pandemie liegen. Die Anwender profitieren vom direkten Cloud-Zugang im Gegensatz zur Verwendung von VPNs und MPLS-Netzwerken, bei denen der Datenverkehr von Web- und Cloud-Diensten über die Unternehmensdatenzentren geleitet wird. Zu den vielen positiven Effekten dieser Umstellung gehören eine Reduzierung der MPLS- und VPN-Kosten, eine vereinfachte Umgebung und eine verbesserte Benutzererfahrung für Web-, SaaS- und Cloud-Dienste.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Sicherheit

Die Transformation im Bereich der Security reduziert die Sicherheits-Appliances im Rechenzentrum, im Unternehmen und in den Zweigstellen. Sie führt zu einem sicheren Cloud Access Edge mit einer Single-Pass-Inspektion des Benutzerverkehrs für Web, verwaltete SaaS, nicht verwaltete SaaS (Shadow IT), öffentliche Cloud-Dienste und benutzerdefinierte Apps in diesen Cloud-Diensten. Diese fünf Arten von Benutzerverkehr erfordern alle einen Daten- und Bedrohungsschutz mit granularen Richtlinienkontrollen nach Benutzer, Gruppe oder Organisationseinheit sowie nach App, Instanz, Aktivität, Daten und anderen kontextbezogenen Variablen. Die Grundvoraussetzungen für die Sicherheitstransformation sind TLS Traffic Inspection, Zero Trust Network Access (ZTNA) für Daten und Ressourcen sowie die Fähigkeit, jeden Benutzer, jedes Gerät und jeden Standort zu unterstützen.

Anwendungen

Bei der Anwendungstransformation werden Apps aus dem Rechenzentrum in neue SaaS-Optionen bzw. neue, neugestaltete und für die Cloud entwickelte Apps migriert. Altanwendungen können zudem auf in der Cloud gehostete virtuelle Maschinen verlagert werden. Der Einsatz von SaaS-Apps hat sich laut Netskope Research Labs von durchschnittlich 1.295 Apps pro Unternehmen im Jahr 2019 auf 2.415 im Jahr 2020 fast verdoppelt. Der entscheidende Punkt bei der App-Transformation ist, dass weniger als zwei Prozent dieser Anwendungen von der IT mit Administrationsrechten verwaltet werden. Der Rest wird von Anwendern und Geschäftseinheiten selbstständig und ohne dass die IT-Teams einbezogen werden eingesetzt, was die Schatten-IT zu einem wachsenden Sicherheitsrisiko macht.

Daten

Daten werden zunehmend aus dem Rechenzentrum in Apps und Cloud-Dienste migriert. Dabei erfolgt eine Exposition insbesondere durch das Verschieben von Daten in persönliche Instanzen verwalteter Apps, nicht verwaltete Apps (Schatten-IT) oder durch das Teilen mittels Collaboration-Tools, soziale Netzwerke oder Webaktivitäten. Sicherheitsverantwortliche setzen im Zuge dieser Transformation auf Cloud-Risikobewertungen mit einem Fokus auf Schatten-IT und App-Profil-Risiken. Das Ergebnis sind neue Anwendungsfälle zur Kontrolle unbeabsichtigter oder nicht genehmigter Datenbewegungen, zum Schutz von Daten und geistigem Eigentum vor Bedrohungen aus der Cloud und dem Internet sowie zur Bereitstellung granularer Richtlinienkontrollen auf Basis des Datenkontexts für Apps und Cloud-Dienste etwa durch fortschrittliche Data Loss Prevention (DLP).

 

NG-SWG aus der Cloud ist eine Notwendigkeit

 

Stärken und Schwächen der einzelnen Ansätze

Keine dieser vier Transformationen kann wirkungsvoll adressiert werden, wenn man sich entweder auf Cloud Access Security Brokers oder auf Secure Web Gateways fokussiert. So eignet sich CASB im Allgemeinen für verwaltete Apps und Cloud-Dienste, um gespeicherte Daten (data-at-rest) zu analysieren. Zu den entsprechenden Cloud-Sicherheitslösungen gehören auch API-basiertes Cloud Security Posture Management (CSPM) und Cloud Workload Protection Platforms (CWPP) für verwaltete Cloud-Dienste. Für verwaltete Apps und Cloud-Dienste, die von der IT-Abteilung kontrolliert werden ist dies durchaus sinnvoll. Allerdings muss auch die durch Abteilungen oder einzelne Nutzer entstandene und immer weiter ausufernde Schatten-IT adressiert werden, ebenso wie persönliche Instanzen (vs. Unternehmensinstanzen) von verwalteten Apps, auf die Benutzer ebenfalls zugreifen. Eine SASE-Architektur erfordert einen Inline-Datenkontext, wodurch sich der Schwerpunkt für CASB-Lösungen in Zukunft verschiebt.

Die Fokussierung auf Secure Web Gateways legt hingegen den Schwerpunkt auf Web-Bedrohungen über eine Inline-Proxy-Lösung mit fortschrittlicher Bedrohungsabwehr einschließlich Pre-Execution-Analyse, Sandboxing, Machine-Learning-Analyse und Remote-Browser-Isolierung. Als das Internet noch die Hauptquelle für Bedrohungen war, machte dies Sinn. Allerdings verlagern sich die Bedrohungen und Risiken immer mehr in Richtung SaaS. So zeigt der APWG.org Phishing Trends Report, dass SaaS/Webmail seit zwei Jahren das Phishing-Ziel Nummer eins ist. Das Paradebeispiel für solche Angriffe ist Cloud-Phishing mit gefälschten Anmeldeformularen ist, die in vertrauenswürdigen Cloud-Speicher-Apps gehostet werden. Auch der 2021 Verizon Data Breach Investigations Report (DBIR) unterstreicht den Fokus auf Anmeldedaten und Kompromittierung von Konten bei Vorfällen und Verstößen. Es ist wesentlich einfacher, über (entwendete) Logins in Systeme zu gelangen, als in diese einzubrechen. Eine SASE-Architektur erfordert sowohl Cloud- als auch Web-Verkehr in einer Single-Pass-Proxy-Architektur mit zugehörigen Verteidigungsmaßnahmen zum Schutz von Daten und Bedrohungen.

Bereit für die Zukunft

Anbieter von Sicherheits- und Netzwerklösungen sehen sich mit neuen Herausforderungen für ihre bestehenden Lösungen konfrontiert, da die Pandemie und die zunehmende Remote-Arbeit den disruptiven Wandel beschleunigen. Viele Anbieter stellen Konsolidierung, reduzierte Komplexität und geringere Kosten als Vorteile der Netzwerk- und Sicherheitstransformationen in den Vordergrund. Allerdings werden die Anwendungs- und Datentransformationen immer disruptiver, da sie neue Anwendungsfälle vorantreiben, Risiken verwalten und Daten und Benutzer schützen sollen. Entsprechend sind Lösungen, die Anwendungs- und Datentransformationen adressieren, am besten für den nötigen Datenkontext einer SASE-Architektur geeignet.

In naher Zukunft wird es nicht mehr darum gehen, wer den besten Cloud Access Security Broker oder das beste Secure Web Gateway oder irgendein anderes Element einer SASE-Architektur anbietet. Um SASE umzusetzen, sollte man vielmehr auf effektive, integrierte CASB- und SWG-Lösungen setzen.

www.netskope.com

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.