Die digitale Transformation konfrontiert IT-Sicherheitsteams mit immer komplexeren Umgebungen. Hybrides Arbeiten und die hybriden Multi-Cloud-Umgebungen von Unternehmen vergrößern die Angriffsflächen für Cyberkriminelle und erhöhen damit das Risiko, dass sie mit ihren ausgefeilten Angriffen erfolgreich sind. Zudem steigt die Gefahr für ungewollte Datenschutzverletzungen durch die Mitarbeiter. Schnell sind persönliche Informationen oder geistiges Eigentum versehentlich in eine öffentliche Cloud hochgeladen, wo sie laut gesetzlicher Vorgaben oder unternehmensinterner Richtlinien nichts zu suchen haben.
Als Reaktion auf diese Komplexität und die dadurch gestiegenen Risiken setzen sich in der IT-Security zwei zentrale Trends immer stärker durch. Zero Trust und SASE (Secure Access Service Edge). Der Zero-Trust-Ansatz verspricht ein sehr hohes Schutzniveau, indem es dem Grundsatz folgt, grundsätzlich allem und jedem zu misstrauen. Der Ansatz verlangt, dass der komplette Datenverkehr geprüft wird und dass sich Nutzer, Geräte, Anwendungen und andere Einheiten bei jedem Zugriff auf Systeme oder Daten authentifizieren müssen.
Der SASE-Ansatz zielt vor allem auf eine Vereinfachung der IT-Sicherheit ab. Alle erforderlichen Security-Technologien werden mit Netzwerk-Technologien wie SD-WAN kombiniert und als integrierte Services aus der Cloud zur Verfügung gestellt. Damit können Unternehmen Konnektivität und Sicherheit unabhängig davon gewährleisten, wo ihre Mitarbeiter tätig sind, welche Endgeräte sie nutzen, und ob sie auf geschäftliche Informationen im Internet, in der Cloud oder in On-Premises-Anwendungen zugreifen. Seine volle Stärke entfaltet dieser Ansatz bei einem „Single Vendor SASE“. Stammen alle Services aus der Hand eines einzigen Anbieters, lassen sich sämtliche Sicherheitsvorgaben mit einem einzigen Set an Richtlinien über Web, Cloud und On-Premises hinweg durchsetzen und mit einer einzigen Konsole zentral verwalten.
Zero-Trust-Gedanken durchgängig befolgen
Mit einer geeigneten SASE-Plattform haben Unternehmen die Möglichkeit, beide Ansätze miteinander zu kombinieren und auf einmal umzusetzen. Die Voraussetzung dafür ist, dass die SASE-Plattform den Zero-Trust-Gedanken von der Zugriffskontrolle über Webtraffic und Dateiempfang bis hin zur Datenebene durchgängig befolgt.
Für die Zugriffskontrolle sollte die Plattform ZTNA-Technologie bieten (Zero Trust Network Access). Bei Remote-Zugriffen gewährt diese Technologie im Unterschied zu VPNs nur dann Zugang zu Unternehmens-Ressourcen, wenn die Anwender authentifiziert wurden. Zudem erhalten sie nur Zugang auf Anwendungen, Daten und Services, für die sie eine ausdrückliche Berechtigung besitzen. Im Gegensatz zu VPNs ist dadurch kein potenzieller Zugriff auf sämtliche Systeme möglich. Gelingt es Angreifern, in ein System einzudringen, können sie sich von dort aus nicht ungehindert im Unternehmensnetzwerk weiterbewegen.
Für sicheren Webtraffic kann eine SASE-Plattform mit Remote Browser Isolation (RBI) sorgen. Diese Technologie misstraut grundsätzlich allen Webseiten. Rufen Mitarbeiter eine Website auf, wird sie auf einen isolierten externen Browser in der Cloud geladen, der ein Abbild der Inhalte erzeugt und lediglich dieses Abbild auf die Browser der Mitarbeiter streamt. Diese bemerken keinen Unterschied, weil sie aber keinerlei HTML-Code erhalten, werden sie automatisch vor potentiellem Schadcode bewahrt.
Einen sicheren Empfang von Dateien, kann Zero Trust Content Disarm and Reconstruction (CDR) gewährleisten. Diese Technologie geht davon aus, dass alle Dokumente, die Mitarbeiter aus dem Internet herunterladen oder als E-Mail-Anhang empfangen, Schadcode enthalten. Deshalb extrahiert sie aus den Dokumenten die Informationen, bei denen schädliche Inhalte garantiert ausgeschlossen werden können, und setzt daraus komplett neue Dateien im Ursprungsformat zusammen. Sie sind vollständig frei von ausführbarem Code und können dadurch auch keine Schadsoftware mehr enthalten.
Mitarbeiter vor folgenschweren Fehlern bewahren
Um ungewollte Abflüsse sensibler Informationen zu verhindern, sollte die SASE-Plattform den Zero-Trust-Gedanken auch auf Dateiebene anwenden. Dafür muss sie Technologien für Data Discovery und Data Loss Prevention (DLP) mitbringen. Data Discovery scannt sämtliche Systeme wie Fileserver, Cloudspeicher, Notebooks und Desktop-PCs und erkennt die gesuchten Daten mithilfe selbstlernender KI-Modelle automatisch. Mit Data Loss Prevention können Unternehmen ihre Daten dann abhängig von der Klassifikation mit Richtlinien schützen. Stellt das System einen Verstoß gegen diese Richtlinien fest, macht es die Mitarbeiter darauf aufmerksam – etwa durch das Aufpoppen einer Warnmeldung, wenn Mitarbeiter im Begriff sind, kritische Daten in eine Public Cloud hochzuladen.
Nach dem Motto „Vertraue niemandem, überprüfe alles“ können Unternehmen mit einer solchen Lösung sicherstellen, dass ihre Daten richtig klassifiziert und in ihren heterogenen IT-Umgebungen keine wichtigen Daten übersehen werden. Zudem haben sie die Gewissheit, dass niemand geistiges Eigentum oder regulierte Daten entgegen der Richtlinien teilen oder hochladen und herunterladen kann. Damit geben sie ihren Mitarbeitern eine entscheidende Hilfestellung an die Hand. Sie können beim Umgang mit Daten bessere Entscheidungen treffen und werden vor folgenschweren Fehlern und Missgeschicken bewahrt.
Um dies effizient und ganzheitlich zu gewährleisten, sollte die SASE-Plattform einen „Data first“-Ansatz verfolgen, sprich: den Schutz der Daten zur zentralen Basis für den Web-Zugang, den Cloud-Zugang und den Zugang zu On-Premises-Anwendungen machen. Die DLP-Technologie sollte in das Secure Web Gateway (SWG), den Cloud Access Security Broker (CASB) und die ZTNA-Lösung der Plattform integriert sein. Dann haben Unternehmen die Möglichkeit, ihre sensiblen Daten über Endgeräte, Websites, Cloud-Dienste, Netzwerke, E-Mails und On-Premises-Anwendungen hinweg mit einem einzigen und einheitlichen Satz an Sicherheitsrichtlinien vor ungewollten Abflüssen zu schützen – und so Datenschutzvorfälle zu vermeiden, die ihnen großen finanziellen Schaden zufügen und ihre Reputation nachhaltig beschädigen.
Was ist SASE?
SASE beschreibt ein Cloud-Architekturmodell, das Netzwerk- und Security-as-a-Service-Funktionen bündelt und als einen gemeinsamen Cloud-Service bereitstellt. SASE ermöglicht es Organisationen, ihre Netzwerk- und Sicherheitswerkzeuge in einer einzigen Verwaltungskonsole zu vereinen. (Quelle: Bechtle)
Was ist Zero Trust Strategie?
Zero Trust ist eine strategische Initiative, die hilft, Datenlecks zu verhindern, indem sie das Konzept der Vertrauenswürdigkeit aus der Netzwerkarchitektur eines Unternehmens eliminiert. Das Grundprinzip lautet „glauben Sie nichts ungeprüft“. (Quelle: Palo Alto)