Posted on

Die Grundlagen für einen echten Zero Trust-Sicherheitsansatz

Die digitale Transformation hat die Kommunikation und den Arbeitsalltag in modernen Unternehmen grundlegend verändert. Mit zunehmender Mobilität der Mitarbeiter werden eigenen Geräte sowohl für die persönliche Kommunikation als auch für den Beruf genutzt, so dass damit auf Geschäftsanwendungen und -daten über öffentliche Netze zugegriffen wird. Gleichzeitig wurden sensible Geschäftsdaten immer weiter verteilt und befinden sich außerhalb des Unternehmenspreimeters in SaaS-Anwendungen wie Microsoft 365 und privaten Anwendungen in AWS, Azure oder Google Cloud-Plattformen.

Der Prozess der digitalen Transformation steigert die Agilität und den Informationsfluss von Unternehmen, vergrößert jedoch ebenfalls die Angriffsfläche dramatisch und setzt Unternehmen neuen Bedrohungen aus. Dies hat dazu geführt, dass die traditionelle Firewall-basierte Netzwerksicherheit zugunsten einer Cloud-basierten Zero-Trust-Architektur überdacht wird. Allerdings wird der Begriff Zero Trust in den letzten Jahren inflationär behandelt mit der Folge der Verwirrung von Unternehmen und zögerlicher Umsetzung.

 

Was bedeuted ist Zero Trust?

 

Obwohl das Konzept von Zero Trust in der Cybersicherheitsbranche seit mehr als einem Jahrzehnt existiert, versteckt sich hinter dem Begriff nicht einfach eine einzelne Technologie, wie im Falle von Identitäts-Management, Fernzugriff oder Netzwerksegmentierung. Zero Trust ist ein ganzheitlicher Ansatz zur Absicherung moderner Organisationen. Er basiert auf dem Prinzip des Least Privileged Access und damit dem Grundsatz, dass kein Benutzer und keine Anwendung von vorneherein als vertrauenswürdig eingestuft werden sollten. Ohne den Vertrauensvorschuss muss jeglicher Zugriff auf Basis der Anwenderauthentifizierung und des Kontexts eingerichtet werden. Unternehmensrichtlinien dienen bei diesem Konzept auf jedem Schritt als Gatekeeper.

Im Kern wird eine Zero-Trust-Sicherheitsplattform von drei Eckpfeilern gebildet:

  • Konnektivität basiert auf Identität und Richtlinien werden Kontext-basiert erstellt
  • Anwendungen werden für Angreifern unsichtbar gemacht
  • Verwendung einer proxy-basierten Architektur zur Verbindung mit Anwendungen und zur Überprüfung des Datenverkehrs
 

Identitäts-und Richtlinien-basierte Konnektivität

 

Herkömmliche VPNs und Firewalls bringen die Benutzer für den Anwendungszugriff in das Netz. Sobald der Benutzer im Netzwerk ist, erhöht sich durch gewährte Vertrauen das Risiko von lateralen Bewegungen durch eingeschleppte Malware. Im Gegensatz dazu verwendet Zero Trust eine Kontext- und Identitäts-basierte Authentifizierung und Richtlinienüberprüfung, um verifizierte Benutzer sicher mit ganz bestimmten, genehmigten Anwendungen zu verbinden, ohne Benutzer direkt auf das Unternehmensnetzwerk zugreifen zu lassen. Dies verhindert laterale Bewegungen und reduziert so das Geschäftsrisiko. Da die Netzwerkressourcen niemals dem Internet ausgesetzt werden, können sich Unternehmen auf diese Weise vor Ransomware, DDoS und gezielten Angriffen schützen.

 

Anwendungen werden für Außenstehende unsichtbar

 

Die Migration von Anwendungen in die Cloud vergrößert die Angriffsfläche eines Unternehmens erheblich. Herkömmliche Firewalls veröffentlichen Anwendungen im Internet, so dass sie von Benutzern aber eben auch Hackern gefunden werden können. Ein Zero Trust-Ansatz vermeidet es, das Unternehmensnetzwerk dem Internet auszusetzen, indem Quellidentitäten verborgen und IP-Adressen verschleiert werden. Die Angriffsfläche eines Unternehmens lässt sich reduzieren, indem Anwendungen für Angreifer unsichtbar und nur für autorisierte Benutzer zugänglich sind. Damit können Unternehmen ihren Zugriff auf Anwendungen im Internet, in SaaS sowie in öffentlichen oder privaten Clouds sicher gestalten.

 

Proxy-basierte Architektur zur Verbindung mit Anwendungen und zur Überprüfung des Datenverkehrs

 

Next-Generation Firewalls haben Schwierigkeiten, verschlüsselte Datenverkehr flächendeckend und ohne Leistungseinbußen zu prüfen. Dies zwingt Unternehmen oft dazu, sich zwischen schneller Verfügbarkeit und Sicherheit zu entscheiden, wobei oft die Verfügbarkeit gewinnt. Die Prüfung des verschlüsselten Datenverkehrs wird demzufolge umgangen, was zu einem größeren Risiko von Cybersecurity-Bedrohungen und Datenverlusten führen kann. Darüber hinaus verwenden Firewalls einen Passthrough-Ansatz, der es unbekannten Inhalten ermöglicht, ihr Ziel zu erreichen, bevor eine Analyse auf Malware abgeschlossen ist. Erst wenn eine Bedrohung erkannt wird, wird eine Warnung verschickt. Das kann unter Umständen zu spät sein, um die Ausführung der Malware zu verhindern.

Ein wirksamer Schutz vor Bedrohungen und Datenverlusten erfordert stattdessen eine Proxy-Architektur, die SSL-Sitzungen prüft, den Inhalt von Transaktionen analysiert und in Echtzeit Richtlinien- und Sicherheitsentscheidungen trifft, bevor der Datenverkehr an sein Ziel weitergeleitet wird. All dies muss außerdem in großem Umfang und ohne Beeinträchtigung der Leistung erfolgen, unabhängig davon, von wo aus die Benutzer eine Verbindung herstellen.

 

Zero Trust sorgt für moderne Sicherheit

 

Die erfolgreiche Einführung von Zero Trust beginnt mit der richtigen Plattform, die auf den oben genannten Säulen basiert. Zur Umsetzung müssen sich IT-Entscheidungsträger von traditionellen Denkweisen verabschieden. Moderne Sicherheit geht mit einer ganzheitlichen Transformation einher, die in das Gesamtkonzept der Cloud passt und das Ökosystem der Konnektivität mit Security verbindet. Die Zscaler Zscaler Zero Trust Exchange schafft die notwendige Grundlage dafür.

Posted on

SASE – Netzwerksicherheit Neu Gedacht

Das Secure Access Service Edge (SASE)-Rahmenwerk wurde von Gartner aufbauend auf den neuen Anforderungen an den modernen Geschäftsalltag entwickelt. Im Zeitalter des „Work from Anywhere“ gilt es, User, Geräte und Anwendungen sicher miteinander zu verbinden – ohne dabei auf das klassische Netzwerk zurückzugreifen. Die Sicherheit muss dazu aus dem Netzwerk ans Edge und damit zum einzelnen Mitarbeiter hin verlagert werden. Die Zscaler Zero Trust Exchange hilft dabei.

Heute werden Anwendungen neben Rechenzentren zunehmend in Multicloud-Umgebungen vorgehalten und die Anwender arbeiten in hybriden Arbeitsplatzmodellen. Der Büroschreibtisch wechselt sich dabei mit dem Home Office oder shared Office-Umgebungen ab. Da Anwender und viele Anwendungen das Netzwerk verlassen haben greift die herkömmliche Sicherheit am Unternehmensperimeter nicht mehr.

Die Gartner-Analysten stellen mit ihrem SASE-Konzept den traditionellen Ansatz auf den Kopf. Das Rahmenwerk geht davon aus, dass nicht mehr das Netzwerk in den Mittelpunkt der Sicherheitsbestrebungen gestellt werden muss, sondern die Absicherung des Datenverkehrs zum Anwender. Der Kerngedanke lautet, dass Sicherheit für das Zeitalter des „Working from Anywhere“ ebenfalls über die Cloud bereitgestellt werden sollte. So kann der Datenverkehr während des gesamten Weges vom User zu seiner Applikation geschützt werden, ohne dass der Standort des Anwenders oder der Applikation eine Rolle spielt. Der herkömmliche, netzwerkbasierte Sicherheitsansatz wird durch ein Anwender-zentriertes Modell abgelöst.

Ausschlaggebend beim Secure Access Service Edge-Rahmenwerk ist das „Edge“. Dieser Begriff dient nicht dazu, den Standort des Users zu beschreiben, sondern worauf er zugreifen möchte, denn. die Applikationen können bei unterschiedlichen Cloud-Providern liegen. Trotz der damit einhergehenden Komplexität von Mulicloud-Infrastrukturen hat der Anwender die Erwartungshaltung, mit der größtmöglichen User-Experience auf seine benötigten Anwendungen zugreifen zu können. Im Idealfall bemerkt er gar nicht mehr, wo die Applikationen vorgehalten werden, wenn der Zugriff reibungslos stattfindet.

Das SASE-Rahmenwerk bezieht für die direkt Anbindung ans Internet von jeder Niederlassung deshalb weitere Komponenten für die Konnektivität, wie z.B SD-WAN-Lösungen, mit ein.  Direktes Ausbrechen von jedem Unternehmens- oder sogar Mitarbeiterstandort spart Umwege und profitiert wiederum von einem Cloud-basierten Sicherheitskonzept. Um niedrige Latenzzeiten zu gewährleisten und den Anwender auf dem direkten Weg mit seiner Anwendung zu verbinden können außerdem Peering-Points zwischen Cloud-Anbietern und Cloud Service Providern beitragen.

 

Damit nun die Sicherheit bei einem solchen Rahmenwerk gewährleistet wird, kommt Zero Trust ins Spiel. Zero Trust Network Access (ZTNA) bietet den sicheren Zugriff für autorisierte Anwender auf ihre Applikationen, ohne die Infrastruktur des Netzwerks zu exponieren. Ein Zero Trust-basiertes Modell agiert auf Basis der User-Identität und ermöglicht granulare Segmentierung, wer auf welche Anwendungen Zugriff erhält. Dies bedeutet das Ende von geteilten Netzwerkressourcen, da jeder Zugriff auf Applikationsebene vor der Freigabe validiert wird. Dem User werden nur die Anwendungen freigegeben, die er für seine Arbeit benötigt und für deren Zugriff er berechtigt ist. Dadurch hat der Anwender nie Einblick in die gesamte Applikationslandschaft im Netzwerk und kann sich auch nicht mit Services verbinden, für die er keine Befugnis hat.

Dadurch werden solche Risiken ausgeschaltet, die Unternehmen derzeit über all die Schwachstellen in der Netzwerkinfrastruktur angreifbar machen. Wenn die Infrastruktur nicht mehr offen im Internet dargelegt wird, besteht keine Angriffsfläche für Hacker. So eliminieren Unternehmen die Möglichkeit, ihre Infrastruktur im Internet zu exponieren und nehmen Angreifern die Möglichkeit, sich ins Netzwerk zu hacken.

Die Migration der geschäftskritischen Systeme in die Cloud erzwingt ein Umdenken, wie Mitarbeiter auf die Services zugreifen können. Angesichts der Allgegenwart günstiger Internetverbindung ändert sich die Erwartungshaltung der Mitarbeiter an die Zugriffsgeschwindigkeit und auch an den Komfort des grenzenlosen Zugangs zu Anwendungen. Die größte Umstellung für die IT-Sicherheit ist die durch die Transformation einhergehende Umstellung von der Kontrollinstanz hin zur Risikominimierung. In der Cloud-basierten Welt muss anstelle der separat betrachteten Netzwerke und Sicherheit ein übergreifendes Gefüge aus Netzwerk, Sicherheit und Connectivity treten, das den einfachen, reibungslosen und komfortablen Zugriff auf Anwendungen ermöglicht, unabhängig davon, wo diese vorgehalten werden. Denn dem Anwender ist nicht vermittelbar, dass die Zugriffsgeschwindigkeit durch die Cloud leidet.

Die Zscaler Zero Trust Exchange basiert auf dem SASE-Modell und hilft bei der Bewältigung der Herausforderungen des New-Work-Modells und der sich wandelnden Arbeitswelt. Neben einer schnelleren Bereitstellung und besseren Nutzung von Cloud-Diensten profitieren Unternehmen durch die hochintegrierte Security-Plattform von höherer IT-Sicherheit bei reduzierten Kosten, weniger Komplexität, geringerem Verwaltungsaufwand und zentraler Durchsetzung neuer Richtlinien auf allen Systemen. Die IT-Abteilung kann damit nicht nur ein sicheres und schnelles Anwendererlebnis anbieten, sie erhält über eine Cloud-Plattform auch wieder den Einblick in alle Datenströme zurück und kann damit das Internet als neues Unternehmensnetz kontrollieren, auch wenn die Mitarbeiter mobil arbeiten.

Posted on

Silver Peak & Zscaler: Making SASE Work for You

As part of their digital transformation strategy, many enterprises are actively migrating applications to public cloud infrastructure and Software-as-a-Service offerings. Enterprise IT objectives and expected benefits of cloud migration include:

  • Increased agility
  • Higher application performance and availability
  • Improved application accessibility for users
  • Reduced data center footprint
  • Lower costs

Unfortunately, the transformational promise of the cloud often falls short of meeting these expectations.

Why? Because traffic patterns have changed.

They have changed not only due to the migration of apps to the cloud, but also in response to today’s “work-from-anywhere” world. Users now access applications from anywhere, from any device and across diverse WAN transports, including residential broadband.

IT has quickly come to realize that making incremental investments in their legacy routers and firewalls didn’t yield the desired outcomes. Traffic bound for the internet was still backhauled to the corporate data center, adding unnecessary latency and negatively impacting application performance.

What’s required is a complete transformation of the wide area network, and this transformation has fueled the biggest evolution of the WAN in two decades: the software-defined wide area network, or SD-WAN.

The combination of workers accessing business applications from home and remote locations (e.g. airports, coffee shops), along with the explosive growth of IoT devices is rendering the traditional enterprise security perimeter ineffective. Today’s cloud-first enterprise must arm workers with a security service solution that follows them wherever they go.

As we’ve already seen, continuing to use a hub-and-spoke architecture, backhauling internet-bound traffic to the data center for advanced security inspection, results in a sub-optimal user experience. What’s needed is a complete transformation of security infrastructure, and this has driven the rapid adoption of modern cloud-delivered security services.

WAN Transformation + Security Transformation = Digital Transformation

Only by transforming both the WAN edge and security architectures can the full promise of the cloud be fully realized.

In a report published by Gartner in November 2019, they proposed a new model called the secure access services edge – SASE for short. The model describes the integration of core WAN edge capabilities such as SD-WAN, routing and WAN optimization at the branch locations with a comprehensive array of cloud-delivered security services such as secure web gateway (SWG), firewall-as-a-service (FWaaS), cloud access security broker (CASB), zero trust network access (ZTNA) and more.

A key design principal of SASE is the transformation from complex hardware-laden branches to thin branches with cloud-native security services. The promises of the SASE model are many:

  • Improved user experience by delivering better application performance by breaking out cloud traffic locally over the internet from the branch
  • Operational efficiency by simplifying branch WAN infrastructure and through centralized orchestration of application, network and security policies
  • Reduced risk with consistent, always-up-to date, business-driven security policy enforcement
  • Increased business agility by significantly reducing the time to bring new sites and applications online or to update application and security policies

But simply adopting just any SD-WAN solution and cloud security offering is not enough to maximize the return on cloud investments described earlier.

While those individual solutions might deliver on the app performance/availability and accessibility promises and enable the shrinking of the data center, that approach falls short of delivering increased business agility and lower costs. And it won’t address consistent security policy enforcement across all users, locations and devices to mitigate risk to the enterprise.

What’s needed is fully automated orchestration of the WAN edge network functions and cloud-delivered security services. This is a 1 + 1 = 3 benefit for IT and the enterprise.