Zero Trust trifft SASE: Das Beste aus zwei Welten

Die digitale Transformation konfrontiert IT-Sicherheitsteams mit immer komplexeren Umgebungen. Hybrides Arbeiten und die hybriden Multi-Cloud-Umgebungen von Unternehmen vergrößern die Angriffsflächen für Cyberkriminelle und erhöhen damit das Risiko, dass sie mit ihren ausgefeilten Angriffen erfolgreich sind. [...]

Foto: PeteLinforth/Pixabay

Zudem steigt die Gefahr für ungewollte Datenschutzverletzungen durch die Mitarbeiter. Schnell sind persönliche Informationen oder geistiges Eigentum versehentlich in eine öffentliche Cloud hochgeladen, wo sie laut gesetzlicher Vorgaben oder unternehmensinterner Richtlinien nichts zu suchen haben.

Als Reaktion auf diese Komplexität und die dadurch gestiegenen Risiken setzen sich in der IT-Security zwei zentrale Trends immer stärker durch. Zero Trust und SASE (Secure Access Service Edge). Der Zero-Trust-Ansatz verspricht ein sehr hohes Schutzniveau, indem es dem Grundsatz folgt, grundsätzlich allem und jedem zu misstrauen.

Der Ansatz verlangt, dass der komplette Datenverkehr geprüft wird und dass sich Nutzer, Geräte, Anwendungen und andere Einheiten bei jedem Zugriff auf Systeme oder Daten authentifizieren müssen.

Der SASE-Ansatz zielt vor allem auf eine Vereinfachung der IT-Sicherheit ab. Alle erforderlichen Security-Technologien werden mit Netzwerk-Technologien wie SD-WAN kombiniert und als integrierte Services aus der Cloud zur Verfügung gestellt.

Damit können Unternehmen Konnektivität und Sicherheit unabhängig davon gewährleisten, wo ihre Mitarbeiter tätig sind, welche Endgeräte sie nutzen, und ob sie auf geschäftliche Informationen im Internet, in der Cloud oder in On-Premises-Anwendungen zugreifen.

Seine volle Stärke entfaltet dieser Ansatz bei einem „Single Vendor SASE“. Stammen alle Services aus der Hand eines einzigen Anbieters, lassen sich sämtliche Sicherheitsvorgaben mit einem einzigen Set an Richtlinien über Web, Cloud und On-Premises hinweg durchsetzen und mit einer einzigen Konsole zentral verwalten.

Zero-Trust-Gedanken durchgängig befolgen

Mit einer geeigneten SASE-Plattform haben Unternehmen die Möglichkeit, beide Ansätze miteinander zu kombinieren und auf einmal umzusetzen. Die Voraussetzung dafür ist, dass die SASE-Plattform den Zero-Trust-Gedanken von der Zugriffskontrolle über Webtraffic und Dateiempfang bis hin zur Datenebene durchgängig befolgt.

Für die Zugriffskontrolle sollte die Plattform ZTNA-Technologie bieten (Zero Trust Network Access). Bei Remote-Zugriffen gewährt diese Technologie im Unterschied zu VPNs nur dann Zugang zu Unternehmens-Ressourcen, wenn die Anwender authentifiziert wurden.

Zudem erhalten sie nur Zugang auf Anwendungen, Daten und Services, für die sie eine ausdrückliche Berechtigung besitzen. Im Gegensatz zu VPNs ist dadurch kein potenzieller Zugriff auf sämtliche Systeme möglich. Gelingt es Angreifern, in ein System einzudringen, können sie sich von dort aus nicht ungehindert im Unternehmensnetzwerk weiterbewegen.

Für sicheren Webtraffic kann eine SASE-Plattform mit Remote Browser Isolation (RBI) sorgen. Diese Technologie misstraut grundsätzlich allen Webseiten. Rufen Mitarbeiter eine Website auf, wird sie auf einen isolierten externen Browser in der Cloud geladen, der ein Abbild der Inhalte erzeugt und lediglich dieses Abbild auf die Browser der Mitarbeiter streamt. Diese bemerken keinen Unterschied, weil sie aber keinerlei HTML-Code erhalten, werden sie automatisch vor potentiellem Schadcode bewahrt.

Einen sicheren Empfang von Dateien, kann Zero Trust Content Disarm and Reconstruction (CDR) gewährleisten. Diese Technologie geht davon aus, dass alle Dokumente, die Mitarbeiter aus dem Internet herunterladen oder als E-Mail-Anhang empfangen, Schadcode enthalten.

Deshalb extrahiert sie aus den Dokumenten die Informationen, bei denen schädliche Inhalte garantiert ausgeschlossen werden können, und setzt daraus komplett neue Dateien im Ursprungsformat zusammen. Sie sind vollständig frei von ausführbarem Code und können dadurch auch keine Schadsoftware mehr enthalten.

Mitarbeiter vor folgenschweren Fehlern bewahren

Um ungewollte Abflüsse sensibler Informationen zu verhindern, sollte die SASE-Plattform den Zero-Trust-Gedanken auch auf Dateiebene anwenden. Dafür muss sie Technologien für  Data Discovery und Data Loss Prevention (DLP) mitbringen.

Data Discovery scannt sämtliche Systeme wie Fileserver, Cloudspeicher, Notebooks und Desktop-PCs und erkennt die gesuchten Daten mithilfe selbstlernender KI-Modelle automatisch. Mit Data Loss Prevention können Unternehmen ihre Daten dann abhängig von der Klassifikation mit Richtlinien schützen.

Stellt das System einen Verstoß gegen diese Richtlinien fest, macht es die Mitarbeiter darauf aufmerksam – etwa durch das Aufpoppen einer Warnmeldung, wenn Mitarbeiter im Begriff sind, kritische Daten in eine Public Cloud hochzuladen.

Nach dem Motto „Vertraue niemandem, überprüfe alles“ können Unternehmen mit einer solchen Lösung sicherstellen, dass ihre Daten richtig klassifiziert und in ihren heterogenen IT-Umgebungen keine wichtigen Daten übersehen werden. Zudem haben sie die Gewissheit, dass niemand geistiges Eigentum oder regulierte Daten entgegen der Richtlinien teilen oder hochladen und herunterladen kann.

Damit geben sie ihren Mitarbeitern eine entscheidende Hilfestellung an die Hand. Sie können beim Umgang mit Daten bessere Entscheidungen treffen und werden vor folgenschweren Fehlern und Missgeschicken bewahrt.

Um dies effizient und ganzheitlich zu gewährleisten, sollte die SASE-Plattform einen „Data first“-Ansatz verfolgen, sprich: den Schutz der Daten zur zentralen Basis für den Web-Zugang, den Cloud-Zugang und den Zugang zu On-Premises-Anwendungen machen. Die DLP-Technologie sollte in das Secure Web Gateway (SWG), den Cloud Access Security Broker (CASB) und die ZTNA-Lösung der Plattform integriert sein.

Dann haben Unternehmen die Möglichkeit, ihre sensiblen Daten über Endgeräte, Websites, Cloud-Dienste, Netzwerke, E-Mails und On-Premises-Anwendungen hinweg mit einem einzigen und einheitlichen Satz an Sicherheitsrichtlinien vor ungewollten Abflüssen zu schützen – und so Datenschutzvorfälle zu vermeiden, die ihnen großen finanziellen Schaden zufügen und ihre Reputation nachhaltig beschädigen.

Was ist SASE?

SASE beschreibt ein Cloud-Architekturmodell, das Netzwerk- und Security-as-a-Service-Funktionen bündelt und als einen gemeinsamen Cloud-Service bereitstellt. SASE ermöglicht es Organisationen, ihre Netzwerk- und Sicherheitswerkzeuge in einer einzigen Verwaltungskonsole zu vereinen. (Quelle: Bechtle)

Was ist Zero Trust Strategie?

Zero Trust ist eine strategische Initiative, die hilft, Datenlecks zu verhindern, indem sie das Konzept der Vertrauenswürdigkeit aus der Netzwerkarchitektur eines Unternehmens eliminiert. Das Grundprinzip lautet „glauben Sie nichts ungeprüft“. (Quelle: Palo Alto)

powered by www.it-daily.net


Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*