Ein sicheres Web-Gateway (SWG) blockiert oder filtert gefährliche Inhalte heraus und verhindert Datenverluste. Der gesamte Internet-Traffic der Mitarbeiter läuft über das SWG.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Ein sicheres Web-Gateway (SWG) ist ein Cybersicherheitsprodukt, das Unternehmensdaten schützt und Sicherheitsrichtlinien durchsetzt. SGWs werden zwischen den Mitarbeitern des Unternehmens und dem Internet eingesetzt. Wie ein Wasserfilter, der gefährliche Verunreinigungen aus dem Wasser entfernt, so dass man es bedenkenlos trinken kann, filtern SWGs unsicheren Inhalt aus dem Web-Traffic heraus, um Cyberbedrohungen und Datenschutzverletzungen zu stoppen. Sie blockieren auch riskantes oder nicht autorisiertes Benutzerverhalten.
Alle SWG-Produkte nutzen folgende Technologien:
Bei SGWs können außerdem DLP (Data Loss Prevention, Schutz vor Datenverlust), Inhaltsfilterung und andere Traffic-Filter enthalten sein.
In der Vergangenheit fanden die Geschäftsprozesse größtenteils innerhalb eines internen Unternehmensnetzwerks statt. Doch da immer mehr Mitarbeiter remote arbeiten und auf Cloud Computing angewiesen sind, müssen Unternehmen zusätzlich zu ihren internen privaten Netzwerken oder an deren Stelle das Internet nutzen. Und die Vielfalt und Anzahl der Bedrohungen im Internet, von Phishing-Angriffen bis hin zu mit Malware infizierten Webseiten, haben SWGs für viele Unternehmen unverzichtbar gemacht.
Einige SWGs werden auf Proxyservern ausgeführt. Ein Proxyserver repräsentiert ein anderes Gerät im Internet. Es ist ein Server, der im Auftrag eines Clientgeräts (z. B. des Laptops eines Benutzers) oder eines anderen Servers Anfragen stellt und Antworten empfängt. Bei einem sicheren Web-Gateway kann dieser Proxyserver entweder ein tatsächlicher physischer Server oder eine seine virtuelle Maschine in der Cloud sein.
Andere SWGs sind reine Software. Softwarebasierte Gateways können entweder lokal in einem Unternehmen oder in der Cloud als SaaS-Anwendung ausgeführt werden. Außerdem sind manche SWGs lokale „Vorrichtungen“: physische Geräte, die an die IT-Infrastruktur eines Unternehmens angeschlossen werden.
Die Funktionsweise von SWGs ist weitgehend gleich, unabhängig davon, wo sie ausgeführt oder wie sie bereitgestellt werden. Wenn ein Clientgerät eine Anfrage an eine Website oder Anwendung im Internet sendet, wird diese zuerst über das SWG übertragen. Das Gateway überprüft die Anfrage und leitet sie nur weiter, wenn sie nicht gegen festgelegte Sicherheitsrichtlinien verstößt. Das ist vergleichbar mit einem Wachmann, der die Tasche einer Person an einem Sicherheitskontrollpunkt durchsucht, bevor er sie passieren lässt. In der Gegenrichtung funktioniert es ähnlich: Alle eingehenden Daten werden vom SWG überprüft, bevor sie an Benutzer weitergegeben werden.
Da SWGs überall eingesetzt werden können, sind sie besonders hilfreich für die Verwaltung von Remote-Mitarbeitern. Wenn Unternehmen, die auf eine verteilte Belegschaft angewiesen sind, von ihren Mitarbeitern verlangen, dass sie über ein sicheres Web-Gateway auf das Internet zugreifen, können sie Datenschutzverletzungen besser verhindern, selbst wenn sie keine direkte Kontrolle über die Geräte oder Netzwerke ihrer Mitarbeiter haben.
Eine Sicherheitsrichtlinie ist eine Regel, die beim gesamten Daten- und Netzwerk-Traffic innerhalb eines Unternehmens eingehalten werden muss. Nehmen wir zum Beispiel an, ein Unternehmen stellt eine Richtlinie auf, wonach der gesamte Netzwerk-Traffic verschlüsselt sein muss. Um diese Richtlinie durchzusetzen, müsste man alle Websites blockieren, die kein HTTPS verwenden. Ein sicheres Web-Gateway ist eine Möglichkeit, diese Richtlinie umzusetzen, denn es kann den gesamten Netzwerk-Traffic ohne HTTPS herausfiltern.
SWGs können mit dem überprüften und weitergeleiteten Web-Traffic verschiedene Maßnahmen durchführen, um Sicherheitsrichtlinien durchzusetzen:
Eine URL ist die Zeichenfolge, die beim Laden einer Webseite oben in einem Browser angezeigt wird, z. B. https://www.cloudflare.com/learning/. URL-Filterung ist daher eine Möglichkeit zu steuern, welche Websites ein Benutzer laden kann.
Bei der URL-Filterung wird normalerweise mit einer Blockierliste gearbeitet: also einer Liste bekannter schädlicher Websites, die nicht zugelassen werden. Wenn ein Benutzer versucht, eine Website zu laden, die auf der Blockierliste steht, blockiert das SWG die Anfrage und die Website wird nicht auf das Gerät des Benutzers geladen.
SGWs scannen den Netzwerk-Traffic nach Malware. Dazu untersuchen sie die durchlaufenden Daten und vergleichen sie mit dem Code bekannter Malware. Einige Gateways testen auch durch „Sandboxing“ auf Malware: Sie führen potenziellen Schadcode in einer kontrollierten Umgebung aus, um zu beobachten, wie er sich verhält. Wenn Malware erkannt wird, blockiert das Gateway sie.
Ein Großteil des Netzwerk-Traffics im Internet wird mit HTTPS verschlüsselt*. Viele SWGs können HTTPS-Traffic entschlüsseln, um den Traffic auf Malware zu scannen. Nach der Prüfung verschlüsselt das Gateway den Traffic erneut und leitet ihn an den Nutzer oder den Webserver weiter. Dieser Vorgang wird als HTTPS-Prüfung bezeichnet.
*Bei der Verschlüsselung werden Daten so geändert, dass sie zufällig erscheinen. Verschlüsselte Daten können erst gelesen werden, wenn sie entschlüsselt wurden. Die Entschlüsselung ist die Umkehrung des Verschlüsselungsprozesses.
SWGs können erkennen, welche Anwendungen die Mitarbeiter verwenden. Auf dieser Grundlage können sie steuern, auf welche Ressourcen verschiedene Anwendungen zugreifen, oder bestimmte Anwendungen insgesamt blockieren. Einige SWGs bieten noch mehr Kontrolle über die Anwendungsnutzung: zum Beispiel können sie die Anwendungsnutzung anhand der Identität oder des Standorts eines Benutzers kontrollieren.
Weitere SWG-Funktionen sind:
SASE (Secure Access Service Edge) bündelt Netzwerk-Features mit verschiedenen Sicherheits-Features (z. B. SWGs) und stellt sie über ein einziges globales Netzwerk bereit.
So wie viele Sicherheitsprodukte ist auch eine SWG ein Einzellösungsprodukt, das oft getrennt von anderen Netzwerk- und Netzwerksicherheitsfunktionen verwaltet wird. Mit einem SASE-Framework können Unternehmen jedoch ihre Netzwerke und Netzwerksicherheit von einem einzigen cloudbasierten Anbieter implementieren und verwalten lassen.
Cloudflare Gateway bietet internen Teams umfassende Sicherheit im Internet und schützt sowohl Mitarbeiter als auch interne Unternehmensdaten. Cloudflare Gateway blockiert böswillige Inhalte durch DNS-Filter, bietet Administratoren vollständigen Einblick in den Netzwerk-Traffic und schützt Benutzer durch Browserisolierung vor Online-Schadcode.
Schauen Sie sich die Leistungsmerkmale von Cloudflare Gateway näher an.