Was ist ein sicheres Web-Gateway?

Ein sicheres Web-Gateway blockiert gefährliche Inhalte oder filtert sie heraus und verhindert Datenlecks. Wenn ein Unternehmen ein sicheres Web-Gateway verwendet, muss der gesamte Internet-Traffic der Mitarbeiter durch dieses Gateway geführt werden.

Share facebook icon linkedin icon twitter icon email icon

Sicheres Web-Gateway

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Verstehen, was ein sicheres Web-Gateway ist
  • Erfahren, wie sichere Web-Gateways funktionieren
  • Anwendungskontrolle, URL-Filterung und andere wichtige Leistungsmerkmale kennenlernen

Was ist ein sicheres Web-Gateway?

secure web gateway

Ein sicheres Web-Gateway bzw. sicheres Internet-Gateway ist ein Cybersicherheitsprodukt, das Unternehmensdaten schützt und Sicherheitsrichtlinien des Unternehmens durchsetzt. Sichere Web-Gateways werden zwischen den Mitarbeitern des Unternehmens und dem Internet eingesetzt. Wie ein Wasserfilter, der gefährliche Verunreinigungen aus dem Wasser entfernt, so dass man es bedenkenlos trinken kann, filtern sichere Web-Gateways unsichere Inhalte aus dem Web-Traffic heraus, um Cyberbedrohungen und Datenschutzverletzungen zu stoppen. Auch riskantes bzw. nicht autorisiertes Benutzerverhalten wird durch sie blockiert.

Alle Produkte im Bereich der sicheren Web-Gateways nutzen folgende Technologien:

  • URL-Filterung
  • Malware-Erkennung und -blockierung
  • Anwendungskontrolle

Bei sicheren Web-Gateways können außerdem DLP (Data Loss Prevention, Schutz vor Datenverlust), Inhaltsfilterung und andere Traffic-Filter enthalten sein.

Wie funktioniert ein sicheres Web-Gateway?

Einige sichere Web-Gateways werden auf Proxyservern ausgeführt. So wie jemand einen Bevollmächtigten als Stellvertreter („proxy“) zu einer Versteigerung senden kann, repräsentiert ein Proxyserver ein anderes Gerät im Internet. Ein Proxyserver ist ein Server, der im Auftrag eines Clientgeräts (z. B. des Laptops eines Benutzers) oder eines anderen Servers Anfragen stellt und Antworten empfängt. Bei einem sicheren Web-Gateway kann dieser Proxyserver entweder ein tatsächlicher physischer Server oder eine seine virtuelle Maschine in der Cloud sein.

Andere sichere Web-Gateways sind reine Software. Softwarebasierte Gateways können entweder lokal in einem Unternehmen oder in der Cloud als SaaS-Anwendung ausgeführt werden. Außerdem sind manche sichere Web-Gateways lokale „Vorrichtungen“: physische Geräte, die an die IT-Infrastruktur eines Unternehmens angeschlossen werden.

Die Funktionsweise sicherer Web-Gateways ist weitgehend gleich, unabhängig davon, wo sie ausgeführt oder wie sie bereitgestellt werden. Wenn ein Clientgerät eine Anfrage an eine Website oder Anwendung im Internet sendet, wird diese zuerst über das sichere Web-Gateway übertragen. Das Gateway überprüft die Anfrage und leitet sie nur weiter, wenn sie nicht gegen festgelegte Sicherheitsrichtlinien verstößt. Das ist vergleichbar mit einem Wachmann, der die Tasche einer Person an einem Sicherheitskontrollpunkt durchsuchen kann, bevor er sie passieren lässt. In der Gegenrichtung funktioniert es ähnlich: Alle eingehenden Daten werden vom sicheren Web-Gateway überprüft, bevor sie an Benutzer weitergegeben werden.

Was ist eine Sicherheitsrichtlinie?

Eine Sicherheitsrichtlinie ist eine Regel, die beim gesamten Daten- und Netzwerk-Traffic innerhalb eines Unternehmens eingehalten werden muss. Nehmen wir zum Beispiel an, ein Unternehmen stellt eine Richtlinie auf, wonach der gesamte Netzwerk-Traffic verschlüsselt sein muss. Um diese Richtlinie durchzusetzen, müsste man alle Websites blockieren, die kein HTTPS verwenden. Ein sicheres Web-Gateway ist eine Möglichkeit, diese Richtlinie zu umzusetzen, denn es kann den gesamten Netzwerk-Traffic ohne HTTPS herausfiltern.

Wie setzen sichere Web-Gateways Sicherheitsrichtlinien durch?

Sichere Web-Gateways können mit dem überprüften und weitergeleiteten Web-Traffic verschiedene Maßnahmen durchführen, um Sicherheitsrichtlinien durchzusetzen:

URL-Filterung

Eine URL ist die Zeichenfolge, die beim Laden einer Webseite oben in einem Browser angezeigt wird, z. B. https://www.cloudflare.com/learning/. URL-Filterung ist daher eine Möglichkeit zu steuern, welche Websites ein Benutzer laden kann.

Bei der URL-Filterung wird normalerweise mit einer schwarzen Liste gearbeitet: also einer Liste bekannter schädlicher Websites, die nicht zugelassen werden. Wenn ein Benutzer versucht, eine Website zu laden, die auf der schwarzen Liste steht, blockiert das sichere Web-Gateway die Anfrage und die Website wird nicht auf das Gerät des Benutzers geladen.

Anti-Malware-Scan

Sichere Web-Gateways scannen den Netzwerk-Traffic nach Malware. Dazu untersuchen sie die durchlaufenden Daten und vergleichen sie mit dem Code bekannter Malware. Einige Gateways testen auch durch „Sandboxing“ auf Malware: Sie führen potenziellen Schadcode in einer kontrollierten Umgebung aus, um zu beobachten, wie er sich verhält. Wenn Malware erkannt wird, blockiert das Gateway sie.

Ein Großteil des Netzwerk-Traffics im Internet wird mit HTTPS verschlüsselt*. Viele sichere Web-Gateways können den HTTPS-Traffic entschlüsseln, um ihn nach Malware zu durchsuchen. Nach der Überprüfung verschlüsselt das Gateway den Traffic wieder und leitet ihn an den Benutzer oder den Webserver weiter. (Informieren Sie sich hier über HTTPS-Verschlüsselung.)

*Bei der Verschlüsselung werden Daten so geändert, dass sie zufällig erscheinen. Verschlüsselte Daten können erst gelesen werden, wenn sie entschlüsselt wurden. Die Entschlüsselung ist die Umkehrung des Verschlüsselungsprozesses.

Anwendungskontrolle

Sichere Web-Gateways können erkennen, welche Anwendungen die Mitarbeiter verwenden. Auf dieser Grundlage können sie steuern, auf welche Ressourcen verschiedene Anwendungen zugreifen, oder bestimmte Anwendungen insgesamt blockieren. Einige sichere Web-Gateways bieten noch mehr Kontrolle über die Anwendungsnutzung: zum Beispiel können sie die Anwendungsnutzung anhand der Identität oder des Standorts eines Benutzers kontrollieren.

Weitere Leistungsmerkmale sicherer Web-Gateways sind unter anderem:

  • Filterung von Inhalten: Dieses Feature erkennt bestimmte Arten von Inhalten und blockiert sie. So eine Inhaltsfilterung kann beispielsweise verhindern, dass freizügige Videos oder Fotos in ein Unternehmensnetzwerk gelangen. Die IT-Administratoren des Unternehmens können die Richtlinie zur Inhaltsfilterung bei ihrem sicheren Web-Gateway in der Regel anpassen.
  • Data Loss Prevention (DLP): Dieses Feature („Schutz vor Datenverlust“) wird nicht von allen sicheren Web-Gateways angeboten, kann bei der Verhinderung von Datenschutzverletzungen jedoch sehr wirksam sein. DLP funktioniert ähnlich wie die Inhaltsfilterung, nur umgekehrt: Anstatt zu verhindern, dass Inhalte in ein Netzwerk gelangen, wird verhindert, dass Inhalte ein Netzwerk verlassen. DLP erkennt, wenn vertrauliche Daten aus einer vom Unternehmen kontrollierten Umgebung heraus gelangen, und redigiert („schwärzt“), blockiert oder tokenisiert* die Daten, um ein Datenleck zu verhindern. Man könnte DLP zum Beispiel so einrichten, dass alle 16-stelligen Zahlen in von Mitarbeitern gesendeten E-Mails erkannt und redigiert werden, damit vertrauliche Kreditkartennummern nicht aus dem Netzwerk gelangen können.

*Tokenisierung bedeutet, dass vertrauliche Daten, z. B. eine Kreditkartennummer, durch einen Platzhalterwert ersetzt werden, der auf die vertraulichen Daten verweist.

Wie sieht das alles in der Praxis aus? Hier ein Beispiel:

Angenommen, Alice arbeitet in einer Firma, die ein sicheres Web-Gateway verwendet, und sie möchte sich ein Bild eines Kaninchens ansehen. Alice klickt auf einen Hyperlink, der zu einem Foto eines Kaninchens führt. Dadurch erzeugt ihr Gerät eine HTTP-Anfrage für das Foto. Diese HTTP-Anfrage wird an den Proxyserver des sicheren Web-Gateways gesendet, der überprüft, ob die Anfrage an eine gesperrte URL gerichtet ist, und sie dann an den richtigen Webserver für das Kaninchenfoto weiterleitet. Sobald das angeforderte Foto von diesem Webserver empfangen wurde, scannt das sichere Web-Gateway es und leitet es wieder an Alice weiter. Dieser ganze Vorgang sollte nur Millisekunden dauern.

Wenn Alice jedoch irgendwie dazu verleitet worden wäre, auf einen Link zu einer unsicheren Website zu klicken, weil sie dachte, es sei ein Link zum Kaninchenfoto, würde das sichere Web-Gateway die unsichere URL in der HTTP-Anfrage erkennen und blockieren. Sollte sich Alice' Unternehmen außerdem entschließen, eine Anti-Kaninchen-Richtlinie einzuführen, kann das sichere Web-Gateway das Foto über die Inhaltsfilterung blockieren.

Wie sichert Cloudflare den Web-Traffic ab?

Cloudflare Gateway bietet internen Teams umfassende Sicherheit im Internet und schützt sowohl Mitarbeiter als auch interne Unternehmensdaten. Cloudflare Gateway blockiert schädliche Inhalte durch DNS-Filter, bietet Administratoren vollständigen Einblick in den Netzwerk-Traffic und schützt Benutzer durch Browserisolation vor Online-Schadcode.

Schauen Sie sich die Leistungsmerkmale von Cloudflare Gateway näher an.