Was ist ein sicheres Web-Gateway (SWG)?

Ein sicheres Web-Gateway (SWG) blockiert oder filtert gefährliche Inhalte heraus und verhindert Datenverluste. Der gesamte Internet-Traffic der Mitarbeiter läuft über das SWG.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Verstehen, was ein sicheres Web-Gateway ist
  • Erfahren, wie sichere Web-Gateways funktionieren
  • Anwendungskontrolle, URL-Filterung und andere wichtige Leistungsmerkmale kennenlernen

Link zum Artikel kopieren

Was ist ein sicheres Web-Gateway (SWG)?

Ein sicheres Web-Gateway (SWG) ist ein Cybersicherheitsprodukt, das Unternehmensdaten schützt und Sicherheitsrichtlinien durchsetzt. SGWs werden zwischen den Mitarbeitern des Unternehmens und dem Internet eingesetzt. Wie ein Wasserfilter, der gefährliche Verunreinigungen aus dem Wasser entfernt, so dass man es bedenkenlos trinken kann, filtern SWGs unsichere Inhalte aus dem Web-Traffic heraus, um Cyberbedrohungen und Datenschutzverletzungen zu stoppen. Auch riskantes bzw. nicht autorisiertes Benutzerverhalten wird durch sie blockiert.

Alle SWG-Produkte nutzen folgende Technologien:

  • URL-Filterung
  • Malware-Erkennung und -blockierung
  • Anwendungskontrolle

Bei SGWs können außerdem DLP (Data Loss Prevention, Schutz vor Datenverlust), Inhaltsfilterung und andere Traffic-Filter enthalten sein.

Warum ein sicheres Web-Gateway verwenden?

In der Vergangenheit fanden die Geschäftsprozesse größtenteils innerhalb eines internen Unternehmensnetzwerks statt. Doch da immer mehr Mitarbeiter remote arbeiten und auf Cloud Computing angewiesen sind, müssen Unternehmen zusätzlich zu ihren internen privaten Netzwerken oder an deren Stelle das Internet nutzen. Und die Vielfalt und Anzahl der Bedrohungen im Internet, von Phishing-Angriffen bis hin zu mit Malware infizierten Webseiten, haben SWGs für viele Unternehmen unverzichtbar gemacht.

Wie funktioniert ein sicheres Web-Gateway?

Einige SWGs werden auf Proxyservern ausgeführt. Ein Proxyserver repräsentiert ein anderes Gerät im Internet. Es ist ein Server, der im Auftrag eines Clientgeräts (z. B. des Laptops eines Benutzers) oder eines anderen Servers Anfragen stellt und Antworten empfängt. Bei einem sicheren Web-Gateway kann dieser Proxyserver entweder ein tatsächlicher physischer Server oder eine seine virtuelle Maschine in der Cloud sein.

Andere SWGs sind reine Software. Softwarebasierte Gateways können entweder lokal in einem Unternehmen oder in der Cloud als SaaS-Anwendung ausgeführt werden. Außerdem sind manche SWGs lokale „Vorrichtungen“: physische Geräte, die an die IT-Infrastruktur eines Unternehmens angeschlossen werden.

Die Funktionsweise von SWGs ist weitgehend gleich, unabhängig davon, wo sie ausgeführt oder wie sie bereitgestellt werden. Wenn ein Clientgerät eine Anfrage an eine Website oder Anwendung im Internet sendet, wird diese zuerst über das SWG übertragen. Das Gateway überprüft die Anfrage und leitet sie nur weiter, wenn sie nicht gegen festgelegte Sicherheitsrichtlinien verstößt. Das ist vergleichbar mit einem Wachmann, der die Tasche einer Person an einem Sicherheitskontrollpunkt durchsucht, bevor er sie passieren lässt. In der Gegenrichtung funktioniert es ähnlich: Alle eingehenden Daten werden vom SWG überprüft, bevor sie an Benutzer weitergegeben werden.

Da SWGs überall eingesetzt werden können, sind sie besonders hilfreich für die Verwaltung von Remote-Mitarbeitern. Wenn Unternehmen, die auf eine verteilte Belegschaft angewiesen sind, von ihren Mitarbeitern verlangen, dass sie über ein sicheres Web-Gateway auf das Internet zugreifen, können sie Datenschutzverletzungen besser verhindern, selbst wenn sie keine direkte Kontrolle über die Geräte oder Netzwerke ihrer Mitarbeiter haben.

Wie setzen sichere Web-Gateways Sicherheitsrichtlinien durch?

Eine Sicherheitsrichtlinie ist eine Regel, die beim gesamten Daten- und Netzwerk-Traffic innerhalb eines Unternehmens eingehalten werden muss. Nehmen wir zum Beispiel an, ein Unternehmen stellt eine Richtlinie auf, wonach der gesamte Netzwerk-Traffic verschlüsselt sein muss. Um diese Richtlinie durchzusetzen, müsste man alle Websites blockieren, die kein HTTPS verwenden. Ein sicheres Web-Gateway ist eine Möglichkeit, diese Richtlinie umzusetzen, denn es kann den gesamten Netzwerk-Traffic ohne HTTPS herausfiltern.

SWGs können mit dem überprüften und weitergeleiteten Web-Traffic verschiedene Maßnahmen durchführen, um Sicherheitsrichtlinien durchzusetzen:

URL-Filterung

Eine URL ist die Zeichenfolge, die beim Laden einer Webseite oben in einem Browser angezeigt wird, z. B. https://www.cloudflare.com/learning/. URL-Filterung ist daher eine Möglichkeit zu steuern, welche Websites ein Benutzer laden kann.

Bei der URL-Filterung wird normalerweise mit einer Blockierliste gearbeitet: also einer Liste bekannter schädlicher Websites, die nicht zugelassen werden. Wenn ein Benutzer versucht, eine Website zu laden, die auf der Blockierliste steht, blockiert das SWG die Anfrage und die Website wird nicht auf das Gerät des Benutzers geladen.

Anti-Malware-Scan

SGWs scannen den Netzwerk-Traffic nach Malware. Dazu untersuchen sie die durchlaufenden Daten und vergleichen sie mit dem Code bekannter Malware. Einige Gateways testen auch durch „Sandboxing“ auf Malware: Sie führen potenziellen Schadcode in einer kontrollierten Umgebung aus, um zu beobachten, wie er sich verhält. Wenn Malware erkannt wird, blockiert das Gateway sie.

Ein Großteil des Netzwerk-Traffics im Internet wird mit HTTPS verschlüsselt*. Viele SWGs können HTTPS-Traffic entschlüsseln, um den Traffic auf Malware zu scannen. Nach der Prüfung verschlüsselt das Gateway den Traffic erneut und leitet ihn an den Nutzer oder den Webserver weiter. Dieser Vorgang wird als HTTPS-Prüfung bezeichnet.

*Bei der Verschlüsselung werden Daten so geändert, dass sie zufällig erscheinen. Verschlüsselte Daten können erst gelesen werden, wenn sie entschlüsselt wurden. Die Entschlüsselung ist die Umkehrung des Verschlüsselungsprozesses.

Anwendungskontrolle

SWGs können erkennen, welche Anwendungen die Mitarbeiter verwenden. Auf dieser Grundlage können sie steuern, auf welche Ressourcen verschiedene Anwendungen zugreifen, oder bestimmte Anwendungen insgesamt blockieren. Einige SWGs bieten noch mehr Kontrolle über die Anwendungsnutzung: zum Beispiel können sie die Anwendungsnutzung anhand der Identität oder des Standorts eines Benutzers kontrollieren.

Weitere SWG-Funktionen sind:

  • Filterung von Inhalten: Dieses Feature erkennt bestimmte Arten von Inhalten und blockiert sie. So eine Inhaltsfilterung kann beispielsweise verhindern, dass freizügige Videos oder Fotos in ein Unternehmensnetzwerk gelangen. Die IT-Administratoren des Unternehmens können die Richtlinie zur Inhaltsfilterung bei ihrem sicheren Web-Gateway in der Regel anpassen.
  • Data Loss Prevention (DLP): Dieses Feature („Schutz vor Datenverlust“) wird nicht von allen sicheren Web-Gateways angeboten, kann bei der Verhinderung von Datenschutzverletzungen jedoch sehr wirksam sein. DLP funktioniert ähnlich wie die Inhaltsfilterung, nur umgekehrt: Anstatt zu verhindern, dass Inhalte in ein Netzwerk gelangen, wird verhindert, dass Inhalte ein Netzwerk verlassen. DLP erkennt, wenn vertrauliche Daten aus einer vom Unternehmen kontrollierten Umgebung heraus gelangen, und redigiert („schwärzt“) oder blockiert die Daten, um ein Datenleck zu verhindern. Man könnte DLP zum Beispiel so einrichten, dass alle 16-stelligen Zahlen in von Mitarbeitern gesendeten E-Mails erkannt und redigiert werden, damit vertrauliche Kreditkartennummern nicht aus dem Netzwerk gelangen können.

Wie passen sichere Web-Gateways in ein SASE-Modell?

SASE (Secure Access Service Edge) bündelt Netzwerk-Features mit verschiedenen Sicherheits-Features (z. B. SWGs) und stellt sie über ein einziges globales Netzwerk bereit.

So wie viele Sicherheitsprodukte ist auch eine SWG ein Einzellösungsprodukt, das oft getrennt von anderen Netzwerk- und Netzwerksicherheitsfunktionen verwaltet wird. Mit einem SASE-Framework können Unternehmen jedoch ihre Netzwerke und Netzwerksicherheit von einem einzigen cloudbasierten Anbieter implementieren und verwalten lassen.

Wie sichert Cloudflare Gateway den Web-Traffic?

Cloudflare Gateway bietet internen Teams umfassende Sicherheit im Internet und schützt sowohl Mitarbeiter als auch interne Unternehmensdaten. Cloudflare Gateway blockiert böswillige Inhalte durch DNS-Filter, bietet Administratoren vollständigen Einblick in den Netzwerk-Traffic und schützt Benutzer durch Browserisolierung vor Online-Schadcode.

Schauen Sie sich die Leistungsmerkmale von Cloudflare Gateway näher an.