Ein neues Konzept für Netzwerksicherheit

Erreichbarkeit moderner dezentraler Netzwerke gewährleisten

Das Internet wurde als riesiges verteiltes Netzwerk konzipiert. Es ist daher von Natur aus ausfallsicher und bietet Computern, Servern und anderen Geräten die Möglichkeit, sich zu vernetzen und Daten nach Bedarf zu übertragen. Wenn ein einzelnes Gerät (oder eine Gruppe von Geräten) ausfällt oder die Verbindung zum Internet unterbrochen wird, hat dies in der Regel nur wenig Einfluss auf die Funktionsfähigkeit des restlichen Netzwerks.

Das Web ist also naturgemäß vor vollständigen Ausfällen sicher, doch es kann aufgrund seiner Struktur die Geschwindigkeit oder Verfügbarkeit von Verbindungen nicht garantieren. Außerdem fehlte lange ein Sicherheitskonzept, weshalb Geräte im Web nur schlecht vor dem Ausspähen von Daten, Cyberangriffen und sonstigen kriminellen Aktivitäten geschützt werden konnten.

Infolgedessen war Netzwerkinfrastruktur bisher nach einer Art „Burggraben“-Modell aufgebaut, bei dem Anwendungen und Daten in zentralisierten, lokalen Rechenzentren (der Burg) gespeichert wurden, die sich durch ein komplexes Zusammenspiel aus Hardware-Firewalls, DDoS-Appliances und anderen Sicherheitsgeräten (dem Burggraben) vor externen Bedrohungen schützen ließen. Über VPN-Verbindungen, die als „Zugbrücke“ fungierten, erhielten autorisierte Nutzer Zugang.

Der „Burggraben“-Ansatz, auch als Perimetersicherheit bekannt, ermöglichte Unternehmen einen Basisschutz ihrer Netzwerke. Das Konzept war jedoch bei weitem nicht unfehlbar, sondern brachte einige Nachteile mit sich:

Aufwendige Konfiguration und Wartung: Lokal installierte Sicherheits-Appliances zu konfigurieren und hinsichtlich der Bedrohungslage auf dem neuesten Stand zu halten, erwies sich als kostspielig. Sicherheitsteams lieferten sich daher einen ständigen Wettlauf mit Angreifern, die immer wieder neue Wege fanden, um Schwachstellen in bestehenden Systemen auszunutzen.

Einbußen bei der Performance: Wenn sich Mitarbeitende per Fernzugriff mit privaten Netzwerken verbinden mussten, nutzen sie dafür häufig VPN, obwohl sie aufgrund räumlich weit entfernter Server und Überlastungen mit einer schlechten Performance zu kämpfen hatten.

Sicherheitslücken: Wer den Netzwerkperimeter durchbrach, hatte uneingeschränkten Zugang zu Firmenressourcen, sodass sich interne und externe Datenlecks nur schwer ausschließen ließen.

Für viele Unternehmen war die Vereinfachung und Stärkung der bestehenden Netzwerkinfrastruktur eine notwendige, aber abschreckende Aufgabe, die durch die digitale Transformation noch zusätzlich erschwert wurde.

Cloud sorgt für größere Flexibilität – schafft aber auch mehr Probleme

Durch den technischen Wandel ist die Gewährleistung der Netzwerksicherheit immer schwieriger geworden. Dank SaaS- und Public-Cloud-Anbietern konnten Unternehmen ihre bisher bei lokalen Rechenzentren betriebenen Anwendungen und gespeicherten Daten auslagern. Smartphones und andere Mobilgeräte geben Mitarbeitenden zunehmend die Möglichkeit, sich auch extern mit Netzwerken zu verbinden.

Die Verbreitung cloudbasierter Dienste trug zur Dezentralisierung lokaler Rechenzentren bei und bot Unternehmen größere Flexibilität und Agilität als je zuvor. Das bedeutete aber auch, dass sensible Firmenressourcen nicht mehr in einer einzigen „Burg“ untergebracht waren, sondern auf mehrere Standorte verteilt wurden. Dies machte es wiederum schwierig, einen einheitlichen Sicherheitsperimeter zu schaffen.

Die Absicherung derartiger hybrider Umgebungen erwies sich als schwieriger als erwartet. Unternehmen mussten gesonderte Sicherheitslösungen für lokale und cloudbasierte Anwendungen und Daten einführen und gleichzeitig dafür sorgen, dass ihre Beschäftigten von jedem Standort aus sicher und bequem auf Netzwerkressourcen zugreifen können.

Die Folge war ein unübersichtlicher Flickenteppich aus unterschiedlichen Sicherheitslösungen, die zumeist nicht auf eine nahtlose Integration ausgelegt waren und daher individuell konfiguriert und gewartet werden mussten. Für Sicherheitsteams ergab sich daraus eine Reihe zusätzlicher Herausforderungen:

Beanspruchung interner Ressourcen: Der Schutz einer hybriden Umgebung ist oft ein mühsames und zeitaufwendiges Unterfangen. Da lokale Geräte cloudbasierte Anwendungen und Dienste nicht schützen können, benötigen Unternehmen separate Sicherheitssysteme, um alle internen Tools und Ressourcen abzuschirmen. Das erfordert zusätzliche Ausgaben, Zeit und Arbeit.

Viele unterschiedliche Anbieter: Cloudbasierte Netzwerksicherheit umfasst zahlreiche Bestandteile wie Cloud-Firewalls, Secure Web Gateways (SWG) und Cloud Access Security Brokers (CASB). Einen Anbieter zu finden, der sämtliche Sicherheitsdienste abdeckt, ist nicht immer leicht. Die meisten Unternehmen müssen für den Schutz einer hybriden Umgebung auf verschiedene Provider zurückgreifen, was mit Zusatzkosten und einer höheren Komplexität verbunden sein kann.

Sicherheitslücken: Arbeitet man mit mehreren Sicherheitsanbietern zusammen, lässt sich unter Umständen nur schwer gewährleisten, dass jeder Teil des Netzwerks vollständig geschützt ist und keine Sicherheitslücken verbleiben – zumal es keine zentrale Schaltstelle für die Überwachung und Wartung der Netzwerksicherheitsinfrastruktur gibt. Bei Remote-Arbeit verbinden sich die Beschäftigten zwangsläufig oft über Privatgeräte mit Firmennetzwerken, was zusätzliche Sicherheitsrisiken schafft.

Das Perimetersicherheitsmodell, mit dem sich Unternehmensnetzwerke früher relativ leicht konfigurieren, schützen und warten ließen, ist mit den dezentralen, hybriden und cloudbasierten Umgebungen von heute nicht mehr vereinbar. Dieser Wandel hat sich durch die Entwicklung im Jahr 2020 noch einmal stark beschleunigt. Angestellte arbeiten heute dezentraler als jemals zuvor und haben sich daran gewöhnt, über eine Vielzahl von Privatgeräten auf Firmenressourcen zugreifen zu können. Unternehmen erkennen zunehmend die Notwendigkeit, Mitarbeitenden, Servern und Anwendungen gerecht zu werden, die nicht in der „Burg“, sondern im Internet angesiedelt sind.

Da alte Netzwerksicherheitsmodelle mit den sich weiterentwickelnden Bedrohungen nicht mehr Schritt halten konnten und die moderne Netzwerkarchitektur immer komplexer wurde, haben Unternehmen mit der Umstellung auf ein neues cloudbasiertes Sicherheitsmodell begonnen: Secure Access Service Edge (SASE).

Der von Gartner 2019 erstmals geprägte Begriff SASE kombiniert ein Software-definiertes Wide Area Network (WAN) mit zentralen Netzwerksicherheitsservices – wie Secure Web Gateways (SWG), Cloud Access Security Broker (CASB), Cloud Firewalls (FWaaS) und Zero Trust Network Access (ZTNA)-Richtlinien – und stellt diese an der Netzwerk-Edge bereit.

SASE bietet eine optimierte Herangehensweise an Netzwerksicherheit anstelle von ineffektiven Hardware-Appliances oder einem Flickenteppich aus separaten Sicherheitslösungen. Komplizierte Backhauls werden dabei dank der Internet-Edge überflüssig. So können Unternehmen den Traffic in einem einzigen Arbeitsgang routen, kontrollieren und sichern. SASE entwickelt das Konzept der Zero Trust-Sicherheit – demzufolge jeder Benutzer jeder Anwendung ständig authentifiziert werden muss – noch etwas weiter. In Verbindung mit Zero Trust-Zugriffsrichtlinien und Bedrohungsschutz auf Netzwerkebene macht SASE herkömmliche VPN-Verbindungen, Hardware-Firewalls und DDoS-Schutz-Appliances überflüssig. So können Unternehmen ihre Netzwerksicherheitsdienste konsolidieren, zugleich erhalten Sicherheitsteams größeren Einblick in Netzwerksicherheitskonfigurationen und mehr Kontrolle über diese.

In der Praxis können sich SASE-Implementierungen je nach Anbieter und Unternehmen erheblich unterscheiden. Die meisten SASE-Lösungen bieten jedoch einige entscheidende Vorteile gegenüber lokalen und hybriden Netzwerksicherheitskonfigurationen:

Konsolidierung von Anbietern: Anstatt mit mehreren Providern und Einzellösungen zu jonglieren, können Unternehmen umfassenden Netzwerkschutz von einem einzigen SASE-Anbieter erhalten. Dadurch werden nicht nur unnötige Kosten, sondern auch komplizierte Konfigurationen vermieden, die für das Zusammenspiel verschiedener Dienste erforderlich sind.

Einheitlicher Sicherheitsperimeter: Durch die Bereitstellung dieser Dienste an der Netzwerk-Edge – einem globalen Netzwerk aus Servern und Geräten, die sich in räumlicher Nähe des Endanwenders befinden – können Unternehmen dank SASE ihre Anwendungen, Daten und Nutzer von jedem beliebigen Standort auf der Welt aus schützen.

Höhere Transparenz: Beim SASE-Ansatz werden Netzwerkdienste und Netzwerksicherheitsservices gebündelt und über eine einzige, cloudbasierte Plattform bereitgestellt. So können Sicherheitslücken zwischen einzelnen Diensten beseitigt werden, Sicherheitsteams erhalten einen besseren Überblick über die Netzwerkaktivitäten und die Migration in die Cloud wird vereinfacht.

Indem bislang voneinander abgegrenzte Netzwerk- und Sicherheitsdienste auf einer einzigen cloudbasierten Plattform zusammengeführt werden, die als Service bereitgestellt wird, schafft SASE höhere Netzwerksicherheit.

Wird dieser Ansatz richtig umgesetzt, können Unternehmen gewährleisten, dass ihre Netzwerke global, dezentral und durchgängig verbunden bleiben – ohne Abstriche bei Sicherheit oder Performance.

