Zero Trust aus der Cloud
Was ist eigentlich Cloud Security?
Die Verschiebung von Anwendungen und Services in die Cloud hat die Grenzen des klassischen Sicherheitsmodells aufgebrochen und erfordert eine Verlagerung der Sicherheit in die Cloud-Infrastruktur.
Cloud Security beschreibt diese Verlagerung von klassischen Security Gateways in die Cloud und somit eine Anpassung der zentralen Sicherheitsarchitektur.
Cloud Security bietet eine Vielzahl von Vorteilen, unabhängig davon, woher, wofür oder wohin Zugriffe stattfinden. Dazu gehört:
- die Durchsetzung von unternehmensweiten Richtlinien (On- sowie Off-Premises),
- die rechtzeitige Erkennung von Bedrohungen und effiziente Abwehr,
- die Absicherung von Nutzern, Daten und Anwendungen
- sowie eine konsolidierte Verwaltung und Übersicht auf einer Plattform.
Was ist SASE, SSE, CASB, SWG und Co?
SASE (Secure Access Service Edge) ist ein von Gartner definierter Begriff für ein neues Sicherheitskonzept, das ein zentrales Framework darstellt. SASE-Plattformen kombinieren verschiedene Teilaspekte wie ZTNA (Zero Trust Network Access), CASB (Cloud Access Security Broker), SWG (Secure Web Gateway) und weitere konsolidierte Netzwerk- und Security-as-a-Services in einer Verwaltungskonsole. SASE bietet Flexibilität und Skalierbarkeit, Kostenersparnis, reduzierte Komplexität der Netzwerkinfrastruktur sowie Threat Prevention und Data Protection.
Lernen Sie mehr zur praktischen Anwendung von SASE in unserem Hands-On Workshop mit Palo Alto. Jetzt kostenfrei anmelden.
SWG (Secure Web Gateway) ist eine (cloud-basierte) Lösung, die dazu dient, Anwender vor Gefahren aus dem Web zu schützen und unternehmensspezifische Richtlinien durchzusetzen. SWG verwendet Technologien wie Malware-Schutz, Threat-Erkennung und URL-Filter. Das SWG ist in etwa vergleichbar mit einer Next Generation Firewall im lokalen Data-Center.
CASB (Cloud Access Security Broker) ist ein Service zur Durchsetzung von IT-Sicherheitsrichtlinien, der ortsunabhängig für Daten- und Bedrohungsschutz in der Cloud und auf jedem Endgerät sorgt. CASB wird eingerichtet, um die Sicherheitsrichtlinien des Unternehmens beim Zugriff auf cloud-basierten Daten oder Anwendungen durchzusetzen.
Unternehmen setzen CASB-Produkte ein, um Cloud-Risiken zu identifizieren, zu bewältigen, Sicherheitsrichtlinien durchzusetzen und somit Vorschriften einzuhalten, selbst wenn sich Cloud-Services außerhalb ihrer Reichweite und ihrer direkten Kontrolle befinden.
Hauptbestandteile einer CASB-Lösung sind die folgenden vier Kategorien:
Visibility – Transparenz & Kontrolle aller Cloud Applications und Cloud Services
Compliance – Gewährleistung zur Einhaltung von Sicherheitsrichtlinien & Vorschriften
Data Security – Festlegung und Durchsetzung von Datensicherheitsrichtlinien
Threat Protection – Erkennung von Cloud-Bedrohungen mittels Anti-Malware & Sandbox-Tools
ZTNA (Zero Trust Network Access) ist eine Lösung zur Erweiterung oder zum Ersetzen des klassischen VPN (Virtual Private Network), um mehr Möglichkeiten für den Remote-Zugriff zu schaffen. Mit ZTNA wird Mitarbeitenden nur der Zugriff zu der/den Anwendung/en ermöglicht, die tatsächlich zur Ausführung der jeweiligen Tätigkeit benötigt werden. Wenn die Funktionsweise dieses Modells in seiner fortschrittlichsten Form betrachtet wird, treten einige wichtige Konzepte zur Orientierung hervor:
- Kontext (die Bewertung des gesamten Kontexts, einschließlich der Identität und vieler anderer Variablen)
- Least Privilege (die Gewährung eines Minimums an Zugriffsrechten, das für die Arbeit benötigt wird)
- Risikoeinstufung (die Unterscheidung normaler Aktivitäten von verdächtigen Aktivitäten in Echtzeit)
- Verschleierung der Applikation (keine IP-Adressen werden offengelegt / Verbindung ist erst möglich, nachdem der Kontext bewertet wurde)
- Kontinuierliches adaptives Vertrauen (Verbindungen überwachen und Zugriffsberechtigungen auf der Grundlage sich ändernder Kontextinformationen laufend anpassen)
Zero Trust ist ein Sicherheitskonzept, das alle Dienste, User und Endgeräte unabhängig von ihrer Position innerhalb oder außerhalb der Unternehmensinfrastruktur gleich behandelt und ihnen misstraut. Im Zero-Trust-Umfeld wird alles und jeder überprüft. Benutzer, Geräte und Anwendungen werden bei jeder Anmeldung zur Authentifizierung gezwungen und der Vertrauensstatus wird während der Sitzung periodisch überprüft.
Abhängig von diesem Kontext wird das Vertrauensniveau des Benutzers für jede Sitzung bestimmt. Wenn beispielsweise ein Benutzer außerhalb der Arbeitszeiten von einem ungewöhnlichen Ort aus Zugriff auf eine hochsensible Anwendung anfordert, wird ein mehrstufiger Authentifizierungsprozess angewendet. Zudem wird der Zugriff auf wenige Daten und Funktionen beschränkt, die nur im schreibgeschützten Modus verfügbar sind.
Security Service Edge (SSE) “Das neue SASE?”
Das Security Service Edge (SSE) ist ein neues Sicherheitsparadigma, das von Gartner als Teil der Secure Access Service Edge (SASE) Architektur beschrieben wird. SSE ist ein integriertes, cloud-zentriertes Angebot, das den sicheren Zugriff auf Internet-Websites, SaaS und private Anwendungen ermöglicht. Es kombiniert in der Regel Zugriffskontrolle, Bedrohungsschutz, Datensicherheit, Sicherheitsüberwachung und Kontrolle der zugelassenen Nutzeraktivitäten. Unternehmen, die einen SSE-Ansatz verfolgen, konzentrieren sich darauf, die Komplexität ihrer Infrastruktur zu reduzieren und die Benutzererfahrung zu verbessern, indem sie mehrere unterschiedliche Sicherheitsfunktionen in einer zentral verwalteten SSE-Cloud-Lösung eines einzigen Anbieters konsolidieren.
Netskope ist ein Anbieter von Sicherheitslösungen, der vor zehn Jahren von einem Team von Security-Veteranen gegründet wurde. Die Security-Plattform wurde in der Cloud für die Cloud entwickelt und hat im Laufe der Zeit mehrere Funktionen und Patente hinzugefügt, darunter NG SWG, ZTNA, CSPM/SSPM, Cloud Firewall, IoT-Sicherheit und mehr als 80 Patente.
Netskope wurde von Gartner und IDC bereits als Leader im Bereich Cloud Access Security Broker (CASB) bezeichnet und wurde nun auch als Leader im Bereich Security Service Edge (SSE) anerkannt.
Mit Netskope’s SSE werden alle für SASE erforderlichen Sicherheitsdienste in einer einheitlich integrierten Form zusammengeführt, wodurch die Leistungsfähigkeit und Effizienz drastisch erhöht und die Komplexität und Kosten reduziert werden.
Zu den wichtigsten Features zählen:
- Visibilität und detaillierter Kontext für Websites, Applikationen, Benutzer und Daten
- Sicherer Zugriff auf Web- und Cloud-Applikationen
- Extrem hoher Datenschutz durch Instanz-Erkennung und granulare Data-Protection-Profile
- Erkennung & Mitigierung von Threats in Websites, SaaS- und IaaS-Umgebungen sowie privaten Applikationen
- Single Management/Console architecture (für Web, SaaS, IaaS und privater Zugriff)
Die Einhaltung der GDPR (bzw. DSGVO) wird durch die Speicherung der Metadaten / Transaction Logs in den Netskope-Rechenzentren (Management Plane) in Frankfurt oder Amsterdam sichergestellt.
Highlights von Netskope Security Service Edge
| Cloud Security Feature | Funktion | Mehrwert mit SSE |
|---|---|---|
| Secure Web Gateway (SWG) | Kontrolliert den Zugang und verteidigt gegen Bedrohungen aus dem Internet. | Advanced Threat Protection |
| Cloud Access Security Broker (CASB) | Durchsetzung von Sicherheitsrichtlinien zwischen Anwendern und Cloud Apps. | Vereinfacht die Administration: eine Verwaltungskonsole, konsolidiert Policies zwischen SWG & CASB. |
| Zero Trust Network Access (ZTNA) | Nur der Zugriff zur Anwendung, der tatsächlich zur Ausführung der jeweiligen Tätigkeit benötigt wird. | Adaptiert und verbessert die Privilged Access Management Strategie. |
| Remote browser isolation (RBI) | Sicheres, isoliertes Anzeigen riskanter Websites, sodass kein Website-Code auf den Endgeräten ausgeführt wird. | Zusätzlicher Schutz, in Kombination mit Nutzerverhalten und Risikobewertung. |
| Cloud Firewall | Steuert den Zugriff auf nicht Web- und Cloud-Apps. | Sichert on- und off-premises-Verbindungen und lokale Internet-Breakouts für den gesamten Traffic, ohne dass Hardware oder Software verwaltet werden muss. |
Fazit
In der heutigen cloud-basierten Welt müssen Unternehmen eine intelligente und skalierbare Sicherheitsstrategie implementieren, die den Schutz von Mitarbeiter- und Unternehmensdaten gewährleistet – unabhängig davon, auf welche Applikationen zugegriffen wird oder wo sich die Mitarbeiter befinden. Die IT Compliance ist dabei von entscheidender Bedeutung, um sicherzustellen, dass alle Vorgaben und Standards eingehalten werden. SSE und SASE sind Modelle, die diese Herausforderungen bewältigen und eine effiziente, transparente und einfach anzuwendende Sicherheitsstrategie bieten. Compliance Manager haben mit diesen Modellen Werkzeuge an der Hand, um Vorgaben und Standards gezielt umzusetzen und nachzuweisen.
Wir stehen Ihnen gerne zur Seite, um Sie bei der Implementierung einer solchen Sicherheitsstrategie zu unterstützen und zu beraten. Vereinbaren Sie einfach einen Termin mit uns!