Workshop: In KeePass gespeicherte Passwörter auf Leaks prüfen
Der kostenlose Passwortmanager KeePass verwaltet Passwörter nicht nur sicher – er prüft sie mit einem zusätzlichen Plug-in auch auf Datenleaks.
SASE-Grundlagen Teil 2: Sicherheitsfunktionen
Die Netzwerkfunktionen von Secure Access Service Edge haben wir bereits vorgestellt. In diesem Blogbeitrag geht es nun um die Sicherheitsaspekte von SASE.
Der große Erfolg von Secure Access Service Edge (SASE) beruht auf der beispiellosen Kombination aus leistungsstarken Netzwerk- und Sicherheitsfunktionen. Im ersten Teil unserer SASE-Serie haben wir bereits die Grundlagen im Netzwerkbereich wie SD-WAN, die cloudbasierte Architektur und das Wiederaufleben des Netzwerkrands vorgestellt. In diesem Beitrag konzentrieren wir uns auf die Sicherheitsfunktionen, die zweite wesentliche Komponente von SASE.
Der Sicherheitsteil von SASE ist so essenziell, dass das Beratungsunternehmen Gartner mit Security Service Edge (SSE) sogar eine zweite Variante vorgestellt hat, die sich nur auf den Security-Bereich beschränkt. Sie umfasst Funktionen wie Secure Web Gateways (SWG), Cloud Access Security Broker (CASB), Zero Trust Network Access (ZTNA), Firewall-as-a-Service (FWaaS), Data Loss Prevention (DLP), Remote Browser Isolation (RBI) und Virtual Private Networks (VPN). Im Vergleich zu SASE ist SSE meist einfacher zu implementieren und wird deshalb auch oft als erster Schritt zu einer vollständigen SASE-Umsetzung angesehen.
Die im Folgenden beschriebenen Sicherheitsfunktionen können daher sowohl Teil einer SASE- als auch einer SSE-Implementierung sein.
Secure Web Gateway (SWG) – Schutz vor schädlichem Traffic
Bei einem Secure Web Gateway handelt es sich im Prinzip um einen Proxy-Server, über den der gesamte Internetverkehr läuft. Im Gegensatz zu einem klassischen Proxy führt ein SWG jedoch zusätzliche Kontrollen durch, um schädliche Inhalte zu erkennen und herauszufiltern. Zudem handelt es sich bei einem solchen Gateway nicht mehr um eine Hardware-Appliance, die ein Unternehmen kauft und im Serverraum aufstellt.
Stattdessen sind moderne SWGs eine Dienstleistung aus der Cloud, die der Kunde mietet und nach Bedarf skaliert. Da mittlerweile ein Großteil der Kommunikation über das Internet stattfindet, gelten Secure Web Gateways heute als wesentlicher Bestandteil der Sicherheitsinfrastruktur vieler Unternehmen.
Ein SWG kontrolliert und filtert besuchte Webadressen (URLs), erkennt und blockiert Malware und steuert, welche Anwendungen genutzt werden dürfen und welche nicht. Einige Lösungen enthalten auch Funktionen, die die beabsichtigte oder auch unbeabsichtigte Übertragung von Geschäftsdokumenten verhindern sollen.
Ein SWG funktioniert ebenso einfach wie effizient: Es erlaubt eine Kommunikation nur dann, wenn sie nicht gegen eine zuvor definierte Sicherheitsrichtlinie verstößt. Eine solche Richtlinie kann zum Beispiel vorschreiben, dass der gesamte Datenverkehr verschlüsselt sein muss. In Firmen eingesetzte Secure Web Gateways entschlüsseln die Daten oft selbst, um den Inhalt zu prüfen – erst dann senden sie ihn verschlüsselt weiter. Hinzu kommen URL-Filter, die meist auf Negativlisten mit verbotenen Adressen basieren. Aber auch der umgekehrte Fall ist denkbar, also die Verwendung von Positivlisten mit explizit erlaubten Adressen. Alle anderen werden dann abgelehnt.
Data Loss Prevention (DLP) – Schutz vor Datenverlust
Viele SWGs bieten auch Funktionen zum Schutz vor Datenverlust (Data Loss Prevention, DLP). Damit soll das Secure Web Gateway verhindern, dass vertrauliche Inhalte das Unternehmen unkontrolliert verlassen. Data Loss Prevention entfernt beispielsweise automatisch sensible Daten wie Kreditkartennummern, blockiert sofort die Verbindung und/oder informiert einen Administrator.
Cloud Access Security Broker (CASB) – Daten- und Bedrohungsschutz
Ein CASB befindet sich zwischen den Endnutzern und den Anwendungen oder Ressourcen in der Cloud. Ähnlich wie Secure Web Gateways setzen sie die Sicherheitsrichtlinien eines Unternehmens bei der Nutzung bekannter und auch unbekannter Cloud-Anwendungen durch. Moderne CASB-Lösungen nutzen zum Teil bereits künstliche Intelligenz (KI), um Sicherheitsbedrohungen schneller zu erkennen.
Firewall-as-a-Service (FWaaS) – Schutz des Netzverkehrs
Cloudbasierte Firewall-Lösungen lassen sich wesentlich besser skalieren als On-Premise-Firewalls. Da sie sich selbst in der Cloud befinden, können sie auch viel besser mit den komplexen Umgebungen umgehen, die heute in vielen Firmen herrschen. Wie bei anderen Dienstleistungen aus der Cloud profitieren die Kunden auch bei FWaaS von einer einfacheren Planung und einem geringeren Aufwand. So müssen sie sich beispielsweise nicht mehr selbst um die Aktualisierung ihrer Sicherheitsarchitektur kümmern. Hinzu kommt, dass auch entfernte Niederlassungen oder Mitarbeiter diese als Firewall-as-a-Service bereitgestellten Dienste genießen und Schutz erfahren.
Zero Trust Network Access (ZTNA) – Null-Vertrauen-Prinzip
Früher gingen Sicherheitsexperten davon aus, dass alles außerhalb des eigenen Unternehmensnetzwerks potenziell böse und alles innerhalb des eigenen Netzwerks potenziell gut ist. Dies entspricht nicht mehr der heutigen Realität. Deshalb wurde das Zero-Trust-Konzept entwickelt, das zunächst einmal allem und jedem misstraut. Das bedeutet, dass alle Verbindungen und Nutzer ständig überprüft werden müssen, um weiterhin Zugang zu den Netzwerkressourcen zu bekommen. Darüber hinaus erhalten bei einer ZTNA-Umsetzung selbst Administratoren nur die für ihre aktuelle Aufgabe unbedingt notwendigen Berechtigungen – und dies auch nur für einen begrenzten Zeitraum. Danach gelten sie nicht mehr.
ZTNA ist kein Produkt an sich, sondern eine Reihe von Maßnahmen, die miteinander kombiniert werden. Dazu gehören die Authentifizierung und Autorisierung mithilfe von Multifaktor- und IAM-Lösungen (Identity and Access Management), aber auch verhaltensbasierte Audits und Lösungen zur Abwehr von Cyberbedrohungen.
SASE und auch SSE bestehen aus vielen Komponenten
Eine SASE-Implementierung besteht aus zahlreichen Netzwerk- und Sicherheitskomponenten, die aufeinander abgestimmt ein rundes Bild ergeben. Sie reichen von SD-WAN über eine cloudbasierte Umsetzung, Edge Computing am Netzwerkrand bis hin zu SWGs, CASBs, FWaaS-Lösungen und dem Zero-Trust-Konzept. Nicht selten wird bei SSE aus Gründen der Kostenersparnis zunächst auf den Netzwerkteil verzichtet. Dieser kann aber zu einem späteren Zeitpunkt hinzukommen. SSE, in dessen Rolle auch NCP mit seinen High-Flexibility-VPN-Produkten schlüpfen kann, eignet sich deshalb gut als Einstieg in die Zukunft mit SASE.
Jetzt mehr erfahren über SASE, SD-WAN und SSE!
Das könnte Sie auch interessieren:
Zero Trust: Wie Sie Missverständnisse und Irrtümer vermeiden
Die häufige Verwendung des Begriffs Zero Trust im Marketing führt zu einer Verunsicherung der Kunden. Wir erklären, was sich wirklich dahinter verbirgt.
NCP-Talk mit Jens - Head of IT-Administration
Erzähl uns ein bisschen von Dir: Mein Name ist Jens Heisterkamp und ich habe im Jahr 2000 als Quereinsteiger in der IT-Branche angefangen. 2016 habe ich schließlich meinen Weg zu NCP gefunden. In dieser Zeit hat sich die IT-Branche permanent weiterentwickelt und es ist immer ...
Chancen und Risiken der Schatten-IT
Die Risiken der Schatten-IT werden häufig unterschätzt. Dabei birgt sie Gefahren für Unternehmen, die Mitarbeitern den Fernzugriff auf das Netzwerk ermöglichen.