Zero-Trust-Netzwerkzugriff als bevorzugtes SicherheitsmodellSolides Fundament für Secure Access Service Edge
22. April 2020Die Migration von Anwendungen in die Cloud und die zunehmende Mobilität der Benutzer verändern die Art und Weise, wie Netzwerk- und Netzwerksicherheitsdienste bereitgestellt werden müssen. Security-Experten sehen die Zukunft der Netzwerksicherheit gar in der Cloud. Palo Alto Networks hat diesen Wandel in den letzten Jahren mit der Technik „Secure Access Service Edge“ (SASE) – vorangetrieben.
Die Netzwerkarchitektur entwickelt sich ständig weiter, und die Anwendungen befinden sich heute oft an verschiedenen Standorten. So erscheint es nicht immer als praktisch oder sinnvoll, den Datenverkehr aus Sicherheitsgründen an das Rechenzentrum oder die Zentrale des Unternehmens zurückzuschicken. In der internetbasierten „Always on“-Welt von heute sind Benutzer und Anwendungen überall.
Der Mangel an Transparenz und Durchsetzung von Sicherheitsregeln führt nach Meinung von Palo Alto Networks zu neuen Problemen. Diese Herausforderungen werden noch verschärft, da die Netzwerkarchitekturen ständig zugunsten einer besseren Benutzererfahrung weiterentwickelt werden. Um Unternehmen zu schützen, muss sich mit der Netzwerkarchitektur auch das Sicherheitsmodell weiterentwickeln.
Benutzer, Anwendungen und Daten – Rezept für Zero Trust Network Access
Proxys mögen wie eine einfache Lösung erscheinen, um den Zugriff auf Cloud-Anwendungen zu kontrollieren und zu schützen. Die meisten Unternehmen betreiben jedoch einige Anwendungen, die aufgrund der von ihnen verwendeten Protokolle nicht hinter einem Proxy sitzen können. Wenn diese Anwendungen durch eine Firewall geschützt sind, warum sollten dann in verschiedenen Bereichen unterschiedliche Schutzmechanismen verwendet werden?
Diese Frage ist besonders relevant, wenn Anwendungen vom Rechenzentrum zu einem Public-Cloud-Dienst verschoben werden sollen. Der Sicherheitsansatz muss in der Lage sein, den Datenverkehr jeder Anwendung unabhängig von den verwendeten Protokollen zu überprüfen. Unternehmen müssen eine bessere Kontrolle und einen stärkeren Schutz mit einer vollständigen Inhaltsprüfung auf Layer 7 anwenden. So erhalten sie einen vollständigen Überblick darüber, von wo aus sich Benutzer verbinden, welche Anwendungen sie verwenden, was sie mit den Anwendungen machen und auf welche Daten sie zugreifen wollen. Doch kein Proxy ist dazu in der Lage.
Darin liegt die Notwendigkeit des Zero Trust Network Access (ZTNA) und damit der Anwendung des Zero-Trust-Mantras „Niemals vertrauen, immer verifizieren“. Durch Authentifizierung und Attributverifizierung können Unternehmen den richtigen Benutzerkontext sicherstellen, bevor sie den Zugriff auf Anwendungen und Daten in der Cloud oder im Rechenzentrum erlauben. Ein echter ZTNA-Ansatz erfordert eine vollständige Inhaltskontrolle, um Benutzer zu identifizieren und sicherzustellen, dass Richtlinien angewendet werden können, um den Zugriff einzuschränken und das richtige Verhalten nach der Zugriffsgewährung unabhängig vom Anwendungstyp zu gewährleisten.
Dadurch können Unternehmen nach Meinung von Palo Alto Networks Datenverluste minimieren und auftretende Sicherheitsprobleme oder -bedrohungen schnell eindämmen. Das Vertrauen in das, was während einer Netzwerksitzung geschieht, sobald der Zugriff durch die Richtlinie gewährt wird, ist nicht Zero Trust. Dies ist eher eine Anleitung zum Desaster, insbesondere wenn der Zugriff für nicht verwaltete Geräte, Dritte und unbekannte bösartige Akteure gewährt wird.
All-in-one-ZTNA-Lösungen existieren nicht
Viele Anbieter behaupten heute, ZTNA durch softwaredefinierte Perimeter (SDP)-, Identity Access Management (IAM)-, Browser-Isolation (BI/RBI)- oder andere Lösungen umzusetzen. Diese punktuellen Lösungen befassen sich jedoch nicht mit der Inhaltsprüfung (Content Inspection).
Unternehmen können ein falsches Sicherheitsgefühl bekommen, wenn der Datenverkehr manchmal inspiziert wird und manchmal nicht. Um eine vollständige Inhaltsinspektion und einen konsistenten Schutz zu erreichen, müssen Unternehmen sicherstellen, dass sie ihre Anforderungen richtig definieren.
Dies führt zu mehr Lösungen, die sie anpassen, verwalten und warten müssen, was die Komplexität einer ohnehin schon schwierigen Aufgabe noch erhöht. Wie können Unternehmen also ZTNA erreichen, ohne ein großes Bündel nicht integrierter Sicherheitsprodukte hinzuzufügen?
Weiterentwicklung der Netzwerkarchitektur: Einführung von SASE
So wie sich die Cloud weiterentwickelt hat, müssen auch die Netzwerk- und Sicherheitsarchitekturen weiterentwickelt werden. Die Verwendung mehrerer punktueller Produkte erschwert nicht nur die Verwaltung und Sichtbarkeit, sondern schafft auch Sicherheitslücken. Mehr zu verwaltende Richtlinien bedeuten mehr Möglichkeiten für Fehlkonfigurationen.
Diese Herausforderungen sollen durch ein neues, von Gartner definiertes Modell angegangen werden, das Netzwerk- und Sicherheitsdienste in einer einzigen Cloud-basierten Plattform für Secure Access Service Edge, kurz SASE, vereint. Laut Gartner „werden bis 2023 20 Prozent der Unternehmen sichere Web-Gateways (SWG), Cloud Access Security Broker (CASB), ZTNA und Branch Firewall as a Service (FWaaS) vom gleichen Anbieter eingeführt haben, gegenüber weniger als 5 Prozent im Jahr 2019“.
SASE basierend auf ZTNA-Prinzipien
Einfache Richtlinien und eine einfache Verwaltung sind der Schlüssel für eine effektive SASE-Lösung. Moderne Angebote basieren auf den wichtigsten ZTNA-Prinzipien und erweitern diese auf alle Dienste innerhalb einer SASE-Lösung.
Durch die Identifizierung und Kontrolle von Benutzern, Geräten und Anwendungen, unabhängig davon, wo sie sich befinden, können Unternehmen von der Verwendung einer einzigen Cloud-Lösung für alle ihre Konnektivitäts- und Sicherheitsanforderungen profitieren.
Nir Zuk ist Gründer und CTO von Palo Alto Networks.