Essenzielle Komponenten für sicheres Remote WorkZero Trust als neue Normalität
10. November 2020Die Möglichkeiten digitaler Technologien machen das tägliche Pendeln in ein Bürogebäude, in dem man acht Stunden seinen Dienst verrichtet, zunehmend zu einem überholten Konstrukt. Wie sich im Zuge der Pandemiekrise herausgestellt hat, herrscht insbesondere bei Remote Work ein überaus hohes Produktivitätsniveau. Dennoch stellen Unternehmen sich die Frage, ob das Konzept in ihrer Organisation eine Zukunft hat.
Falls Remote Work dauerhaft für einen Großteil oder gar die gesamte Belegschaft eingerichtet werden soll, müssen IT-Teams eine Lösung finden, die Produktivität und Skalierbarkeit mit einem Zero Trust-Sicherheitsansatz in Einklang bringt. Mit dem Einsatz geeigneter Tools lässt sich diese Herausforderung effizient lösen.
SSO, MFA und DLP: Sicherer Zugriff auf Public Cloud-Anwendungen
Unternehmen nutzen in der Regel Dutzende von verschiedenen Public Cloud-Anwendungen wie Office 365, Salesforce und Dropbox. Während die Anbieter ihre Infrastruktur sichern, sind die Anwendungen selbst für jeden Benutzer, auf jedem Gerät und von jedem Ort der Welt aus frei zugänglich. Während die App-Anbieter für die Sicherheit ihrer Infrastrukturen sorgen, liegt die Verantwortung für die Sicherung der darin befindlichen Daten bei den nutzenden Unternehmen.
Mit Single Sign-On (SSO) und Multi-Faktor-Authentifizierung (MFA) können Unternehmen den Zugriff auf Public Cloud Anwendungen absichern. Der Zugriff auf Anwendungen muss auch über den Kontext (Benutzergruppe, Standort usw.) gesteuert werden.
In Kombination mit Data Loss Prevention (DLP)-Richtlinien lässt sich außerdem automatisiert kontrollieren, welche Art von Daten von dem zugreifenden Benutzer heruntergeladen werden dürfen. Loggt sich dieser beispielsweise mit einem privaten Gerät mit veraltetem Betriebssystem ein, kann der Download sensibler Daten untersagt werden.
Die Benutzersitzungen sollten außerdem mit einem Timeout versehen werden, um zu verhindern, dass Unbefugte Zugriff erlangen, während die entsprechenden Endgeräte unbeaufsichtigt sind. Ansonsten sollten sensible Daten identifiziert und entweder blockiert, maskiert oder beim Hochladen verschlüsselt werden.
Bei Remote Work besteht zudem ein erhöhtes Risiko, das einzelne Mitarbeiter Opfer von Phishing-Angriffen zu werden. Zum Schutz vor Cyberangriffen sollten Unternehmen auf ihren verwalteten Geräten geeignete Endpoint-Schutz-Software installieren. Bei nicht-verwalteten Geräten sollten Uploads vor Übertragung in die Cloud-Anwendung gescannt werden.
Schließlich sollten alle Aktivitäten, ob von verwalteten oder nicht verwalteten Geräten, zur besseren Übersicht protokolliert werden. Unternehmen in regulierten Branchen sollten dabei dafür Sorge tragen, dass die Protokolle und deren Aufbewahrung den Anforderungen der spezifischen Regularien genügen.
Web-Zugang via Secure Web Gateway
Remote-Mitarbeiter, die von verwalteten Geräten aus auf das Internet zugreifen, sind einer Fülle an Bedrohungen und Datenverlustrisiken ausgesetzt. Während der Web-Zugang mit VPN bei einigen wenigen Mitarbeitern bequem und schnell gesichert werden kann, kommt es zu spürbaren Einschränkungen und Leistungseinbußen, wenn große Teile der gesamten Belegschaft von zuhause aus arbeiten. Dies ist auf die erhöhte Belastung der VPN-Firewall zurückzuführen, die die Leistung drosselt und somit einen Engpass schafft.
Der beste Weg, um dies zu überwinden, besteht darin, Prozesse an den Netzwerkrand zu verschieben und eine Direct-to-Cloud-Konnektivität mit einem elastischen Secure Web Gateway (SWG), das unterschiedliche Lasten verarbeiten kann, zu nutzen. Aus der Identitäts- und MFA-Perspektive muss der Zugriff auf das SWG von verwalteten Geräten eine Authentifizierung über das SSO des Unternehmens erfordern. Wenn es um Zugangskontrolle und DLP geht, sollte das Web-Browsing auf geeignete Inhalte beschränkt werden, und die Richtlinien sollten alle Uploads nach sensiblen Daten durchsuchen, um entsprechende Kontrollen und die Blockierung oder Protokollierung aller Web-Transaktionen durchzusetzen.
Für einen wirksamen Schutz vor Zero-Day-Bedrohungen sollten riskante URLs vollständig blockiert werden, während Downloads auf Malware gescannt und in Echtzeit blockiert werden müssen. Ein Protokoll aller Webaktivitäten, das für einen begrenzten Zeitraum aufbewahrt wird, kann unter anderem hilfreich sein, wenn es um Ursachenforschung geht.
Zero Trust Network Access für netzwerkinterne Anwendungen
Zahlreiche VPN-Tunnel können auch den Zugriff auf netzwerkinterne Anwendungen erschweren. Nutzen die Mitarbeiter von auswärts hauptsächlich ihre eigenen, nicht verwalteten Geräte, ist die Einrichtung einer VPN-Verbindung außerdem nicht realisierbar.
Um diese Einschränkungen zu überwinden, eignet sich der Einsatz von Zero Trust Network Access (ZTNA). Nachdem die Authentifizierung über SSO und MFA des Unternehmens erfolgt ist, muss der Zugriff auf Unternehmensressourcen kontextabhängig gewährt werden. Zum Schutz vor Zero-Day-Bedrohungen sollte der Zugriff außerdem auf Geräte mit aktueller und seriöser Endpunktschutz-Software beschränkt werden, um Datei-Uploads und -Downloads zu scannen. Auf diese Weise können Organisationen in Echtzeit geschützt und Zero-Day-Bedrohungen gestoppt werden.
Was Organisationsstrukturen, Mitarbeiterhierarchien, Arbeitsprozesse oder die Art des Datenmanagements anbelangt, so bringt jedes Unternehmen individuelle Eigenschaften mit. Der Wechsel zu Remote Work fordert von Unternehmen, bewährte Prozesse in einem ungewohnten Umfeld sicher abzubilden. Mit einem zuverlässigen Identitätsmanagement, Zugriffskontrollen, Data Loss Prevention (DLP) und intelligentem Bedrohungsschutz können sie einfach und effizient einen Zero Trust-Sicherheitsansatz jenseits des eigenen Netzwerks etablieren.
Anurag Kahol ist CTO bei Bitglass.