Cloud-Applikationen und Remote Work machen den sicheren Zugriff auf Daten und Anwendungen im Unternehmensnetzwerk zunehmend zu einer Herausforderung. Denn während früher lediglich Mitarbeiter auf Dienstreise von außerhalb auf das Unternehmensnetzwerk zugreifen mussten, sind heute oft ganze Teams von verschiedenen Standorten aus miteinander vernetzt.
VPNs reichen nicht mehr aus
Solange wichtige Daten noch ausschließlich in unternehmenseigenen Rechenzentren gelagert waren, reichten VPN-Anwendungen aus, um den Traffic abzusichern. Die Daten sind hierbei durch einen sicheren Tunnel geschützt, der Zugang zum Netzwerk gewährt – dazu reicht eine verschlüsselte Verbindung zwischen dem Endpunkt und dem Rechenzentrum. Doch mit zunehmender Auslagerung der Daten in die Cloud und Remote Work wird der geschützte Daten-Tunnel zu einem lästigen Engpass. Denn wenn Mitarbeiter aus dem Homeoffice auf die Cloud zugreifen, gehen ihre Anfragen beim VPN-Routing zunächst in die Zentrale, um dann über die Firewall ins Internet geleitet zu werden. Die Antworten nehmen den umgekehrten Weg zurück. Werden gleichzeitig viele Anfragen von Mitarbeitern per VPN in das Rechenzentrum geroutet, kommt es zu einem hohen Datenfluss, für den die vorhandenen Bandbreiten in der Regel nicht ausgelegt sind. Latenzen und Engpässe in der Cloud Performance sind die Folge. Müssen Prozesse rasch abgewickelt werden oder gilt es, wichtige Daten weiterzuleiten, kann dies die Geschäftsabläufe empfindlich stören.
ZTNA schafft Sicherheit an den Endpoints
Die Performance stimmt nur dann, wenn Endgeräte direkt – also ohne Umweg über das zentrale Rechenzentrum – auf verteile IT-Systeme im Unternehmensnetzwerk oder in Multi-Clouds zugreifen können. Sind die Verbindungen jedoch nicht abgesichert, haben Cyberkriminelle leichtes Spiel, Schadsoftware einzuschleusen oder Daten zu stehlen. Müssen Unternehmen sich also zwischen Sicherheit und Geschwindigkeit entscheiden? Ein Ausweg aus diesem Dilemma ist, die Security direkt an die Endpunkte zu verlagern. Dies ist die Basis von Zero-Trust-Network-Access-Technologien (ZTNA). Der Ansatz sieht grundsätzlich alle Clients, Geräte und Anwendungen als nicht vertrauenswürdig an – unabhängig vom Netzwerk. Alle Dienste und Clients müssen sich authentifizieren und erhalten nur per Security Policies festgelegten Zugriff auf Anwendungen und Daten.
SASE bietet umfassende Sicherheit für den Datenzugriff in der Cloud
Der Zero-Trust-Ansatz liegt auch dem Architekturkonzept Secure Access Service Edge (SASE) zugrunde. Dieses geht jedoch weit über reinen Zero Trust hinaus: Durch die Kombination von SD-WAN, Secure Web Gateway, Firewall as a Service und Cloud Access Security Broker (CASB) stellt es den sicheren und direkten Zugriff auf Daten und Anwendungen, die in der Cloud gehostet sind, sicher. Die einzelnen Bausteine einer SASE-Lösung übernehmen dabei verschiedene Aufgaben, die sich gegenseitig ergänzen:
- SD-WAN sorgt dafür, dass Daten auf dem schnellsten Weg an das richtige Ziel gelangen.
- Secure Web Gateway nutzt URL- und Web-Traffic-Filter, Anwendungskontrollen und Anti-Malware-Funktionen, um Gefahren aus dem Internet zu erkennen, wenn ein Endpunkt auf Cloud Services zugreift.
- Firewall as a Service kontrolliert den nicht webbasierten Traffic.
- Zero Trust Network Access (ZTNA) führt granular geregelte Zugangskontrollen aus.
- CASB hilft Unternehmen, Schatten-IT zu vermeiden und sicherzustellen, dass Anwender nur freigegebene Cloud Services nutzen.
Ausführliche Informationen zu SASE können Sie in unserem Know-how-Artikel nachlesen: Alles Wissenswerte rund um Secure Access Service Edge – Zero Trust in der dezentralisierten Cloud.
Schluss mit Engpässen durch den Netzwerkzugriff von außen
Auch wenn SASE und VPN unterschiedlich auf das Unternehmensnetzwerk zugreifen, spürt der Anwender bei der neuen Sicherheitsarchitektur kaum einen Unterschied. Er muss sich lediglich einmal per Single-Sign-On an der SASE-Plattform anmelden. Ist die Authentifizierung erfolgt, verbindet sich der Client mit dem nächsten POP (Point of Presence) des SASE-Anbieters. Dort erhält er seine Security Policies und seine Routing-Informationen. Der Endpunkt kann damit automatisch erkennen, welcher Traffic für welches Ziel bestimmt ist und leitet diesen auf dem schnellsten Weg dorthin. Auf diese Weise gehen Anfragen an Cloud Services direkt ins Internet – und nicht mehr über das Rechenzentrum. Das intelligente Routing reduziert so den Traffic zwischen Endpunkt und Rechenzentrum – und Bandbreiten-Engpässe gehören damit der Vergangenheit an. Gleichzeitig sorgen die Cloud-basierten Security Services für den passenden Schutz direkt am Endpunkt.
Den passenden Anbieter wählen
Unternehmen, die ein SASE-Konzept umsetzen wollen, sollten genau prüfen, welche Funktionen sie benötigen und welche Schwerpunkte sie setzen wollen. Denn hier gibt es je nach Hersteller unterschiedliche Angebote. Ein Managed Service Provider wie indevis kann dabei unterstützen, das richtige Angebot zu finden und kundenspezifisch Lösungen empfehlen. Er ist mit unterschiedlichsten SASE-Anbietern vertraut und weiß über Vor- und Nachteile von Einzellösungen Bescheid.
