Zurück 
Herkömmliche Sicherheitsprogramme basierten auf dem Schutz der normalerweise intern gehosteten Technologieinfrastruktur und der Daten in dieser Umgebung. Dies führte zu einem Ökosystem aus zahlreichen eigenständigen Tools und Prozessen, die alle darauf abzielten, Angreifer zu erkennen und Schäden zu verhindern. Es umfasste eine Vielzahl von Kontrollen in den Bereichen Netzwerk- und Infrastruktursicherheit, Anwendungssicherheit, Zugriffskontrolle und Prozesskontrollen.
In einer Welt, die heute von der Cloud dominiert wird, in der Anwendungen öffentliche Cloud-Anbieter nutzen oder als SaaS-Apps abonniert werden, haben sich die Sicherheitsherausforderungen dramatisch verändert. Secure Access Service Edge (SASE)-Sicherheitsarchitekturen mit Next-Generation Secure Web Gateways (NG-SWG) als Kern werden Sicherheitsfunktionen transformieren, um die Cloud vollständig abzudecken. Sie werden auch die Ansicht der CISOs über die Rolle der Sicherheit in Unternehmen verändern.
Ich war CISO für einige der komplexesten Organisationen der Welt und sehe SASE als den logischen nächsten evolutionären Schritt für unsere Sicherheitsprogramme. Das ist einer der Hauptgründe, warum ich zu Netskope gewechselt bin. Gartner beschreibt die Fortschritte des Unternehmens im SASE-Framework als weiter fortgeschritten als die aller anderen Anbieter. Aber um erfolgreich zu sein, müssen wir es richtig angehen. Indem ich Licht darauf werfe, wo die Branche hin muss, hoffe ich, dass die Zwischenschritte klarer werden.
Weg mit alten Vorstellungen
Sicherheitsteams müssen einige alte Denkweisen und fest verwurzelte Überzeugungen über Bord werfen. Beginnen wir mit Folgendem:
Verabschieden Sie sich von der Rechenzentrumsmentalität: Da der Anteil der in der Cloud und in SaaS-Apps gespeicherten Unternehmensdaten gestiegen ist, ist das Rechenzentrum nur noch eines von vielen Zielen geworden, auf die die Menschen zugreifen müssen. Es ist Zeit zu erkennen, dass Ihre Welt dadurch definiert wird, wo Ihre Daten leben. Das Rechenzentrum ist kein „Zentrum“ mehr.
Vergessen Sie Perimeter: Beider auf Rechenzentren ausgerichteten Sicherheit ging es darum, Perimeter zu schützen und den Datenverkehr zu regulieren. Bei der Cloud-Sicherheit geht es darum, Benutzer und Verbindungen zu verstehen, entsprechende Kontrollebenen anzuwenden und den Datenverkehr in Echtzeit zu überwachen und zu regulieren. Sie können die Sicherheit von Rechenzentren mit ihren starren Grenzen und ihrem Technologie-Stack nicht nachträglich umrüsten, um diese Aufgabe in der Cloud zu erfüllen.
Hören Sie auf, das „Unternehmensnetzwerk“ als einen klar definierten Ort zu betrachten: Die Pandemie hat die Verteilung der Belegschaft beschleunigt. Durch die digitale Transformation vergrößert sich die Zahl der Drittanbieter und Dienste, mit denen ein Unternehmen interagiert, kontinuierlich. Die Sicherheitslandschaft ist riesig und verändert sich. Die Arbeit muss dort erfolgen, wo sich ein Mitarbeiter oder ein Dritter gerade befindet. Die Einrichtung des Rechenzentrums als einzelner Kontrollpunkt, zu dem Sie den gesamten Netzwerkverkehr umleiteten, funktionierte einwandfrei, solange sich alle Daten in Ihrer Umgebung befanden. Da Daten heute überall verfügbar sind, müssen ein Sicherheitsnetzwerk und die zugehörigen Sicherheitsdienste ihnen folgen. Dies erfordert eine neue Netzwerkarchitektur, die diese Streuung widerspiegelt.
Nutzen Sie SASE
SASE bietet Sicherheitsteams derzeit den umfassendsten Architekturentwurf für diese neue Welt. Außerdem war darum so viel Wirbel gemacht worden, dass einiges verwirrend geworden ist. So funktioniert es von einem CISO zum anderen.
SASE erstellt eine Sicherheits-Cloud: Bei SASE sind die Netzwerkzugriffspunkte über den ganzen Globus verteilt. An diesen Zugangspunkten werden auch Sicherheitsdienste verteilt und betrieben. Diese Sicherheits-Cloud wird zum neuen Kontrollpunkt für die Überwachung des Datenverkehrs und den Schutz aller. Jeder Benutzer, egal ob Mitarbeiter oder Dritter, ist praktisch eine Zweigstelle von einem.
SASE verwendet eine integrierte Sammlung von Echtzeitdiensten: Anstelle eines losen Konglomerats aus separaten Hardwaregeräten und Diensten, bei denen jedes Element eine unabhängige Rolle bei der Netzwerksicherheit spielt, ist SASE ein einzelner Satz integrierter Dienste, die zusammenarbeiten, um die Arbeit von CASB, DLP, SWG, ATP und anderen wichtigen Funktionen zu erledigen. Tatsächlich werden diese eng gefassten Akronyme verschwinden, wenn sich der Fokus auf Beschreibungen des „großen Ganzen“ der erforderlichen Arbeit verlagert: Schutz von Daten, Benutzern und Anwendungen und Erledigung all dieser Aufgaben mithilfe einer einheitlichen Plattform, einer Single-Pass-Inspektion, einer einzigen Konsole und einer einzigen Richtlinien-Engine.
SASE versteht in Echtzeit, was Benutzer tun: Auf das Rechenzentrum ausgerichtete Sicherheit gewährt Zugriff, doch der Datenverkehr bleibt während der Arbeit der Benutzer praktisch unüberwacht. Die Arbeit von SASE endet nicht beim Zugriff. SASE ermöglicht es beispielsweise zu erkennen, ob ein Benutzer vertrauliche Informationen innerhalb verschiedener Instanzen derselben SaaS-Anwendungen wie Microsoft OneDrive oder Google Docs teilt. Darüber hinaus kann ein ordnungsgemäß implementiertes SASE Richtlinien basierend auf Benutzeraktionen – also dem, was der Benutzer mit den Daten macht – prüfen und anwenden. Dies kann nur durch ein System erreicht werden, das den Benutzer, die Anwendung und die Daten versteht und einen Kontext schafft, der dann bei der Richtlinienimplementierung angewendet werden kann.
Hier ist ein praktisches Beispiel. Nehmen wir an, ein Mitarbeiter meldet sich mit seinem privaten Laptop bei der G-Suite des Unternehmens an und greift dann für seine Arbeit auf Docs zu. Das wollen wir ermöglichen. Wir möchten jedoch feststellen, ob sich dieser Benutzer bei Verwendung desselben Geräts auch bei seinem persönlichen Gmail-Konto anmeldet. Wir möchten dieses Verhalten erkennen und mehrfache Anmeldungen zulassen, Unternehmensdaten jedoch schützen, indem wir sie schreibgeschützt machen und verhindern, dass sie auf die persönliche Instanz hochgeladen werden.
Ein weiteres Beispiel ist, wenn ein Geschäftspartner Google Drive zum Teilen eines Dokuments verwendet. Wir möchten unseren Benutzern das Herunterladen von dieser Drittanbieterinstanz der G-Suite ermöglichen, da dies eine geschäftliche Anforderung ist. Der alte, strikte Ansatz, der alles blockiert, ist zu grob und beeinträchtigt die Anforderungen des Unternehmens und der Endbenutzer. Mit SASE können wir die Details einsehen, die Instanzen, Aktionen und Verhaltensweisen beschreiben, um dann risikobasierte Richtlinien durchzusetzen.
SASE ermöglicht die detaillierte Kontrolle, die wir brauchen, damit Ihr Geschäft in der perfekten „Goldlöckchen-Zone“ funktioniert: nicht zu viel Risiko, indem alles zugelassen wird, aber keine Einschränkung der Geschäftsmöglichkeiten durch Blockieren von Dingen. SASE erkennt den Kontext. Dadurch können wir verstehen, was der Benutzer tun muss und warum er es tun muss. Anschließend können wir Richtlinien durchsetzen, die optimal auf die Geschäftsinteressen abgestimmt sind.
Betrieb einer SASE-Welt
SASE ist kein Produkt, das Sie heute kaufen; es ist eine Architektur, die Sie im Laufe der Zeit aufbauen. Einer der ersten Schritte besteht darin, Secure Web Gateways und andere Geräte zu ersetzen, deren Aufgabe darin besteht, den Zugriff zu kontrollieren und Web-Verkehrsmuster auf Bedrohungen zu überwachen. Ein Next-Generation Secure Web Gateway (NG-SWG) refaktoriert eine viel breitere Palette an Netzwerksicherheitsfunktionen in ein einheitliches System, das Geschäftsinteressen in der Cloud schützt und bei dem der Datenschutz im Mittelpunkt steht. Dies schafft eine leistungsfähigere Grundlage für den Aufbau digitaler Sicherheitsfunktionen und erleichtert die Verwaltung von Cyberrisiken erheblich. Überlegen Sie, was dann erreichbar ist:
Kontext: In der SASE-Welt wissen Sie viel mehr über Benutzer, Benutzeraktionen, Geräte, Netzwerkverbindungen, Anwendungen und Daten. Dadurch erhalten Sie nicht nur einen umfassenden Kontext zu dem Geschehen, sondern können auch das Risiko in Bezug auf diesen Kontext bewerten. Dies ermöglicht eine detaillierte und flexible Kontrolle über komplexe Richtlinien, die automatisch implementiert werden und sich entsprechend den Kontextänderungen anpassen.
Richtlinien: Im rechenzentrumszentrierten Sicherheitsparadigma verbrachte das Sicherheitspersonal viel Zeit mit der Konfiguration von Systemen auf niedriger Ebene, um die gewünschten Sicherheitskontrollen zu implementieren. In der SASE-Welt legt das Sicherheitspersonal stattdessen detaillierte Richtlinien fest. Das Next Gen Secure Web Gateway System implementiert diese Richtlinien, indem es die ihm zur Verfügung stehende Sammlung von Diensten orchestriert. Diese integrierten Dienste arbeiten zusammen, um das in der Richtlinie festgelegte Ergebnis zu erzielen – das Kontrollziel. Sicherheitsteams können dann mehr Zeit darauf verwenden, über die erforderliche Haltung zum Schutz von Benutzern, Daten und Anwendungen nachzudenken, anstatt sich auf die Low-Level-Konfiguration zu konzentrieren.
Automatisierung: Die Verfügbarkeit umfassender Kontexte und integrierter Dienste eröffnet neue Möglichkeiten für die Automatisierung der Erkennung von Bedrohungen und ungewöhnlichen Aktivitätsmustern sowie für die Vielfalt der Reaktionen, die bei Vorfällen ergriffen werden können. Da die Dienste alle auf derselben Plattform liegen und denselben Kontext verwenden, lässt sich die Automatisierung viel einfacher erreichen, als wenn Daten und Kontext von diskreten, unabhängig voneinander agierenden Systemen erfasst und verarbeitet werden, wie dies der Fall war, als wir uns ausschließlich auf Rechenzentren konzentrierten.
Umrüstung für SASE
Der erste Schritt besteht darin, dass die Technologieteams ihre Einstellungen ändern und ihre Mitarbeiter für die SASE-Welt weiterbilden. Das Datenverkehrsaufkommen vom und zum Rechenzentrum nimmt ab. Dadurch wird es möglich, physische Geräte durch kleinere Systeme zu ersetzen oder vollständig auf SASE-basierte, Cloud-native Technologie umzusteigen, wenn alte Geräte an Wert verlieren oder überflüssig werden. Der zum Schutz des Unternehmens verwendete Stack wird zu einer SASE-Plattform, die durch Systeme für Endpunktschutz, Identitätszugriffsverwaltung und SIEM unterstützt wird, die das Ökosystem abrunden.
Diese Veränderungen bedeuten, dass das Sicherheitspersonal neue Rollen übernehmen muss. Sie müssen die digitalen Risiken verstehen und einschätzen und dazu auch das Geschäft kennen. Sie lernen, geeignete Methoden und Modelle zu definieren, die es ermöglichen, KI/ML und Automatisierung im Bereich Sicherheit zu nutzen und zu implementieren. Durch diese Umstellung werden letztlich Mitarbeiter aus dem Implementierungsprozess herausgenommen, die Bereitstellung einer effektiven, richtlinienbasierten Sicherheit beschleunigt und ein kontinuierliches Risikomanagement umgesetzt – eine Änderung, die die Sicherheit für das gesamte Unternehmen von wesentlich größerer strategischer Bedeutung macht.
Dieser Artikel wurde ursprünglich auf Network World veröffentlicht.
Den Blog lesen