In der sich ständig weiterentwickelnden Landschaft der Cybersicherheit ist die Zusammenarbeit zwischen der National Security Agency (NSA) und der Cybersecurity and Infrastructure Security Agency (CISA) bei der Herausgabe von fünf gemeinsamen Cybersecurity Information Sheets (CSIs) ein wichtiger Meilenstein bei der Orientierung von Unternehmen auf dem Weg zu einer sicheren Cloud-Einführung. Diese Dokumente sind ein Beweis dafür, wie wichtig die Sicherung von Cloud-Diensten in einer Zeit ist, in der die digitale Transformation nicht nur eine Option, sondern eine Notwendigkeit ist. Als Director of Security Transformation bei Netskope finde ich diese Richtlinien nicht nur zeitgemäß, sondern auch eng mit unserer Mission verbunden, umfassende Sicherheitslösungen in den Bereichen Cloud, Daten und Cyber anzubieten. Tatsächlich helfen wir unseren Kunden, Daten in der Cloud auf noch intelligentere Weise zu sichern als die grundlegenden Empfehlungen in diesen Informationsblättern. Lassen Sie mich erläutern, wie diese Empfehlungen auf den Ansatz und die Technologie von Netskope abgestimmt sind.
1. Sichere Praktiken für das Identitäts- und Zugriffsmanagement in der Cloud
Die erste CSI betont die Bedeutung sicherer Cloud-Identitäts- und Zugriffsmanagementpraktiken. Angesichts der Zunahme ausgeklügelter Angriffe, die auf Cloud-Identitäten abzielen, ist die Einführung robuster Mechanismen wie Multi-Faktor-Authentifizierung (MFA) und strenger Praktiken zur Speicherung von Anmeldeinformationen von größter Bedeutung. Bei Netskope finden wir diesen Ansatz durch unsere adaptive Zugriffskontrolle und die nahtlose Integration mit Cloud-Identitätsanbietern gut.
Der Hauptvorteil der Einbeziehung von Benutzervertrauensbewertungen ist die Möglichkeit, Sicherheitsmaßnahmen auf der Grundlage detaillierter Einblicke in das sich ändernde Verhalten von Benutzeridentitäten kontinuierlich anzupassen. Wenn ein Benutzer anfängt, Verhaltensweisen zu zeigen, die von seinem üblichen Muster abweichen oder denen eines Bedrohungsakteurs ähneln – z. B. der Zugriff auf sensible Daten zu ungewöhnlichen Zeiten oder von ungewöhnlichen Orten aus –, können die Richtlinien von Netskope automatisch angepasst werden.
Durch die Nutzung von mehr als 100 UEBA-Richtlinien (User and Entity Behavior Analytics) können Organisationen eindeutige Benutzervertrauensbewertungen für jeden Benutzer eines Unternehmens generieren und diese dann in die Netskope-Echtzeitschutzrichtlinien integrieren. Auf diese Weise kann Netskope das mit den Aktionen der einzelnen Benutzer verbundene Risiko dynamisch bewerten und dann die richtige Zugriffskontrollrichtlinie für die Risikobereitschaft Ihres Unternehmens bereitstellen.
2. Sichere Praktiken für die Verwaltung von Cloud-Schlüsseln
Die zweite CSI konzentriert sich auf den kritischen Aspekt des Schlüsselmanagements in Cloud-Umgebungen und unterstreicht, wie wichtig es ist, die gemeinsamen Sicherheitsverantwortlichkeiten zu verstehen und zu dokumentieren. Netskope gibt seinen Kunden die volle Kontrolle über Verschlüsselungsschlüssel, indem es Hardware-Sicherheitsmodule (HSM) von Drittanbietern auf folgende Weise unterstützt:
- Speichern des Schlüssels, der einem Zertifikat entspricht, das wiederum generierte Zertifikate signiert, die zum Überprüfen des TLS-Datenverkehrs verwendet werden
- Speichern von Schlüsseln, die zum Verschlüsseln von strukturierten und unstrukturierten Daten generiert wurden
Da viele Branchen strengen regulatorischen Anforderungen in Bezug auf Datenschutz und Privatsphäre unterliegen, hilft die Verwendung eines HSM zur Verwaltung von Verschlüsselungsschlüsseln Unternehmen bei der Einhaltung dieser Vorschriften, indem sichergestellt wird, dass die Schlüssel sicher verwaltet und nicht an Cloud-Drittanbieter weitergegeben werden.
Die logischen Sicherheitsmaßnahmen, die von HSMs bereitgestellt werden, schützen vor einer Vielzahl von Angriffen, einschließlich Manipulations- und Ausnutzungsversuchen. Dadurch wird sichergestellt, dass Verschlüsselungsschlüssel auch im Falle eines Verstoßes an anderer Stelle in der IT-Umgebung sicher bleiben.
Im aktuellen digitalen Zeitalter, in dem Datenschutzverletzungen und Cybersicherheitsbedrohungen immer häufiger auftreten, ist die Sicherung sensibler Daten in der Cloud von größter Bedeutung. Die Unterstützung von Hardware-Sicherheitsmodulen von Netskope ermöglicht es Unternehmen, die Kontrolle über die Verwaltung ihrer Verschlüsselungsschlüssel zu übernehmen und bietet eine sichere, konforme und flexible Lösung, die den Empfehlungen der NSA und CISA für sichere Cloud-Schlüsselverwaltungspraktiken entspricht. Dieser Ansatz verbessert nicht nur die Cloud-Sicherheitslage eines Unternehmens, sondern schafft auch Vertrauen bei Kunden und Stakeholdern, indem er das Engagement für den Schutz sensibler Informationen demonstriert.
3. Netzwerksegmentierung und Verschlüsselung in Cloud-Umgebungen
Die Implementierung von Netzwerksegmentierung und -verschlüsselung in Cloud-Umgebungen steht im Mittelpunkt des dritten CSI. Der Secure Access Service Edge (SASE) von Netskope ist ein umfassender Cloud-Sicherheitsdienst, der Netzwerksegmentierung und -verschlüsselung in allen Cloud- und On-Premise-Umgebungen bietet. Mit dem Aufkommen von Cloud-Diensten, die die Komplexität der Verwaltung und Sicherung von Unternehmensnetzwerken exponentiell erhöhen, und mit 74 % des Datendiebstahls, der auf die Verschiebung von Unternehmensdaten in persönliche Instanzen genehmigter Cloud-Anwendungen zurückzuführen ist, unterstreicht diese Komplexität den Bedarf an robusten Lösungen wie dem Next Gen Secure Web Gateway (NG-SWG) von Netskope mit Instanzerkennung.
Die Instanzerkennung ermöglicht es dem Netskopevon Next Gen Secure Web Gateway , zwischen verschiedenen Instanzen derselben Cloud-Anwendung zu unterscheiden. Beispielsweise kann zwischen der offiziellen Instanz einer Cloud-Speicheranwendung einer Organisation und persönlichen Instanzen oder Instanzen von Drittanbietern unterschieden werden, auf die der Benutzer zugreift.
Durch die Nutzung der Instanzerkennung kann Netskope NG-SWG Richtlinien durchsetzen, die verhindern, dass Benutzer auf nicht autorisierte, Drittanbieter- oder persönliche Instanzen von Cloud-Anwendungen zugreifen. Diese Funktion ist entscheidend, um Datenexfiltration zu verhindern und sicherzustellen, dass sensible Unternehmensdaten in sanktionierten Umgebungen verbleiben. Wenn ein Benutzer versucht, auf eine nicht sanktionierte Instanz zuzugreifen, kann die NG-SWG den Zugriff blockieren oder den Benutzer auf eine genehmigte Instanz umleiten, wodurch das Risiko von Datendiebstahl oder Datenlecks erheblich verringert wird.
Netskope Borderless SD-WAN (BWAN) erweitert das Konzept der Netzwerksegmentierung über herkömmliche Netzwerkperimeter hinaus und erfüllt die Anforderungen einer modernen Belegschaft, die von verschiedenen Standorten aus arbeitet und eine Vielzahl von Geräten verwendet. Netskope BWAN gewährleistet die Netzwerksegmentierung für jedes Gerät, indem es jede Sitzung in einem sicheren und verschlüsselten Tunnel kapselt. Diese Segmentierung erstreckt sich auf alle Anwendungen und Daten, unabhängig davon, ob sie in der Cloud oder vor Ort gehostet werden, und isoliert kritische Ressourcen effektiv vor unbefugtem Zugriff.
4. Sichere Daten in der Cloud
Die vierte CSI befasst sich mit dem entscheidenden Aspekt der Sicherung von Daten in der Cloud. Die Data Loss Prevention (DLP)-Funktionen von Netskope stehen bei dieser Herausforderung an vorderster Front und bieten umfassenden Schutz für SaaS, IaaS, private Anwendungen und mehr sowie die Möglichkeit, die große Varianz der regionalen und sektoralen DLP-Anforderungen zu unterstützen.
Netskope DLP enthält über 3.000 branchen- und regionsspezifische Datenprofile und ist so auf die individuellen Compliance-Anforderungen und Geschäftsanforderungen verschiedener Organisationen zugeschnitten. Diese umfangreiche Bibliothek von Datenprofilen ermöglicht es Unternehmen, vertrauliche Informationen, die für ihre spezifische Branche oder ihren geografischen Standort relevant sind, schnell zu identifizieren und zu schützen, was einen schnelleren Return on Investment ermöglicht und die Einhaltung regionaler Datenschutzgesetze und -vorschriften gewährleistet. Diese Fähigkeit steht im Einklang mit den Ratschlägen der NSA und der CISA zum Schutz von Daten vor unbefugtem Zugriff und zur Einhaltung gesetzlicher und behördlicher Anforderungen.
Das DLP von Netskope geht noch einen Schritt weiter und nutzt auch 27 Klassifikatoren für maschinelles Lernen, einen exakten Datenabgleich und eine anpassbare Klassifikator-Engine. Diese fortschrittliche Technologie ermöglicht es Unternehmen, für sie einzigartige Datenklassifikatoren zu erstellen, die eine präzise Erkennung und den Schutz sensibler Daten ermöglichen, das Risiko von Fehlalarmen verringern und sicherstellen, dass Sicherheitsmaßnahmen legitime Geschäftsprozesse nicht behindern. Die Möglichkeit, Ihren eigenen Klassifikator zu trainieren, passt Netskope DLP weiter an die spezifischen Datenschutzanforderungen jedes Kunden an.
Netskope DLP bietet außerdem eine umfassende Abdeckung für eine Vielzahl von Umgebungen, darunter Software-as-a-Service (SaaS), das Web, Infrastructure-as-a-Service (IaaS), private Anwendungen und sogar Endgeräte wie USBs, Drucker und E-Mail-Systeme. Diese weitreichende Abdeckung stellt sicher, dass sensible Daten geschützt sind, unabhängig davon, wo sie sich befinden oder wie auf sie zugegriffen wird. Durch die Sicherung von Daten in diesen verschiedenen Umgebungen hilft Netskope Unternehmen, die Empfehlungen der NSA und der CISA zu erfüllen, die die Verschlüsselung von Daten im Ruhezustand und während der Übertragung sowie die Implementierung strenger Zugriffskontrollen umfassen.
Der Ansatz von Netskope für Benutzerbenachrichtigungen bietet eine innovative Alternative zu herkömmlichen harten Blöcken. Durch die Benachrichtigung von Benutzern, wenn sie versuchen, eine riskante Aktion auszuführen, wie z. B. den Zugriff auf nicht autorisierte Daten oder die Verletzung einer DLP-Richtlinie, verhindert Netskope nicht nur potenzielle Sicherheitsverletzungen, sondern schult die Benutzer auch über die richtigen Sicherheitspraktiken. Diese Funktion ermöglicht die Integration der Sicherheitslösungen von Netskope in das umfassendere Sicherheitsprogramm eines Unternehmens und bietet Schulungen und Coaching zum Sicherheitsbewusstsein direkt für die Benutzer an. Diese Methode der proaktiven Benutzerbindung unterstützt die Empfehlungen der NSA und der CISA zur Verbesserung der allgemeinen Sicherheitskultur in Unternehmen.
5. Minderung der Risiken durch Managed Service Provider in Cloud-Umgebungen
In der abschließenden CSI werden die Risiken erörtert, die mit Managed Service Providern (MSPs) in Cloud-Umgebungen verbunden sind. Die Risikominderung durch MSPs in Cloud-Umgebungen ist von entscheidender Bedeutung, da diese Unternehmen oft über ein hohes Maß an Zugriff auf Kundennetzwerke verfügen, was sie zu attraktiven Zielen für Bedrohungsakteure macht.
Die ZTNA-Lösung von Netskope ist eine Schlüsselkomponente der Netskope Zero Trust Engine und wurde entwickelt, um sicherzustellen, dass Auftragnehmer und MSPs nur Zugriff auf die spezifischen internen Anwendungen erhalten, die sie für ihre Arbeit benötigen, und nicht auf das gesamte Netzwerk. Dieser Ansatz schränkt die Angriffsfläche erheblich ein, indem das Prinzip der geringsten Rechte auf Netzwerkebene angewendet wird. Durch die Überprüfung der Identität und des Kontexts jeder Zugriffsanforderung stellt ZTNA sicher, dass nur autorisierte Benutzer auf bestimmte Ressourcen zugreifen können, wodurch laterale Bewegungen innerhalb des Netzwerks verhindert werden, die zu größeren Sicherheitsvorfällen führen könnten.
Die fortschrittlichen RBAC-Funktionen (Role-Based Access Control) von Netskope gehen bei der Zugriffskontrolle noch einen Schritt weiter, indem sie granulare Berechtigungen bereitstellen, die auf die spezifischen Rollen und Verantwortlichkeiten von MSP-Administratoren zugeschnitten sind. Dadurch wird sichergestellt, dass MSP-Mitarbeiter nur auf die Bereiche der Cloud-Umgebung des Kunden zugreifen können, die für ihre Aufgaben erforderlich sind, und das Risiko eines unbefugten Zugriffs auf sensible Bereiche wird reduziert.
Neben der Zugriffskontrolle bieten die erweiterten RBAC-Funktionen von Netskope auch Optionen zur Verschleierung sensibler interner Informationen. Diese Funktion ist besonders wichtig, wenn es um DLP-Forensik oder Mitarbeiterinformationen geht, auf die MSPs während ihrer Arbeit stoßen können. Durch die Verschleierung dieser Daten stellt Netskope sicher, dass MSPs notwendige Aufgaben ausführen können, ohne sie sensiblen Informationen auszusetzen, und schützt so die Privatsphäre der Daten des Unternehmens und seiner Mitarbeiter. Dieses Datenschutzniveau ist entscheidend für die Wahrung der Vertraulichkeit und die Einhaltung der datenschutzrechtlichen Vorschriften.
Abschluss
Die Veröffentlichung der Cybersicherheitsinformationsblätter der NSA und der CISA ist ein Aufruf zum Handeln für Unternehmen, ihre Cloud-Sicherheitspraktiken zu verbessern. Wir bei Netskope sind stolz darauf, Lösungen anbieten zu können, die nicht nur diesen Richtlinien entsprechen, sondern unsere Kunden auch in die Lage versetzen, die Komplexität der Cloud-Sicherheit mit Zuversicht zu bewältigen. Während wir weiterhin innovativ sind und uns an die sich ständig verändernde Cybersicherheitslandschaft anpassen, bleibt unser Engagement für die Sicherung der Cloud-Reise unserer Kunden unerschütterlich. Gemeinsam können wir eine sicherere digitale Zukunft erreichen.