Sie sind hier: Startseite » Fachartikel » Grundlagen

Cloud Computing-Daten schützen


Secure Access Service Edge (SASE): Konvergente Technologien für Sicherheit in der Cloud
Ein Cloud Access Security Broker (CASB) ermöglicht die Durchsetzung von Richtlinien, um Daten vor Bedrohungen in der Cloud und auf jedem Gerät an jedem beliebigen Ort zu schütze



Von Mike Schuricht, VP Product Management, Bitglass

Mit wachsenden digitalen Geschäftsanforderungen investieren Unternehmen massiv in die Erweiterung ihrer Netzwerkverbindungsfähigkeiten, um sicherzustellen, dass ihre Daten den richtigen Personen zur richtigen Zeit zur Verfügung stehen. Insbesondere für Cloud-basierte, hochgradig vernetzte und agile Geschäftsmodelle ist die Gewährleistung eines ordnungsgemäßen Zugriffs auf Daten und Systeme unerlässlich. Zusammen mit der Konnektivität in immer komplexeren Infrastrukturen wachsen auch die Anforderungen an Netzwerk- und Datensicherheit. Wenn nicht die richtigen Schutzvorkehrungen getroffen werden, können Bedrohungen, die von Datenlecks und Fehlkonfigurationen bis hin zu Risiken durch Insider reichen, in jedem komplexen Cloud- und Netzwerkökosystem ihr Schadenspotenzial entfalten.

An dieser Stelle kommt das Secure Access Service Edge (SASE) Konzept ins Spiel, ein Akronym, das vom Analystenhaus Gartner geprägt wurde. Der Netzwerkperimeter wird dabei nicht als Standort, sondern als ein Satz dynamischer Edgefunktionen, die bei Bedarf als Service aus der Cloud bereitgestellt werden, verstanden. SASE bezeichnet also eine Architektur, die Lösungen bereitstellt, die aus der Konsolidierung von Netzwerk- und Sicherheitswerkzeugen entstehen. Dieses Zusammenspiel gewährleistet sowohl einen effektiven als auch sicheren Zugang zu den IT-Ressourcen von Unternehmen.

Die Kombination von Sicherheitstechnologien mit WAN-Technologien kann sich aus verschiedenen konvergierenden Technologien zusammensetzen, wie beispielsweise den folgenden:

>> CASB - Ein Cloud Access Security Broker (CASB) ermöglicht die Durchsetzung von Richtlinien, um Daten vor Bedrohungen in der Cloud und auf jedem Gerät an jedem beliebigen Ort zu schützen. Anforderungen an einen CASB sind unter anderem Sichtbarkeit von und Bereinigung nach risikoreichen Ereignissen, proaktive Sicherheitsfunktionen, sowie Schutz sowohl vor bekannten wie auch unbekannten Datenverlust-Risiken und Malware-Bedrohungen.

CASBs werden in verschiedenen Varianten angeboten. API-CASBs nutzen den API-Zugriff auf Software-as-a-Service (SaaS)-Anwendungen, um auftretende Datenlecks zu schließen. Mit ihnen lässt sich also ausschließlich reaktiv operieren. Die erste Generation der Multi-Mode-CASBs hingegen nutzt eine API-Integrationen sowie Forward Proxies und bietet damit die Sichtbarkeit aller Cloud-Daten sowie proaktive Sicherheitsfunktionen. Jedoch verfügen sie lediglich über signaturbasierten Schutz für bekannte Malware und Datenverlustwege und dies nur bei bestimmten Anwendungen. Der Zugriff von nicht-verwalteten Geräten auf Cloud-Anwendungen beispielsweise kann damit nicht geschützt werden.

Eine Lücke, die durch Multi-Mode-CASBs der neuesten Generation geschlossen wird: Sie passen sich dynamisch an, um jegliche Anwendungen vor bekannten und unbekannten Datenverlust-Risiken und Malware-Bedrohungen zu schützen. Sie nutzen zusätzlich Reverse Proxies, womit Cloud Computing-Daten auch beim Zugriff über nicht-verwaltete Endgeräte geschützt sind.

>> Secure Web Gateway (SWG) - SWGs bieten URL-Kategorisierung und -Reputation sowie Schutz vor Bedrohungen. Sie stellen sicher, dass Personen nur eine angemessene Internetnutzung aufweisen, und schützen gleichzeitig vor Bedrohungen wie Phishing-Websites und Malware. Diese Technologien können auch Intrusion Prevention-Systeme (IPS), Intrusion Detection-Systeme (IDS) und Firewall-Funktionen umfassen.

>> Zero Trust Network Access (ZTNA) - ZTNA sorgt für den sicheren Zugriff auf Unternehmensanwendungen, die entweder in der öffentlichen Cloud oder in firmeneigenen Netzwerken gehostet werden. Wenn Remote-Mitarbeiter auf bestimmte IT-Ressourcen zugreifen, erhalten sie oft vollen Zugriff auf alles im Netzwerk. Das Risiko für Datenverluste ist dabei allerdings überaus hoch. ZTNA erlaubt Nutzern lediglich den Zugriff auf bestimmte Anwendungen. Eine VPN-Verbindung ist dafür nicht erforderlich.

>> DNS-Schutz – Domain Name System (DNS)-Technologien suchen in den Domains nach Risiken und Bedrohungen, wie zum Beispiel bekannten Malware-Hosts. Werden Bedrohungen entdeckt, kann der entsprechende DNS-Server mit einem Sinkhole-Zugriff antworten, um die Malware-Infektion zu verhindern.

>> Firewall-as-a-Service (FWaaS) - FWaaS-Tools bieten Port-, Protokoll- und applikationsbasierte Richtlinien für den Netzwerkzugriff und die Segmentierung. Sie können auch Module für Dienstgüte (QoS), IPS, IDS und VPNs bereitstellen.

>> SD-WAN – Dabei handelt es sich um eine MPLS-Alternative (Multi-Protocol Label Switching) für die Site-to-Site-Verbindung um einen sicheren Netzwerkzugang bereitzustellen. Darüber hinaus gibt es auch WAN-Beschleunigung oder -Optimierung zwischen getrennten Standorten, wie zum Beispiel Büros und Rechenzentren.

SASE: Verschiedene Wege in der Umsetzung
Die Einführung von Secure Access Service Edge-Architekturen wird weiter vorangetrieben durch zunehmend heterogene Geräteumgebungen und die voranschreitenden mobilen Nutzergewohnheiten in Unternehmen. Mitarbeiter greifen unterwegs auf Unternehmensanwendungen und -daten von Unternehmensgeräten aus zu oder nutzen ihre eigenen Laptops in der Erwartung, ohne Einschränkungen auch am Flughafen oder im Coffeeshop arbeiten zu können. Einige Mitarbeiter, zum Beispiel im Außendienst tätige, gehen womöglich überhaupt nicht in die Unternehmensumgebung. Unabhängig davon gibt es inzwischen eine große Anzahl verschiedener Zugangspunkte, die die Herausforderungen bei der Sicherung von Daten in der Cloud und im Netzwerk darstellen.

So bilden sich bei der Umsetzung des SASE-Konzepts gegenwärtig zwei verschiedene Ansätze heraus:

1. Appliance und einfache Endpoint-Agenten: Dabei werden physische Appliances im Rechenzentrum des Unternehmens platziert, um die von den Organisationen angestrebte Sicherheit und Kontrolle zu gewährleisten. Sämtlicher Datenverkehr wird dabei von den Endpoint-Agenten auf den Geräten der Mitarbeiter an die Appliance weitergeleitet. Durch diesen Hop im Netzwerk entsteht eine Latenzzeit, die besonders bei großen Organisationen mit tausenden von Benutzern problematisch ist. Da die Kosten für Verwaltung und Aufrüstung verhältnismäßig hoch sind, ist dieser Ansatz vor allem für die Verarbeitung von massenhaftem Datenverkehr zu unflexibel.

2. Intelligente Endpoint-Agenten und Cloud-Proxy-Technologien: Dieser über einen Cloud-Service bereitgestellte Ansatz bietet eine Möglichkeit, die Aktivitäten auf jedem Gerät zu kontrollieren, indem die Netzwerkkontrolle und die Cloud-Sicherheit vom Perimeter bis hinunter zu den Endpoints selbst verlagert werden. Dies beseitigt die Abhängigkeit von physischen Appliances sowie die Nachteile der durch Backhauling-Verkehr verursachten Latenzzeiten und ist insgesamt flexibler.

Derzeit ist noch kein Anbieter in der Lage, das gesamte Portfolio an SASE-Funktionen bereitzustellen, jedoch gibt es einige, die jeweils über den Großteil der erforderlichen Funktionen verfügen. Der Ausbau der Netzwerkinfrastruktur treibt bei Organisationen weltweit jedoch den Bedarf an umfassenderen Lösungen, die ihren wachsenden Anforderungen gerecht werden können, weiter voran. Mit der fortschreitenden Cloud-Nutzung wird sich dieser Markt im Jahr 2020 voraussichtlich rasant entwickeln. (Bitglass: ra)

eingetragen: 07.04.20
Newsletterlauf: 24.06.20

Bitglass: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>



Meldungen: Grundlagen

  • Herausforderung: Cloud Bursting

    Als Technik zur Anwendungsbereitstellung ermöglicht Cloud Bursting die Vereinigung des Besten aus beiden Welten. Auf der einen Seite ermöglicht es den Betrieb einer Anwendung in einem privaten Rechenzentrum, mit bekannten, festen Investitionskosten, vollständiger Kontrolle über die Umgebungen und organisatorischem Fachwissen für deren Betrieb. Auf der anderen Seite wird sie in einer öffentlichen Cloud genutzt, die auf Abruf verfügbar ist und über nahezu unbegrenzte Ressourcen verfügt.

  • SASE-Transformation in drei Schritten

    Der KPMG Global Tech Report 2022 bestätigt, was viele IT-Experten bereits in ihrer täglichen Praxis beobachten: Der Einsatz von Cloud-Anwendungen ist nicht länger das Kennzeichen von digitalen Vorreitern und Marktführern, sondern schlicht die logische Weiterentwicklung digitaler Technologien.

  • Datensicherheit in Microsoft 365

    Während Microsoft 365 Unternehmen eine hervorragende Skalierbarkeit und Redundanz bietet, um Störungen durch Naturereignisse und mechanische Ausfälle Störungen zu vermeiden, ist das Hosten von Daten in der Cloud mit gewissen Risiken verbunden. Anwenderverursachte absichtliche oder versehentliche Datenverluste sind nach wie vor ein Problem für Unternehmen.

  • Die Krux mit dem Outsourcing

    Rund 850.000 Stellen sind laut Statista in Deutschland unbesetzt. Der akute Personalmangel, aber auch ein zu schnelles Wachstum oder Kosteneinsparungen sind Gründe, warum Unternehmen einzelne Bereiche outsourcen. Den Kundenservice externen Experten zu überlassen, hilft dabei, sich auf die eigenen Kernkompetenzen zu konzentrieren oder das gewünschte Service-Level zu erreichen. Vor allem wenn die Kundenanzahl steigt, aber die nötigen Mitarbeiter nicht schnell genug eingestellt werden können.

  • Es muss nicht immer Cloud sein

    Seit Jahren dreht sich in der IT alles um "die Cloud". Wobei es die eine Cloud eigentlich gar nicht gibt. Von Private über Hybrid und Multi bis zur Public Cloud ist heute so gut wie jede Infrastruktur Cloud-fähig - inklusive physischer Server. Analog nutzen die meisten Unternehmen heute in der Praxis eine Kombination aus zahlreichen verschiedenen Infrastrukturen, die alle ihre eigenen Vor- und Nachteile haben.

  • Fehlkonfiguration von Cloud-Ressourcen

    Kaum hat sich CASB als Abkürzung für Cloud Access Security Broker im Markt durchgesetzt, klopft schon die nächste Sicherheitslösung an: Cloud Security Posture Management oder kurz CSPM. Der von Gartner-Analysten geprägte Name steht für einen neuen Sicherheitsansatz, um der hohen Dynamik von Cloud-Infrastrukturen und ihrer immer komplexeren, zeitaufwändigeren Administration gerecht zu werden.

  • Multi-Cloud handhaben

    Die Nutzung der Cloud hat in den letzten Jahren rasant zugenommen, vor allem mit der Gewöhnung an die Fernarbeit müssen die Unternehmen nun in der Lage sein, ihre externen Mitarbeiter zu unterstützen und ihnen wichtige Dienste anzubieten.

  • Vertrauen gut: Cloud-verwaltete Kontrolle besser

    Die viel zitierte Weissagung, wonach das Leben die Zuspätkommenden bestrafe, scheint auch in der IT-Netzwerk-Sicherheit ihre Wahrheit zu finden. Viele Unternehmen sahen sich mit Beginn der Pandemie gezwungen, von Büroarbeit auf Homeoffice umzustellen - oft mit lückenhafter Sicherheit die IT-Infrastruktur betreffend. Ein Fest für Hacker! Nun ist Fernarbeit nicht wirklich etwas Neues; neu war seinerzeit allerdings die Geschwindigkeit, die der bereits angelaufene Trend zum mobilen Arbeiten zwangsläufig aufgenommen hatte. So manche IT-Abteilung war in puncto IT-Security ziemlich überfordert, da eiligst ein zufriedenstellendes Sicherheitsniveau zu gewährleisten war.

  • Mehrwert einer Service-Cloud

    Sprichwörter wie "Der Kunde ist König" oder "Der Kunde hat immer Recht" prägen seit Jahren die Beziehung zwischen Kunden und Unternehmen. Ganz gleich, ob diese Aussagen noch zeitgemäß sind: zumindest wird daraus deutlich, welchen Stellenwert Kundenservice seit jeher genießt. Dabei haben sich die Anforderungen an guten Kundenservice im Laufe der Zeit geändert. Um auch heute noch den Herausforderungen gewachsen zu sein, empfiehlt sich die Implementierung einer SAP Service-Cloud. Dadurch können Unternehmen ihren Kunden nicht nur einen schnellen und personalisierten Service bieten, sondern auch ein einheitliches Serviceerlebnis über alle Kundenkanäle hinweg garantieren.

  • Umstieg auf Cloud-Services mit Vorteilen

    Die verstärkte Remote-Arbeit hat, neben weiteren Variablen, die Cloud-Adaption von Unternehmen stark beschleunigt. Für viele Organisationen ist eine verteilte Belegschaft mit Optionen wie Home-Office und Arbeiten von überall aus mittlerweile zu einem Teil der Unternehmenskultur geworden, der auch über die Pandemie hinaus Bestand haben wird. Dieser Wandel Richtung New Work erfordert jedoch eine Umstellung auf neue Richtlinien und Sicherheitstools, die für den modernen Remote-Arbeitsplatz geeignet sind. Endpoint-Protection-Services müssen, wenn sie es nicht schon sind, auf Cloud Services umgestellt werden, um den Schutz von Daten im gesamten Unternehmen zu gewährleisten. Aufgrund dieser Verlagerung sollten Sicherheitsverantwortliche auch die Richtlinien für Datensicherheit, Disaster Recovery und Backup überdenken, um sicherzustellen, dass sie für eine Remote-Umgebung noch angemessen sind. Dabei bietet der Umstieg auf Cloud Services erhebliche Vorteile im Vergleich zu On-Premises-Lösungen. Im Folgenden ein Überblick, wie Unternehmen durch den Weg in die Cloud von mehr Agilität, Skalierbarkeit, Kostenreduktion sowie einer verbesserten Sicherheitslage profitieren können.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen