Websites, Cloud-Dienste, On-Premises-Anwendungen, verwaltete Endgeräte und unverwaltete BYOD-Geräte: Unternehmen müssen ihre sensiblen Daten heute über eine komplexe IT-Landschaft hinweg schützen. Wie soll das effizient gehen? Mit einer SASE-Architektur.
Von Frank Limberger*
Die gestiegene Mobilität der Mitarbeiter hat die Kosten für die IT-Verwaltung in die Höhe getrieben. Angesichts knapper Budgets sind viele Unternehmen gezwungen, neue Architekturen für ihre IT-Sicherheit aufzusetzen. Der Fokus liegt dabei auf dem Ort, an dem sich die Anwendungen und Daten der Unternehmen zunehmend befinden: in der Cloud. Deshalb orientieren sich die IT-Sicherheitsverantwortlichen verstärkt an dem Konzept, das der Marktforscher Gartner als Secure Access Service Edge, kurz SASE, bezeichnet – eine integrierte Kombination aus Cloud-basiertem Networking und Cloud-basierter IT-Security.
Datensicherheit muss im Mittelpunkt stehen
Viele Unternehmen werden ihre IT-Sicherheit in den kommenden Jahren auf eine konsolidierte SSE-Plattform (Security Service Edge) migrieren. Solche Plattformen bilden den Sicherheitsteil des SASE-Konzepts ab und integrieren einen Web-Zugang über ein Secure Web Gateway (SWG), einen Cloud-Zugang über einen Cloud Access Security Broker (CASB) und einen Zugang zu On-Premises-Anwendungen über Zero Trust Netzwork Access (ZTNA). Im Mittelpunkt sollte dabei die Datensicherheit stehen. Daten sind heute das kostbarste Gut, das Unternehmen haben, weil sie aber inzwischen über verschiedene Clouds und Rechenzentren und zahllose Endgeräte verteilt vorliegen, sind sie einem hohen Risiko ausgesetzt. Cyberkriminelle wissen, dass Remote-Mitarbeiter ständig zwischen verschiedenen Geräten, Standorten und Anwendungen wechseln und nutzen die gewachsene Angriffsfläche der hybriden IT-Infrastrukturen für ihre Angriffe aus.
Daten können auf vielen Wegen ungewollt nach außen abfließen: sei es durch Up- und Downloads auf Webseiten, aus Cloud-Applikationen und On-Premises-Anwendungen oder über private Devices von Mitarbeitern wie USB-Sticks und Drucker. SSE-Plattformen sollten Unternehmen deshalb die Möglichkeit bieten, SWG, CASB und ZTNA mit Inline Data Loss Prevention (DLP) und Zero-Trust-Funktionen zu kombinieren. Dadurch erhalten sie die größtmögliche Kontrolle über ihre Daten. Niemand kann geistiges Eigentum oder regulierte Daten entgegen der Richtlinien teilen oder herunterladen und alle Inhalte werden automatisch von Bedrohungen bereinigt. Das gilt selbst bei BYOD-Geräten (Bring Your Own Device).
Daten überall mit ein und denselben Richtlinien schützen
In der Praxis besteht eine große Schwierigkeit darin, die Daten bestmöglich abzusichern, ohne die Mitarbeiter in ihrer Produktivität einzuschränken – oftmals eine Gratwanderung. Verfolgen Unternehmen einen zu restriktiven Ansatz, werden die Anwender dazu verleitet, riskante Wege zur Umgehung der Einschränkungen zu suchen. Eine weitere Herausforderung ist der große Aufwand, den es bedeutet, Richtlinien einzurichten und über mehrere Umgebungen sowie tausende Benutzer und ihre Endgeräte hinweg zu pflegen. Zumal dabei auch die Art der genutzten Anwendungen oder Websites, die Standorte, der Netzwerkzugang und die speziellen Anforderungen von BYOD-Geräten berücksichtigt werden müssen.
Die Einführung einer integrierten und datenzentrierten SASE-Architektur ermöglicht es Unternehmen, Prozesse zu rationalisieren. Durch die Verlagerung des IT-Sicherheitsmanagements in die Cloud können sie ihre Daten mit ein und denselben Richtlinien überall schützen, egal, ob ihre Mitarbeiter im Homeoffice, in einer Zweigstelle oder bei einem Kunden vor Ort sind; und auch dann, wenn sich die Daten auf BYOD-Geräten von Mitarbeitern, Partnern oder Zulieferern befinden. Mit einer Kombination aus On-Device-Agenten für verwaltete Geräte und agentenlosen Reverse Proxies für nicht verwaltete Geräte können die Kontrollen, die für die Durchsetzung der Richtlinien erforderlich sind, direkt bei den Nutzern durchgeführt werden. Eine Weiterleitung des Datenverkehrs an ein zentrales Rechenzentrum ist nicht erforderlich, so dass keine zusätzlichen Wartezeiten für die Mitarbeiter entstehen und obendrein die Infrastrukturkosten für die IT-Sicherheit sinken.
Unter dem Strich stehen Wettbewerbsvorteile
Durch die Umstellung auf eine datenzentrierte SASE-Architektur können Unternehmen eine umfassende Prävention realisieren. Sie erhalten die Möglichkeit, Daten überall dort zu schützen, wo sie genutzt werden. Zudem können sie damit die IT-Sicherheit vereinfachen und schnell eine Zero Trust Security einführen. Unter dem Strich erhöhen sie ihre Effizienz, verbessern die Benutzerfreundlichkeit, senken ihre Kosten und verschaffen sich Wettbewerbsvorteile.
* Frank Limberger, Data Security Specialist bei Forcepoint in München