Blogs > Unternehmen

SDP, ZTNA und CARTA: Die Begeisterung für Zero-Trust-Sicherheit verstehen lernen

Published on:

Autor:

Christopher Hines

Category:

Analysis

SDP, ZTNA und CARTA: Die Begeisterung für Zero-Trust-Sicherheit verstehen lernen

SDP and ZTNA and CARTA. Oh my!

Okay, mein Liedchen klingt also nicht ganz so wie das unvergessliche Lied aus dem Wizard of Oz. Aber die Angst, die aus jenem Refrain spricht, kann sicherlich auch auf meine digitale Version übertragen werden.

IT-Profis haben bereits mehr als genug im Kopf – den ständigen Kampf gegen bedrohliche Cyberangriffe, die Sicherung des Zugriffs für Remote-Mitarbeiter, den Schutz des Geschäfts, die Minderung potenzieller Risiken, die durch private Geräte und IoT verursacht werden. Die Liste ist lang.

So, getting bombarded with one acronym after another, while trying to find the best security solutions and advice for your digital transformation, can quickly become overwhelming. Every vendor starts to sound similar, with pitch decks that blur together, and it gets harder to make a decision on which technology is the best fit for you.

Machen Sie sich keine Sorgen, wenn Sie sich bei der ganzen Zero-Trust-Sicherheitssache etwas verloren fühlen. Sie sind nicht der Einzige. In einem kürzlichen öffentlichen Webinar von Gartner über CARTA wurde berichtet, dass 70 Prozent der Teilnehmer zwar den Begriff „Zero Trust“ gehört hatten, 23 Prozent aber nicht genau wussten, was er bedeutet.

So how do you make sense of all these security acronyms, and what role do they play in securing your move to the cloud?
 

SDP

SDP stands for software-defined perimeter, a term coined by the Cloud Security Alliance. The concept of SDP is that enterprises can now use software, instead of traditional network security appliances, to seamlessly connect remote users to privately managed applications running in private, hybrid, or multi-cloud environments.

It’s important to note that many SDP technologies are client-initiated. This means that a client MUST be installed on the user device for access to private apps to take place. Because of this requirement, they are often not a fit for uses cases in which access from unmanaged devices (e.g., BYOD or third-party users) is important.
 

ZTNA

ZTNA steht für Zero Trust Network Access. ZTNA ist ein neuer Sicherheitsbegriff, der im April 2019 von Gartner in seinem Market Guide for Zero Trust Network Access eingeführt wurde. ZTNA will einige der Hauptunterschiede zwischen den verschiedenen Anbietern klären, die im Zero-Trust-Sicherheitsbereich mitspielen, indem die Lösungen in zwei unterschiedliche Architekturkonzepte unterteilt werden.

  1. Client-initiated architectures – ZTNA solutions in this category closely follow the original Cloud Security Alliance SDP architecture. Basically, an agent installed on authorized devices sends information about its security context to a “controller.” The controller prompts the user on the device for authentication and returns a list of apps the user is allowed to access.
  2. Als Service bereitgestellte Architekturen – Bei ZTNA-Services ist im selben Netzwerk wie die Anwendung ein Connector installiert, der eine von innen nach außen gehende Verbindung zum Cloud-Dienst herstellt und aufrecht erhält, wo die Verbindung zwischen Anwendung und Benutzer zusammengefügt wird. Dieser Prozess findet nach der Authentifizierung von Benutzer und Gerät statt.

Gartner offers a list of evaluation criteria and recommendations for selecting the right ZTNA technology. One of their recommendations is this:

„Für die meisten digitalen Geschäftsszenarios sollten Sie Anbieter bevorzugen, die ZTNA als Service bereitstellen, weil dies ein einfacheres Deployment, eine höhere Verfügbarkeit und Schutz vor DDoS-Angriffen einschließt. Wählen Sie Anbieter, die keine Öffnungen in Firewalls für Abhörfunktionen (eingehende Verbindungen) benötigen, was für die als Service angebotenen Varianten von ZTNA typisch ist.“
 

CARTA

CARTA steht für Continuous Adaptive Risk and Trust Assessment. Im Gegensatz zu den ersten beiden Schlagwörtern, die Technologien bezeichnen, ist CARTA ein von Gartner entwickeltes Sicherheits-Framework. Es ist ein modernes Cloud-First Technologie-Ökosystem, das einen ZTNA-Service, Identitäts-Provider, Anbieter von Endgerätesicherheit sowie MDM- und SIEM-Provider enthält, die alle zusammenarbeiten.

Das Framework geht davon aus, dass alle Teams zunächst mit einer Zero-Trust-Haltung beginnen müssen, dass der Aufbau von Vertrauen für die Erledigung der Arbeit aber unvermeidlich ist. Außerdem sollte die IT, laut CARTA, Zugang auf der Basis von Kontext (Benutzer, Gerät, Applikation und Standort) gewähren, statt einen Benutzer anhand einer IP-Adresse zu verbinden (was kein starkes Sicherheitsmerkmal ist). Dieser Zugriff muss fortlaufend überwacht und das Risiko kontinuierlich bewertet werden, um die Angriffswahrscheinlichkeit zu minimieren und den Zeitaufwand für Schadensbehebung zu reduzieren. Es ist wichtig anzumerken, dass das Framework über das vor 10 Jahren erstmals von Forrester Research definierte Zero-Trust-Modell hinausgeht und Unternehmen dazu drängt, stattdessen einen kontinuierlich adaptiven Ansatz für die Datensicherheit zu verfolgen.

Gartner entwickelte die CARTA-Strategie auf Basis der Idee, dass in einer zunehmend Cloud-orientierten Welt, in der Anwendungen in die Cloud verlagert werden und Benutzer nach binären Entscheidungen arbeiten, die traditionelle Schwarz- und Weiß-, Zulassen- oder Blockieren-Mentalität nicht mehr funktioniert. Eine CARTA entsprechende Denkweise erlaubt es Unternehmen, Entscheidungen anhand von Risiko und Vertrauen zu treffen.

Zu den Hauptkonzepten der CARTA-Methode gehören:

  • Entscheidungen müssen kontinuierlich angepasst werden. Sicherheitsreaktionen müssen kontinuierlich angepasst werden. Risiko und Vertrauen müssen kontinuierlich angepasst werden.
  • The initial block/allow security assessments for access and protection leave enterprises exposed to zero-day and targeted attacks, credential theft, and insider threats.
  • Trust and risk must be dynamic, not static, and assessed continuously as interactions take place and additional context becomes available.
  • Digitale Geschäftsergebnisse können nur dann optimiert werden, wenn digitales Vertrauen als eine Reihe fein abgestimmter Vertrauensmaßstäbe mit mehrdimensionalen Risiko- und Reaktionsmerkmalen adaptiv gehandhabt wird.

Sowohl was SDP als auch ZTNA betrifft, ist die Identifizierung eines Benutzers und die Gewährung von Zugang zu bestimmten Anwendungen statt zum gesamten Netzwerk also ein integraler Bestandteil des CARTA-Frameworks.

 

Was bedeutet dies für meine Netzwerksicherheit?

SDP, ZTNA und CARTA sind entstanden, weil das traditionelle Hub-and-Spoke-Netzwerk und Sicherheitsmodelle nach dem Prinzip Festung-und-Burggraben in einer Welt der Cloud und Mobilität weniger effektiv geworden sind. Unternehmen haben keine Kontrolle über das Netzwerk der öffentlichen Cloud. Wie können sie dann die Netzwerksicherheit kontrollieren? Nun, sie können es nicht.

Backhauling internet-bound traffic (including public cloud and SaaS) to your data center through VPN inbound gateways just adds latency, which degrades the user experience, places users on the network (which can lead to the lateral spread of malware), and exposes IP addresses to the open internet, where they are at risk of DDoS attacks.

With 98 percent of security attacks stemming from the internet, it's become an unacceptable risk to place remote users on the network. Today’s digital employees, who demand the same fast connection to their apps regardless of their location or device, also deserve better.

The classic security perimeter, the data center, has evolved. Now, the user, app, and device are the new virtual perimeters and the internet is the new corporate network. This calls for a new approach to application access.

Angesichts der Tatsache, dass sich Ihre Mitarbeiter, deren Arbeitsanwendungen und fast Ihr gesamtes Geschäft in der Cloud befinden, sollte dann nicht auch Ihre Sicherheit für die Cloud konzipiert sein?

It is natural to be a bit apprehensive when embarking on a cloud journey that involves transforming your applications, network, and security. But, just as Dorothy, Tin Man, Scarecrow, and Cowardly Lion persevered, got some help, and completed their journey, you can do the same thing.

Feel free to reach out to me if you have any questions about SDP, ZTNA, or CARTA, or how Zscaler can help with securing access to your private applications: [email protected].

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Chris Hines is head of product marketing for Zscaler Private Access and Z App.



Vorgeschlagene Blogs