Zscaler Cloud-Plattform

CNAPP und SASE: Zwei Plattformen, die sich durchsetzen werden

Ein digitales Schloss

Wenn ein neuer Markt in der B2B-Informationstechnologie entsteht, ist es üblich, dass Anbieter eine Vielzahl von Einzellösungen einführen, die sich alle innerhalb ihrer Nische von den anderen abheben. Nirgendwo ist dieses Phänomen im Moment offensichtlicher als im Bereich der Sicherheit öffentlicher Clouds, wo es eine nahezu unübersichtliche Menge von Lösungsabkürzungen gibt, die jeweils einen kleinen Teil des umfassenderen Problems der Cloud-Sicherheit lösen: CSPM, CIEM, DLP, IAM, Multicloud-Networking, Mikrosegmentierung, IaC-Scanning, Container-Laufzeitsicherheit und Schwachstellenbewertung, um nur einige Beispiele zu nennen.

Selbst wenn Unternehmen über das Budget verfügten, all diese Tools separat anzuschaffen, wäre die betriebliche Komplexität durch Mitarbeiterschulungen, Produktintegrationen und den Austausch mit unzähligen Anbietern ein kaum zu bewältigender Aufwand. Im Zuge der technologischen Ausreifung der öffentlichen Clouds setzen sich zwei Plattformen als überzeugende Lösung zur Erfüllung der Anforderungen an den Workload-Schutz mittels einer Strategie auf Basis von Zero-Trust-Sicherheit durch: Cloud Native Application Protection Platforms (CNAPP) und Secure Access Service Edge (SASE).

Im Grunde ist Zero-Trust-Sicherheit ein Framework, das auf dem Konzept der minimalen Zugriffsrechte basiert, bei dem keinem User und keiner Anwendung automatisch vertraut werden darf. Das Bahnbrechende an diesem Ansatz ist, dass er genau das Gegenteil der Strategie darstellt, die die meisten Unternehmen während der letzten Jahrzehnte verfolgt haben. Seit den frühen Neunzigerjahren stand die Perimetersicherheit im Mittelpunkt der Informationssicherheit. Dabei sollte der Perimeter dafür sorgen, dass sich böswillige Akteure außerhalb und vertrauenswürdige User innerhalb des Netzwerks befinden. 

Bei Zero Trust gilt jedoch niemand und nichts als vertrauenswürdig. Wenn man aber alle User und Anwendungen ausschließt, ist es für diese natürlich schwierig, miteinander zu kommunizieren. Daher wird nur Zugriff auf Notwendiges gewährt, und auch nur dann, wenn Identität und Risikokontext ermittelt wurden. Während sich Zero Trust in den letzten Jahren für den User-Zugriff auf Anwendungen durchgesetzt hat, dehnen viele Unternehmen dieses Konzept nun auch auf die Kommunikation zwischen Anwendungen aus.

Dabei kommen CNAPP und SASE ins Spiel.

CNAPP und Zero Trust

Eine CNAPP wird zur Erkennung, Priorisierung und Minimierung der Risiken von Cloud-Workloads eingesetzt. Diese Plattformen bieten Einblicke in die öffentliche Cloud-Infrastruktur und in die Workloads, die auf dieser Infrastruktur ausgeführt werden. Eine CNAPP trägt auch zur Erkennung und Behebung von Risiken vor der Bereitstellung in der Cloud bei, indem sie in DevOps-Tools und integrierte Entwicklungsumgebungen integriert wird.

CNAPPs bieten Einblicke in eine Vielzahl von Cloud-Risiken und ersetzen mehrere, bisher nur getrennt erhältliche Produktkategorien. Zu diesen Risiken gehören Fehlkonfigurationen, zu breite Privilegien und Berechtigungen, sensible ruhende Daten, ungepatchte Softwareschwachstellen und mehr. Diese Plattformen korrelieren funktionsübergreifend, um tatsächlich ausnutzbare Schwachstellen zu priorisieren und ein genaues Bild davon zu erhalten, auf welche Weise ein Unternehmen gefährdet sein könnte.

Eine CNAPP identifiziert und priorisiert nicht nur Cloud-Risiken, sondern trägt auch zur Behebung dieser Risiken bei, entweder durch automatisierte oder angeleitete manuelle Fehlerbehebung. Identifizierung, Priorisierung und Verringerung von Cloud-Risiken finden kontinuierlich statt, denn in dynamischen Cloud-Umgebungen ändert sich die Risikolage ständig. 

In einer Zero-Trust-Architektur bietet eine CNAPP den entscheidenden Risikokontext, der genutzt werden kann, um fundiertere Entscheidungen über den Zugriff zu treffen, den eine Workload innerhalb der Unternehmens-Cloud und darüber hinweg haben sollte. Eine riskante Cloud-Workload sollte genau wie ein User nur über eingeschränkten Zugriff verfügen, bis die entsprechenden Risikofaktoren behoben wurden. 

SASE und Zero Trust

Nachdem der Risikokontext ermittelt wurde, besteht der nächste Schritt darin, den Zugriff auf das Notwendigste einzuschränken. Hier kommt SASE ins Spiel. SASE nutzt den Identitäts- und Risikokontext einer Workload, um Zugriffsrechte zu überprüfen. Auf der Grundlage dieses Kontexts und der angestrebten Transaktion wendet sie Unternehmensrichtlinien an. Da sich der Kontext ändert, werden die Zugriffsberechtigungen ständig neu bewertet. SASE wird traditionell mit dem Schutz der User-Kommunikation in Verbindung gebracht und hat sich erst in letzter Zeit auch als Plattform für den Schutz der Workload-Kommunikation durchgesetzt.

SASE-Plattformen verbinden Cloud-Workloads direkt mit anderen Workloads, ohne dass diese dabei mit dem Netzwerk verbunden werden. Es handelt sich also um eine Ausprägung der Zero-Trust-Kommunikation für Workloads. Durch die Bereitstellung dieser Konnektivität und Segmentierung direkt zwischen Anwendungen verringert SASE die Möglichkeit einer lateralen Bewegung von schädlicher Software und Cyberkriminellen im Netzwerk. Mithilfe von SASE ist Workload-Kommunikation in verschiedenen Anwendungsfällen möglich:

  • Zwischen Clouds
  • Zwischen Cloud und Rechenzentrum
  • Zwischen Cloud und Internet
  • Innerhalb der Cloud

Herkömmliche Perimeter-Technologien wie z. B. Firewalls verwenden einen „Passthrough“-Sicherheitsansatz, bei dem die Sicherheit zugunsten der Performance zurückgestellt wird. Wenn bösartiger Traffic entdeckt wird, ist es oft schon zu spät und man kann ihn nicht mehr aufhalten. Eine SASE-basierte Lösung führt eine vollständige Überprüfung jeder Transaktion durch. Sie beendet jede Verbindung, um selbst verschlüsselten Traffic vor der Weiterleitung ans Ziel aufzuhalten und zu überprüfen. Diese Überprüfung umfasst neben der Zugriffskontrolle häufig auch Data Loss Prevention und Bedrohungsabwehr.

Zwei Teile eines Ganzen

CNAPP und SASE bieten einen umfassenden Ansatz für die Sicherheit von Cloud-Workloads, indem sie sowohl die Workloads als auch den Zugriff auf Workloads schützen. Gleichzeitig gewährleisten sie optimale Anwendungsperformance und Anwendererfahrung. Innerhalb der nächsten Jahre werden sich immer mehr Funktionen, die bisher von Einzellösungen abgedeckt werden, auf einer dieser beiden Plattformen konzentrieren. Dies wird dazu führen, dass immer mehr Unternehmen auf Zero-Trust-Sicherheit für ihre öffentlichen Cloud-Workloads umsteigen. Zudem wird die Konsolidierung der Tools den gesamten Prozess erheblich vereinfachen.

Aber warum warten? Unternehmen können sich schon jetzt an Zscaler wenden: Wir würden gerne besprechen, wie CNAPP und SASE optimal in den Umgebungen eingesetzt werden können. 

Bleiben Sie auf dem Laufenden mit aktuellen Infos und Tipps für die digitale Transformation.

Durch Abschicken des Formulars stimmen Sie unserer Datenschutzerklärung zu.