SSE in der Praxis: Anwendungsszenarien | Zscaler

Dieser Blogbeitrag ist die zweite Folge einer dreiteiligen Reihe über eine neue Marktkategorie, die Gartner als Security Service Edge (SSE) definiert. Im ersten Beitrag wurde erläutert, was unter einer SSE-Plattform zu verstehen ist. Im dritten Teil geht es um die Funktionen, auf die bei der Auswahl einer SSE-Plattform unbedingt zu achten ist.

Welche Vorteile bietet das neue Security Service Edge (SSE) von Gartner für Unternehmen? Bei SSE stehen zum einen die User im Mittelpunkt, zum anderen die Ziele, auf die zugegriffen wird. Anhand dieser beiden Konzepte lässt sich verdeutlichen, wie SSE in der Praxis funktioniert. Die Netzwerksicherheit hat heute so gut wie ausgedient. Wenn User und ihre Zugriffsziele sich nicht mehr innerhalb des Unternehmensnetzwerks befinden, erscheint es wenig sinnvoll, die Sicherheitslösung dort bereitzustellen. 

Am besten stellt man sich SSE als eine Abstraktionsmöglichkeit von Sicherheit außerhalb des Netzwerks vor, wo sie Usern und Zugriffszielen lückenlos folgen kann. Die Bereitstellung erfolgt über eine Cloud-Plattform, in deren Funktionsumfang Secure Web Gateway (SWG), Cloud Access Security Broker (CASB) und Zero Trust Network Access (ZTNA) inbegriffen sind. Sämtliche Verbindungen zwischen Usern und Zugriffszielen im Internet, in SaaS-Anwendungen oder privaten Applikationen werden mit SSE durch einen Proxy geschützt. Im Folgenden werden die wichtigsten Anwendungsfälle für SSE beleuchtet.

Erkennen und Eindämmen von Bedrohungen

Cloud und Mobilität rücken in der heutigen Wirtschaftswelt immer mehr in den Vordergrund. Geschäfte werden zunehmend über das Internet bzw. Cloud-Anwendungen abgeschlossen. Das Internet wurde das neue Unternehmensnetzwerk, was robuste neue Sicherheitsansätze zur Risikominderung erfordert. Unter diesen Vorzeichen wird eine hochgradig zuverlässige Bedrohungsabwehr zu einer unverzichtbaren Erfolgsvoraussetzung, denn Organisationen können über zahlreiche Wege von Sicherheitsverletzungen und Ransomware heimgesucht werden. Herkömmliche Ansätze haben den Nachteil, dass ein reibungsloses Zusammenwirken verschiedener Einzellösungen schwer zu gewährleisten ist. Sicherheitslücken an den Übergängen der Produkte ist eine weitere Herausforderung. Auch die Aktualisierung von Legacy-Appliances ist oft umständlich und wird häufig übersehen, was zu veraltetem Schutz und Sicherheitsrisiken führt.

Hier schafft SSE Abhilfe. Der neue Ansatz Security Service Edge kombiniert alle Vorteile von SWG, CASB und ZTNA in einer einzigen Plattform und überzeugt durch ein breites Spektrum an Schutzfunktionen:

• Schutz vor komplexen Bedrohungen zur Abwehr von Phishing-Angriffen, Malware und anderen eingehenden Bedrohungen
• Cloud-basierte Firewalls und ein Eindringschutzsystem zur Zugriffskontrolle und dem Schutz von Verbindungen zu Zweigstellen
• Cloud-basiertes Sandboxing zur Erkennung und Abwehr neuartiger, bislang unbekannter Bedrohungen
• Browser Isolation zum Schutz nicht verwalteter Geräte vor dem Zugriff auf schädliche Webinhalte 
• Cloud-basierte Bedrohungsanalyse zum verbesserten Informationsaustausch, damit neuartige Bedrohungen auf der gesamten Plattform schnell erkannt und blockiert werden können

Durch die Bereitstellung in der Cloud profitieren Unternehmen, die SSE einsetzen, von hochgradiger Skalierbarkeit. Das betrifft sowohl den Umfang der geschützten Umgebung als auch das Volumen des überprüften Traffics. Bei der Entscheidung für eine SSE-Plattform ist darauf zu achten, dass umfassender Schutz mit zügigen lokalen Verbindungen für alle User weltweit sowie eine skalierbare SSL-Überprüfung für beliebig hohe Datenvolumen gewährleistet ist, damit alle Bedrohungen entdeckt werden können.

Sichere Verbindungen für Remote-Mitarbeiter

Die Umstellung auf hybride Arbeitskonzepte liegt weiterhin stark im Trend. Damit einher geht für die betroffenen Organisationen die Notwendigkeit, nicht nur ihre Betriebsabläufe, sondern auch die Strategien zum Schutz von Usern und Daten neu zu definieren. Herkömmliche VPNs erweisen sich aus zwei Gründen als hinderlich für diese Transformation: Erstens sind sie der steigenden Nachfrage nicht gewachsen. Zweitens weisen sie schwerwiegende Mängel in puncto Architektur auf.

Nicht umsonst sorgen immer wieder VPN-Sicherheitsrisiken für Schlagzeilen. VPNs haben gleich mehrere Nachteile: Sie sind im Internet erkennbar und das regelmäßig erforderliche Patching wird oft übersehen. Als weiterer Risikofaktor kommt hinzu, dass User durch ein VPN Zugang zum Netzwerk erhalten, damit sie auf Anwendungen zugreifen können.

SSE bietet einen besseren und moderneren Zero-Trust-Ansatz im Rahmen des ZTNA-Konzepts. ZTNA ermöglicht Usern Zugriff auf Anwendungen, ohne ihnen Zugang zum Netzwerk zu gewähren. Zudem ist die Architektur so konzipiert, dass sie im Internet nicht öffentlich sichtbar ist. Stattdessen werden ausgehende Verbindungen zwischen Usern und Anwendungen über die Cloud-basierte SSE-Plattform vermittelt. 

Eingangs wurden User und Zugriffsziele als die beiden zentralen Konzepte des SSE-Modells hervorgehoben. Folgerichtig ist ZTNA ein wesentlicher Bestandteil von SSE: Anwendungen – das gilt für SaaS ebenso wie für private Applikationen – sind Zugriffsziele und User müssen auch außerhalb des Unternehmensnetzwerks jederzeit sicher mit ihnen verbunden werden. Durch die Integration von ZTNA in die SSE-Architektur wird Organisationen eine bestechend einfache Möglichkeit bereitgestellt, sichere Verbindungen zwischen Usern und Anwendungen nach dem Zero-Trust-Prinzip zu gewährleisten. Darüber hinaus lässt sich SSE engmaschig mit vorhandenen Sicherheitsservices zur Bedrohungserkennung und den Datenschutz integrieren.

Sensible Daten identifizieren und schützen

Daten sind das Lebenselixier jeder Organisation. Angesichts zunehmend ausgefeilter Cyberbedrohungen und Angriffstaktiken stellt ihr Schutz die zuständigen Sicherheitsexperten aber vor beträchtliche Herausforderungen. Erschwerend kommt hinzu, dass Daten heutzutage über eine Vielzahl von Speicherorten verteilt sind. Dieser Trend bringt eine ganze Reihe von Risiken mit sich:

• Kontrollmechanismen: Die Gewährleistung der Mechanismen zum Schutz der Organisationsdaten in Cloud-Anwendungen bzw. SaaS-Lösungen ist unzureichend.
• Remote-Arbeit: User müssen standortunabhängig auf Daten zugreifen können.
• Zusammenarbeit: SaaS-Anwendungen sind für die Freigabe und gemeinsame Nutzung von Daten abseits herkömmlicher Kontroll- und Schutzmechanismen konzipiert.
• BYOD: Im Homeoffice greifen User häufig über nicht verwaltete Privatgeräte auf Daten zu. Dieser Zugriff erfolgt oft völlig legitim, entzieht Daten jedoch der Kontrolle des Unternehmens, sobald sie auf ein BYOD-Gerät heruntergeladen werden.

Vor dem Hintergrund der beschriebenen Herausforderungen und Risikofaktoren setzt sich in der Wirtschaft zunehmend die Erkenntnis durch, dass Daten heute nicht mehr ins Rechenzentrum, sondern in die Cloud gehören. Eine Cloud-basierte SSE-Plattform gewährleistet komplette Kontrolle über alle Daten, sowohl bei der Übertragung als auch im Ruhezustand. Cloud DLP schützt Daten bei der Übertragung, indem sensible Inhalte erkannt und blockiert werden. Die Kombination aus DLP und CASB ermöglicht ein identisches Schutz- und Kontrollniveau für Daten in SaaS-Anwendungen. Riskante Freigaben werden überwacht und verhindert, während sensible Daten durch zuverlässige Kontrollmechanismen geschützt werden. Darüber hinaus sollte eine gute SSE-Plattform auch nicht verwaltete BYOD-Geräte unkompliziert schützen können. Damit das Unternehmen den Überblick und die Kontrolle über Daten auf BYOD-Geräten behält, ist darauf zu achten, dass Cloud Browser Isolation im Funktionsumfang der SSE-Plattform inbegriffen ist.

Fazit

SASE, SWG, SSE ... Wer kein ausgemachter Experte für Cybersicherheit ist, kann im Buchstabensalat der Akronyme schnell den Überblick verlieren. Dennoch lohnt sich die ernsthafte Beschäftigung mit SSE als neue Kategorie mit zahlreichen Vorteilen. Eine gezielt entwickelte Cloud-basierte SSE-Plattform, die den Funktionsumfang von SWG, CASB und ZTNA kombiniert, bietet zuverlässigen Schutz für Unternehmensressourcen. Die Stärken dieses Konzepts liegen insbesondere in der Erkennung und Verringerung bekannter wie neuartiger Bedrohungen, der standortunabhängigen Herstellung sicherer Verbindungen für Remote-Arbeiter sowie der Identifizierung und dem Schutz sensibler Daten an sämtlichen Speicherorten.

In der dritten und letzten Folge dieser Blog-Reihe zum Thema SSE geht es um die Frage, auf welche Kriterien bei der Auswahl einer SSE-Cloud-Plattform geachtet werden sollte.