Die Zeit ist reif für Zero-Trust-SASE

Die Arbeitswelt hat sich grundlegend verändert. Laut einer aktuellen Umfrage von Gallup arbeiten 50 % der Beschäftigten in den USA hybrid und nur 20 % ausschließlich im Büro. Außerdem prognostiziert Gartner, dass hybrides Arbeiten bis Ende 2023 für fast 40 % der weltweiten Wissensarbeiter Standard sein wird.

Zweigstellen haben sich stark verändert und immer mehr Unternehmen stellen ihre Arbeitsplätze auf ein Café-ähnliches Modell um. In Verbindung mit der Einführung von Cloud und SaaS führt dies zu grundlegenden Veränderungen in der IT-Infrastruktur. Die Art und Weise, wie wir unsere Netzwerke entwerfen, aufbauen und schützen, muss sich ebenfalls weiterentwickeln, um dieser neuen Normalität gewachsen zu sein.

Unterschiedliche Ansätze sind gefragt

Das alte netzwerkzentrierte Modell für Konnektivität und Sicherheit birgt Herausforderungen, wenn User und Anwendungen überall sind. Der Versuch, herkömmliche Firewall-/VPN-basierte Sicherheit in eine immer unübersichtlichere und komplexere Netzwerkumgebung zu zwängen, hat nur mehr Kosten, Komplexität und Risiken verursacht. Trotz steigender Ausgaben für Firewalls nehmen Cyberangriffe weiter zu und besonders Ransomware wird zu einer nicht zu unterschätzenden Bedrohung. Laut Zscaler ThreatLabz nahmen Ransomware-Angriffe zwischen 2022 und 2023 um fast 40 % zu, wobei die durchschnittliche Lösegeldforderung bei 5,3 Millionen US-Dollar lag.

Die aktuelle Generation von Netzwerktechnologien wurde entwickelt, um Probleme vor 30 Jahren zu lösen, als IT-Systeme nicht miteinander kommunizieren konnten. Daher ist es nicht verwunderlich, dass wir einen Netzwerkstack entwickelt haben, der die Konnektivität und Erreichbarkeit zwischen Usern und Computersystemen weltweit maximieren soll.

Diese Entwicklung hat zwar zu enormen Produktivitätssteigerungen und geschäftlichem Nutzen geführt, ist aber mit einem erhöhten Cyberrisiko verbunden. Ein Angreifer braucht nur einen einzigen Zugangspunkt zum Unternehmen zu finden und kann sich von dort aus lateral bewegen, um auf wichtige Anwendungen und Daten zuzugreifen. Angesichts einer Angriffsfläche, die sich über Zweigstellen, Einzelhandelsstandorte, Clouds, Remote-User und Partner erstreckt, ist die Absicherung der herkömmlichen Netzwerkinfrastruktur ein komplexes und kostspieliges Unterfangen geworden.

Zero Trust erfordert neue Herangehensweise ans Networking

Zero Trust ist eine Cybersicherheitsstrategie, die den Fokus von Netzwerken auf Entitäten — User, Geräte, Anwendungen und Services — verlagert. Das Konzept besagt, dass keine Entität standardmäßig als vertrauenswürdig eingestuft werden sollte, sondern dass der Zugriff auf bestimmte Ressourcen nur auf der Grundlage von Identität, Kontext und Sicherheitsstatus explizit genehmigt und bei jeder erneuten Verbindung nochmals überprüft werden muss.

Herkömmliche Netzwerke sind für ein Zero-Trust-Modell nicht geeignet, da sie implizites Vertrauen gewähren — sobald man sich im Netzwerk befindet, kann man überall hingelangen und mit jeder Entität kommunizieren. Netzwerkarchitekten können das Ausmaß an Vertrauen und den Umfang der lateralen Bewegung begrenzen, indem sie das Netzwerk segmentieren. Diese Vorgehensweise ist jedoch sehr komplex und schwierig zu verwalten — so, als würde man eine Autobahn bauen und an jeder Auffahrt und jedem Kreuz Kontrollpunkte einrichten.

Zero-Trust-Networking bietet die Möglichkeit, die Art und Weise, wie wir Unternehmensnetzwerke aufbauen, grundlegend zu überdenken. Anstatt mit Routing-Overlays zu beginnen, die als vertrauenswürdig eingestuft werden, wird zunächst eine Zero-Trust-Grundlage benötigt. Daraufhin müssen Entitäten mit einer Exchange verbunden werden, die je nach Kontext und Sicherheitsstatus Verbindungen vermitteln kann.

Abbildung: Zero-Trust-Architektur

Herkömmliches SD-WAN ist kein Zero Trust

Herkömmliches SD-WAN kam vor über einem Jahrzehnt auf den Markt und sollte Unternehmen als Alternative zu teuren MPLS-WAN-Services dienen. Mithilfe mehrerer ISP-Verbindungen und aktiver Pfadüberwachung verbesserten SD-WANs die allgemeine Zuverlässigkeit und Performance von Internetverbindungen erheblich und zeigten somit, dass geschäftskritische Anwendungen problemlos über das Internet genutzt werden können.

Ein Jahrzehnt später und nach einer weltweiten Pandemie muss man nicht mehr beweisen, dass das Internet schnell und zuverlässig genug ist, um Unternehmensanwendungen auszuführen. Gigabit-Glasfaserverbindungen sind ohne weiteres verfügbar, und die meisten SaaS-Anwendungen sind für die Nutzung über das Internet optimiert. Heutzutage steht SD-WAN vor ganz anderen Herausforderungen: Es muss Usern im Homeoffice und im Büro konsistente Erfahrungen und Sicherheit bereitstellen, den Traffic von IoT-Geräten schützen und Zero-Trust-Sicherheit auf alle Standorte ausdehnen, ohne dass zusätzliche Firewall-/VPN-Appliances benötigt werden.

Secure Access Service Edge (SASE)

Gartner prägte 2019 den Begriff SASE, um die Zusammenführung von Sicherheit und Networking zu beschreiben, die über eine einheitliche Cloud-native Plattform bereitgestellt wird, die besser auf moderne Traffic-Flüsse abgestimmt ist. Unter SASE wird im Allgemeinen eine Kombination aus Sicherheitsservices wie FWaaS, SWG, CASB, DLP und Konnektivitätsservices wie ZTNA und SD-WAN verstanden, die über die Cloud bereitgestellt werden.

Die Umstellung auf SASE bietet die Möglichkeit, Sicherheitsservices von Grund auf zu überdenken und im Hinblick auf die Cloud neu zu gestalten. Viele SASE-Lösungen erweitern jedoch einfach das Firewall-/VPN-Modell auf die Cloud und bieten eine gehostete Version der herkömmlichen Sicherheitsappliances. Mit zusätzlichen SD-WAN-Integrationen können diese Lösungen nur Usern und keinen weiteren Entitäten Zero Trust bereitstellen.

Gibt es eine bessere Alternative?

Zscaler war Vorreiter bei der Zero-Trust-Sicherheit für Remote-User und hat klobige Remote-Access-VPNs abgeschafft und damit das Cyberrisiko für Tausende von Unternehmen weltweit reduziert. Wir haben eine branchenführende, KI-gestützte SSE-Plattform entwickelt, die zwei Jahre in Folge als Leader im Gartner Magic Quadrant für SSE ausgezeichnet wurde.

Wir freuen uns, dass wir die gleiche Zero-Trust-Sicherheit nun auch in Zweigstellen, Fabriken, Einzelhandelsgeschäften und Rechenzentren anbieten können. Am 23. Januar werden wir unsere branchenweit einzigartigen SD-WAN-Innovationen vorstellen, mit denen Sie Ihre Sicherheits- und Netzwerkarchitektur mit einer Zero-Trust-SASE-Plattform auf der Grundlage von Zero-Trust-KI transformieren können. Erfahren Sie von Ihren Kollegen aus der Branche mehr über deren Erfahrungen bei der Transformation und die Vorteile, die sie erzielt haben. Registrieren Sie sich jetzt und sichern Sie sich Ihren Platz!