Was ist Netzwerksicherheit?

Wie funktioniert Netzwerksicherheit?

Mittlerweile bewegt sich Netzwerk-Traffic nicht mehr in erster Linie durch eine lokale Netzwerkinfrastruktur, sondern zunehmend quer durch das Internet. Diese Entwicklung hat sich auch auf die netzwerkbasierte Sicherheit ausgewirkt. Die heute eingesetzten Security-Stacks befinden sich innerhalb eines Sicherheits-Gateways, das den Traffic zum und vom Internet überwacht. Sie umfassen eine Reihe von Sicherheitslösungen wie Firewalls, Eindringschutzsysteme (Intrusion Prevention Systems, IPS), Sandboxes, URL- und DNS-Filter, Antivirustechnologien und Data Loss Prevention (DLP), die zusammenwirken, um ein Netzwerk gegen externe Angriffe zu verteidigen und Daten und geistiges Eigentum zu schützen.

Warum ist Netzwerksicherheit ein wichtiges Thema?

Fortschrittliche Netzwerksicherheitslösungen zeichnen sich durch einen agileren Sicherheitsansatz aus, der auf die heutige von Cloud-Technologien geprägte Welt ausgerichtet ist. Zuvor setzten viele Unternehmen zum Schutz ihres zentralen Systems auf Sicherheitsarchitekturen nach dem Prinzip „Festung mit Burggraben“, die auf Perimeter-Firewalls beruhen. Hierbei kamen eine Reihe von Verteidigungslinien zum Einsatz, die verhindern sollten, dass Cyberkriminelle den Perimeter durchbrechen. Wurde eine Verteidigungslinie überwunden, wartete dahinter bereits die nächste.

Diese Strategie funktionierte gut, als man IT-Infrastrukturen noch lokal auf einem einzigen Server hostete. Mit zunehmender Mobilität der Belegschaft wurde es jedoch notwendig, den Zugriff auf Systeme und Daten von verschiedenen Standorten aus zu ermöglichen. Vor diesem Hintergrund entwickelten sich virtuelle private Netzwerke (VPNs), über die Remote-User Zugang zum internen Netzwerk erhielten. Das Thema VPN wird im nächsten Abschnitt erneut eine Rolle spielen.

Mit dem Eintritt ins Cloud-Zeitalter haben sich auch die Cyberbedrohungslandschaft und die Anforderungen moderner Organisationen verändert. Angriffe sind häufiger und raffinierter geworden, Vorschriften strenger und die Menge an zu verarbeitenden und zu schützenden Daten ist größer als je zuvor. Ältere Sicherheitsmodelle bieten häufig nicht die Agilität, Flexibilität und fortschrittlichen Schutzfunktionen, die heutzutage erforderlich sind.

Vor welchen Arten von Bedrohungen bietet Netzwerksicherheit Schutz?

So vielfältig wie die dahinterstehende Bedrohungslandschaft ist auch das Spektrum der Netzwerksicherheitstools auf dem Markt – das Angebot an Lösungen zur Abwehr von Malware (z. B. Spyware, Ransomware, Trojaner), Phishing und ähnlichen Bedrohungen ist schier unendlich.

Legacy-Lösungen für Netzwerksicherheit funktionieren in der Regel nach dem Prinzip „Festung mit Burggraben“ und sind damit auf den Schutz vor schädlichen Aktivitäten ausgelegt, die das Netzwerk von außen bedrohen. Gegen Gefahren innerhalb des Netzwerks sind sie dagegen weitaus weniger gut aufgestellt. Wie das konkret in der Praxis aussieht, wird nachstehend erläutert.

Herausforderungen herkömmlicher Netzwerksicherheit

Cloud-Anwendungen haben rasant an Bedeutung gewonnen und herkömmliche Modelle der Netzwerksicherheit dadurch vor Herausforderungen gestellt. Der User-Zugriff findet zunehmend von Standorten außerhalb des Büros statt und schließt Anwendungen ein, die von Drittanbietern und nicht über das Rechenzentrum bereitgestellt werden. Das Netzwerk trägt somit nicht mehr die gesamte Organisation allein – dennoch liegt der Fokus bei herkömmlicher Netzwerksicherheit nach wie vor auf dem Rechenzentrum.

Zukunftsfähige Organisationen brauchen zukunftsfähige Cybersicherheit – nur so kann die Sicherheit für User, Daten und Endgeräte sichergestellt werden.

Bei früheren Sicherheitsansätzen basierte der Schutz des Remote-Traffic auf „Backhauling“. Dabei wird der Datenverkehr über das Internet und durch den Security-Stack in einem zentralen Rechenzentrum geroutet. Inzwischen ist das Datenaufkommen jedoch insgesamt höher und die zurückgelegten Entfernungen größer. Unter diesen Voraussetzungen ist Backhauling gleichbedeutend mit hoher Latenz und einer mangelhaften User Experience.

Schwächen von Legacy-VPNs

Ein Großteil der Probleme im Zusammenhang mit herkömmlicher Netzwerksicherheit geht auf eine ineffiziente und unsichere VPN-Infrastruktur zurück. Konkret lässt sich festhalten:

• VPNs sind nicht gut skalierbar. Hardwarebasierte VPNs müssen manuell konfiguriert werden und ihre Bandbreitenbegrenzungen machen häufig redundante Deployments erforderlich. Softwarebasierte VPNs müssen auf jedem Endgerät bereitgestellt werden, sodass die Flexibilität der User eingeschränkt wird.
• VPNs bieten keinen zuverlässigen Schutz. Da VPNs keine Sicherheitskontrollen anwenden, muss der verarbeitete Traffic durch einen Security-Stack gefiltert und überprüft werden. Viele Organisationen sind daher gezwungen, den Traffic über ein Rechenzentrum umzuleiten.
• VPNs ermöglichen keine Zero-Trust-Sicherheit. Nach der Authentifizierung über ein VPN befindet sich ein User im Netzwerk. Ist er erst einmal auf diese Weise ins System gelangt, kann sich ein Hacker oder Insider von dort aus lateral bewegen, um auf vertrauliche Informationen zuzugreifen oder Schwachstellen auszunutzen, die nicht von innen geschützt sind.

Risiko einer lateralen Ausbreitung

Die laterale Ausbreitung von Bedrohungen ist eines der größten Risiken, denen sich Organisationen heute gegenübersehen. Herkömmliche Firewalls und VPNs verbinden User direkt mit dem Netzwerk, um ihnen den Zugriff auf Anwendungen und Daten zu ermöglichen. Wer sich erst im „sicheren Netzwerk“ befindet, profitiert von umfassenden Zugangsrechten innerhalb der Umgebung. Aus diesem Grund können sich Bedrohungen bei Kompromittierung von Usern oder Workloads sehr schnell in der Umgebung ausbreiten.

Bei der Umsetzung einer effektiven Sicherheitsstrategie führt heutzutage kein Weg an Zero Trust vorbei. Dieses Framework basiert auf der Prämisse, dass kein User und keine Anwendung automatisch als vertrauenswürdig eingestuft werden darf. Gemäß dem Grundprinzip einer minimalen Rechtevergabe werden Zugriffsberechtigungen basierend auf Kontextdaten gewährt – etwa Identität und Standort des Users, Sicherheitsstatus des Endgeräts, angeforderte Anwendungen bzw. Services – und durchgängig anhand vordefinierter Unternehmensrichtlinien überprüft.

Von der Netzwerksicherheit zur Cloud-Sicherheit

Hybride Arbeitsmodelle gehören für Organisationen mehr und mehr zum Alltag und Cloud-Modelle werden zur Norm. Vor diesem Hintergrund zeichnet sich immer deutlicher ab, dass althergebrachte Firewall-Ansätze den Anforderungen von Cloud-Umgebungen und Zero-Trust-Sicherheit nicht gerecht werden können.

Stattdessen sollten Organisationen sich einem zeitgemäßen Digital-First-Ansatz zuwenden, der auf das Zeitalter der Cloud und Mobilität ausgerichtet ist, und in eine Cloud-basierte Sicherheitslösung investieren, die Sicherheit vom Netzwerk entkoppelt und Richtlinien überall dort durchsetzt, wo Anwendungen gehostet werden und User darauf zugreifen.

Durch Verlagerung der Sicherheit vom Netzwerk in die Cloud folgt der komplette Netzwerk-Security-Stack den Usern im Prinzip zu jedem Standort. Sicherheitsmaßnahmen werden standortunabhängig angewendet und gewährleisten ein konsistentes Schutzniveau – ob in der Zweigstelle, im Homeoffice, am Flughafen oder in der Unternehmenszentrale.

Im Vergleich zu herkömmlicher Netzwerksicherheit bietet eine gute Cloud-basierte Sicherheitslösung folgende Vorteile:

• Schnellere User Experience: Jeglicher User-Traffic gelangt über den kürzesten Weg zur Anwendung oder zum Ziel im Internet.
• Erstklassige Sicherheit: Der gesamte Internet-Traffic, ob verschlüsselt oder unverschlüsselt, wird überprüft und die Risikoerkennung durch Echtzeit-Korrelation von Bedrohungsdaten verbessert.
• Reduzierte Kosten: Dank der kontinuierlich aktualisierten Cloud-Infrastruktur entfällt die Notwendigkeit, laufend neue Appliances zu erwerben und zu warten.
• Einfachere Verwaltung: Da die Lösung als Service bereitgestellt wird, reduziert sich der Aufwand für die Verwaltung mehrerer Geräte.

Durch den Wechsel zu einem Cloud-basierten Security-Stack stellen Sie sicher, dass Ihre User schnellen, sicheren und richtlinienbasierten Zugriff auf Drittanbieter- sowie private Anwendungen erhalten. Gleichzeitig ist Vorsicht geboten: Zwar werben zahlreiche Anbieter mit Cloud-basierten, Cloud-fähigen Sicherheitslösungen, dahinter verbergen sich jedoch häufig nachgerüstete, virtualisierte Legacy-Appliances. Nicht so bei Zscaler: Unsere Sicherheitslösung wurde in der Cloud und für die Cloud entwickelt.

So schützen Sie Ihr Netzwerk mit Zscaler

Mithilfe der Zscaler Zero Trust Exchange™ können Mitarbeiter über schnelle und sichere Verbindungen standortunabhängig auf Anwendungen zugreifen, sodass das Internet effektiv als Unternehmensnetzwerk fungiert. Die Plattform beruht auf dem Zero-Trust-Prinzip der minimalen Rechtevergabe und gewährleistet mithilfe kontextbasierter Identitäts- und Richtliniendurchsetzung umfassende Sicherheit.

Dank Verfügbarkeit in mehr als 150 Rechenzentren weltweit sowie Kompatibilität und Kooperation mit Anwendungen und Cloud-Anbietern wie Microsoft 365 und AWS können die Plattform-Services in unmittelbarer User-Nähe bereitgestellt werden und gewährleisten bestmögliche Sicherheit und Anwendererfahrung.

Sicherer Zugriff auf private Anwendungen

Zscaler Private Access™ (ZPA), die weltweit am häufigsten eingesetzte ZTNA-Lösung (Zero Trust Network Access), bietet Usern als Teil der Zero Trust Exchange sicheren und direkten Zugriff auf private Anwendungen, während unbefugte Zugriffe und laterale Bewegungen verhindert werden. ZPA kann innerhalb weniger Stunden bereitgestellt werden und ersetzt Legacy-VPNs und Remotezugriffstools durch eine ganzheitliche Zero-Trust-Plattform. Dies bringt folgende Vorteile mit sich:

• Minimierte Angriffsfläche: Anwendungen sind im offenen Internet unsichtbar und Sicherheitsverletzungen durch Cyberkriminelle damit unmöglich.
• Keine laterale Ausbreitung von Bedrohungen: Durch Anwendungs- statt Netzwerksegmentierung wird das Prinzip der minimalen Rechtevergabe durchgesetzt und der Netzwerkzugriff verhindert.
• Abwehr von kompromittierten Usern und Risikominderung: Anwendungs-Exploits und Datenverluste werden verhindert, aktive Angreifer und Bedrohungen erkannt.

Sicherer Zugriff auf Internet und SaaS

Zscaler Internet Access™ ist eine Cloud-native SSE-Lösung (Security Service Edge), mit der User von der Skalierbarkeit und Agilität der weltweit größten Security Cloud sowie Bedrohungsinformationen aus Hunderten von Billionen Signalen pro Tag profitieren. Das Ziel: Advanced Threats zu stoppen und Datenverluste zu verhindern. Möglich macht dies ein ganzheitlicher Zero-Trust-Ansatz, mit dem ältere Netzwerksicherheitslösungen abgelöst und wertvolle Funktionen bereitgestellt werden können:

• Konsistenter Schutz für hybride Belegschaften: Alle User, Apps und Geräte erhalten kontextbasierten, durchgehend aktiven Schutz anhand von Sicherheitsrichtlinien, die an jedem Anwenderstandort durchgesetzt werden.
• Schneller Zugriff ohne Infrastruktur: Dank Direct-to-Cloud-Architektur lassen sich Backhauling verhindern, Performance und Anwendererfahrung verbessern und die Netzwerkverwaltung vereinfachen – ganz ohne physische Infrastruktur.
• KI-gestützter Schutz: Vollständige Inline-Überprüfung und eine Suite von KI-gestützten Cloud-Sicherheitsservices sorgen für die Abwehr von Ransomware, Zero-Day-Malware und Advanced Threats.