/ Was versteht man unter Secure Web Gateways (SWG)?
Was versteht man unter Secure Web Gateways (SWG)?
Ein Secure Web Gateway (SWG) ist eine Sicherheitslösung, die aktiv überwacht, filtert und Richtlinien durchsetzt, um zu verhindern, dass unsicherer Internetverkehr das Netzwerk eines Unternehmens erreicht. Unternehmen setzen SWGs ein, um User und Anwendungen vor schädlichen Websites und Malware zu schützen und die Einhaltung gesetzlicher Vorschriften zu unterstützen.

Anwendungsfälle für SWGs
Ein SWG blockiert schädliche Websites und Links, filtert den Webtraffic, setzt Nutzungsrichtlinien durch und schützt User und Webanwendungen vor Bedrohungen. Gemäß der Definition von Gartner muss ein SWG URL-Filterung, Erkennung und Filterung von Schadcode sowie Anwendungskontrollen für gängige webbasierte Anwendungen umfassen.
Laut Gartner bildet SWG eine unverzichtbare Komponente eines SASE- Frameworks (Secure Access Service Edge) . Darauf gehen wir weiter unten in diesem Beitrag ausführlicher ein.
Wie funktioniert ein Secure Web Gateway?
Ein SWG bildet eine Barriere zwischen Unternehmensnetzwerk und Internet, schützt es vor webbasierten Bedrohungen und stellt sicher, dass die User die Webrichtlinien einhalten. Wenn ein User versucht, auf eine Website oder Webinhalte zuzugreifen, geht ein SWG im Regelfall wie folgt vor:
- Es überprüft die URL anhand einer Datenbank, um den Zugriff je nach Sicherheit und Richtlinien zuzulassen oder zu blockieren.
- Es erzwingt Anwendungskontrollen und schränkt bestimmte Aktionen (z. B. Uploads oder Freigaben) entsprechend der Richtlinie ein.
- Es scannt Downloads auf Malware und blockiert Dateien, wenn Bedrohungen erkannt werden.
- Es überprüft verschlüsselten (TLS/SSL) Traffic auf versteckte Bedrohungen und verschlüsselt sichere Daten neu.
- Es erkennt vertrauliche Daten (z. B. Zahlungsangaben) und wendet die Unternehmensrichtlinien an.
- Es protokolliert Useraktivitäten, Bedrohungen und Verstöße zur Analyse und Berichterstattung.
SWG: Funktionen
Um die oben aufgeführten Funktionen zu ermöglichen, bietet eine effektive SWG Möglichkeiten wie:
- URL-Filterung zur Sperrung bzw. Freigabe des Benutzerzugriffs auf Websites gemäß Richtlinien
- Anwendungskontrolle zur Durchsetzung der Richtlinien für die Nutzung webbasierter Anwendungen und Cloud-Dienste
- TLS/SSL-Prüffunktionen zur Erkennung von Bedrohungen, die sich im verschlüsselten Datenverkehr verbergen
- Erweiterter Bedrohungsschutz einschließlich Anti-Malware-, Anti-Virus- und Anti-Phishing-Mechanismen
- Data Loss Prevention(DLP) zur Vermeidung eines Verlusts sensibler Daten
- Bandbreitenkontrollen gegen übermäßigen Bandbreitenverbrauch durch einzelne Websites und Apps
- Remote-Benutzerschutz zum Schutz von Usern außerhalb des Netzwerkperimeters
- Richtlinientools zur Unterstützung der Administratoren bei der Aufstellung und Durchsetzung von Sicherheitsrichtlinien
SWGs: Bedeutung in der Praxis
Das herkömmliche Modell, bei dem lokale User im Büro auf lokale Anwendungen zugreifen, ist längst nicht mehr die Norm. Heutzutage können sich User und ihre Geräte fast überall befinden. Die Anwendungen, auf die sie zugreifen müssen, werden mittlerweile zunehmend in der Cloud gehostet und von herkömmlicher Netzwerksicherheit nicht abgedeckt. Hier bietet ein SWG einige wichtige Vorteile.
Welche Vorteile bietet ein SWG?
Ein guter SWG bietet die folgenden Möglichkeiten:
- den Zugriff auf riskante oder bösartige Websites und webbasierte Apps beschränken oder blockieren
- Echtzeit-Schutz vor Phishing, Ransomware und anderer Malware
- Zwingende Durchsetzung von unternehmens- bzw. branchenspezifischen Richtlinien und aufsichtsrechtlichen Vorschriften
- Unterstützung hybrider Arbeitsmodelle durch schnelle, unkomplizierte und sichere Verbindungen zu webbasierten Ressourcen
Jenseits der gewohnten Infrastruktur
Sie benötigen ein SWG, um den Traffic zu überprüfen, Bedrohungen zu erkennen, Richtlinien anzuwenden und mehr. Wenn Sie sich bei der Sicherung des Traffics ins Internet jedoch auf Ihre bisherige Infrastruktur verlassen, muss dieser zum Scannen und Überprüfen wieder an das Rechenzentrum zurückgeschickt werden. Das verlangsamt nicht nur den Traffic, sondern frustriert auch die User.
Legacy-Lösungen bieten in der Cloud keine ausreichende Sicherheit mehr. Cyberkriminelle entwickeln ständig neue, raffinierte Bedrohungen. Indem Sie den gesamten Datenverkehr aus Sicherheitsgründen zurück in Ihr Rechenzentrum leiten, setzen Sie Ihr Netzwerk dem Risiko von lateralen Bewegungen und Datenverlusten aus.
Aus diesem Grund benötigen Sie ein SWG, das für die Cloud und Zero Trustentwickelt wurde, den gesamten Traffic überprüfen und Zugriff nach dem Prinzip der minimalen Rechtevergabe erzwingen kann, ohne Verbindungen automatisch als vertrauenswürdig einzustufen.
Argumente für den Einsatz von SWGs
Dezentrale Arbeitsmodelle und die schnelle Umstellung auf SaaS unterstreichen den dringenden Bedarf an Cloud-nativen Sicherheitslösungen. Der Grund dafür liegt auf der Hand: In den heutigen dynamischen Cloud-Umgebungen sind hardwarebasierte Ansätze nicht skalierbar. Die Verlagerung von On-Premise-Funktionen wie herkömmlichen VPNs und Firewalls in die Cloud wäre so, als würde man Tausende DVD-Player vernetzen und das Ganze „Netflix“ nennen.
Ein cloudbasiertes Secure Web Gateway (SWG) bietet konsistenten Schutz, unabhängig vom Standort der User. Es wird zwischen Usern, dem Web und SaaS inline eingesetzt, beendet und überprüft jede Verbindung und wendet userzentrierte Sicherheits- und Zugriffsrichtlinien an. Dieser Ansatz minimiert Ihre Angriffsfläche, verhindert Kompromisse, stoppt laterale Bewegungen und stoppt den Verlust vertraulicher Daten.
SWGs im Kontext des SASE-Frameworks
Um Cloud-Ressourcen effektiv zu sichern, sollte das SWG als Komponente einer cloudbasierten SASE-Architektur bereitgestellt werden. SASE kombiniert eine Vielzahl von Netzwerk- und Sicherheitsservices in einer Plattform, darunter SWG, Zero Trust Network Access (ZTNA), Cloud Access Security Broker (CASB), SD-WAN und weitere, und bietet zahlreiche Vorteile:
- SASE reduziert Kosten und Komplexität. Das Framework vereinfacht die Bereitstellung und Verwaltung und unterstützt die digitale Transformation ohne die technischen Schulden von Legacy-Architekturen.
- SASE gewährleistet hervorragende Anwendererfahrungen. Durch die Anwendung von Sicherheitsrichtlinien in User-Nähe wird Backhauling vermieden, die Bandbreite optimiert und eine geringe Latenz sichergestellt.
- SASE senkt das Cyberrisiko. Es prüft und sichert alle Verbindungen in Echtzeit, unabhängig vom User, der Anwendung oder der verwendeten Verschlüsselungsmethode.
SWG von Zscaler
Zscaler wurde zehn Jahre in Folge als Leader im Gartner Magic Quadrant für Secure Web Gateways ausgezeichnet. Im Jahr 2021 definierte Gartner den Security Service Edge (SSE) – die sicherheitsorientierte Unterkategorie von SASE – und zeichnete Zscaler anschließend im Gartner Magic Quadrant für Security Service Edge der Jahre 2022, 2023, 2024 und 2025 als Leader aus.
Empfohlene Ressourcen
Häufig gestellte Fragen
Nein, Firewalls und SWGs sind unterschiedliche Technologien. Firewalls schützen Netzwerke, indem sie Paketinhalte auf bekannte Bedrohungen überprüfen, und agieren auf Netzwerkebene. SWGs agieren auf Anwendungsebene und setzen Richtlinien zur Webnutzung durch, indem sie Verbindungen, Schlüsselwörter oder Aktionen basierend auf unternehmensspezifischen Regeln blockieren oder zulassen.
Obwohl beide den Traffic zwischen Netzwerken und dem Internet prüfen und weiterleiten, gibt es entscheidende Unterschiede zwischen Web-Gateways und Proxys. Ein Proxy konzentriert sich in erster Linie auf die Verwaltung von Verbindungen und das Verbergen interner Netzwerkdetails, während ein Web-Gateway erweiterte Funktionen bereitstellt, wie etwa Durchsetzung von Sicherheitsrichtlinien, Filtern des Webtraffics, Blockieren von Bedrohungen und Überprüfung verschlüsselter Daten.
SWGs und VPNs stärken beide die Sicherheit des Traffics, dienen jedoch unterschiedlichen Zwecken. SWGs schützen User, indem sie den Webtraffic filtern, Bedrohungen blockieren und Webrichtlinien auf Anwendungsebene durchsetzen. VPNs erstellen verschlüsselte Tunnel für private Verbindungen über öffentliche Netzwerke, ermöglichen Remotezugriff und umgehen geografische oder Netzwerkbeschränkungen.
Der Begriff „Cloud Security Gateway“ wird manchmal allgemein verwendet und bezeichnet eine Reihe von Tools zum Schutz von Usern, Daten und Anwendungen in Cloud-Umgebungen. Dabei werden häufig CASB, SWG und DLP kombiniert. Im Gegensatz dazu ist ein Cloud-SWG auf Webtraffic, Blockieren von Bedrohungen, Durchsetzen von Richtlinien und Überprüfung verschlüsselter Daten spezialisiert, um User und Ressourcen zu schützen.