Ressourcen > Sicherheit – Glossar > Was ist ein Software Defined Perimeter?

Was ist ein Software Defined Perimeter (SDP)?

Was ist ein Software Defined Perimeter (SDP)?

Obwohl sich Zero Trust in den letzten Jahren zu einem bekannten Sicherheits-Framework entwickelt hat, ist vielen nicht bewusst, dass das Modell auf denselben Prinzipien beruht wie Software Defined Perimeter (SDP)-Technologie. Das SDP-Konzept wurde erstmals von der Defense Information Systems Agency (DISA) im Rahmen des „Global Information Grid“-Projekts im Jahr 2007 entwickelt. Die Cloud Security Alliance (CSA) interessierte sich dafür und begann mit der Entwicklung des SDP-Frameworks in seiner frühen Ausformung. Im Jahr 2011, als das SDP-Konzept noch in den Kinderschuhen steckte, wurde Google mit der Entwicklung einer eigenen SDP-Lösung namens GoogleBeyond Corp. zu einem frühen Anwender.

SDP ist eine Sicherheitsstrategie für die Cloud und die mobile Welt. Während bei klassischen Modellen die Sicherheit im Rechenzentrum gebündelt wird, ist SDP allgegenwärtig, denn die Lösung wird über die Cloud bereitgestellt und bestimmt anhand von Unternehmensrichtlinien, wer auf welche Ressourcen zugreifen darf. Die SDP-Lösung erlaubt den Zugriff auf interne Anwendungen auf Grundlage der Identität eines Users. Das dabei angewendete Vertrauen wird kontextabhängig angepasst. SDP-Lösungen sind zu 100 % softwaredefiniert und beruhen auf einem sogenannten „Need-to-Know“-Modell. Hierbei wird auf Vertrauen zurückgegriffen, das ständig überwacht und basierend auf einer Reihe von Kriterien angepasst wird. Dank SDP ist die Anwendungsinfrastruktur für das Internet unsichtbar, sodass damit netzwerkbasierte Angriffe (per DDoS, Ransomware, Malware, Server-Scans usw.) vermieden werden und das Risiko für das Unternehmen sinkt.

Die Akzeptanz der SDP-Technologie hat zugenommen, da Organisationen versuchen, ihre Anwendungssicherheit mit dem Zero-Trust-Ansatz zu modernisieren.

Die Anzahl der Perimeter wird in der Tat steigen, gleichzeitig werden sie granularer und rücken räumlich näher an die von ihnen geschützten logischen Entitäten heran – die Identitäten von Usern, Geräten, Anwendungen, Daten und Workloads.
Gartner, „Zero Trust Is an Initial Step on the Roadmap to CARTA“, Dezember 2018

Wie funktioniert SDP?

Anstatt sich auf die herkömmliche, netzwerkbasierte Sicherheit zu konzentrieren, verfolgt SDP einen anderen Ansatz. Im Fokus steht hier nicht die Absicherung des Netzwerks, sondern des Users, der Anwendung und der dazwischen liegenden Verbindungen. Vier Kernprinzipien sind SDP-Technologien zu eigen:

  1. Vertrauen ist nie vorbehaltlos – Bei traditioneller Netzwerksicherheit wird den Usern übermäßiges Vertrauen entgegengebracht, doch Vertrauen muss man sich verdienen. SDP-Lösungen gewähren nur authentifzierten und speziell für die Verwendung einer Applikation autorisierten Usern Zugriff auf diese Anwendung, und selbst diese erhalten keinen Zugang zum Netzwerk.
     
  2. Keine eingehenden Verbindungen – Im Gegensatz zu einem Virtual Private Network (VPN), das auf eingehende Verbindungen wartet, nehmen SDP-Lösungen keine eingehenden Verbindungen an. Da ausschließlich mit ausgehenden Verbindungen geantwortet wird, bleiben sowohl die Netzwerk- als auch die Anwendungsinfrastruktur für das Internet unsichtbar oder getarnt, sodass sie nicht angegriffen werden können.
     
  3. Anwendungs-, aber keine Netzwerksegmentierung – Früher mussten Organisationen eine komplexe Netzwerksegmentierung vornehmen, um die laterale Bewegung eines Users (oder einer infizierten Einheit) im Netzwerk zu begrenzen. Dieser Ansatz funktionierte zwar einigermaßen gut, war aber nie granular und erforderte ständige Wartung. SDP verfügt dagegen über eine systemeigene Anwendungssegmentierung, die den Zugriff individuell kontrollieren kann. Das Ergebnis ist eine weitaus granularere Segmentierung, die der IT-Abteilung das Leben erheblich leichter macht.
     
  4. Sichere Nutzung des Internets – Da User überall aktiv sind und Anwendungen die Rechenzentren verlassen, müssen sich Organisationen von ihrem netzwerkzentrierten Fokus verabschieden. Die Sicherheit muss sich vielmehr dorthin verlagern, wo sich die User befinden. Das bedeutet, dass das Internet als neues Unternehmensnetzwerk eingesetzt wird. Beim SDP-Modell liegt der Schwerpunkt nicht auf der Absicherung des Zugangs der User zum Netzwerk, sondern auf dem Schutz von Verbindungen zwischen Usern und Anwendungen über das Internet.

Aus architektonischer Sicht unterscheidet sich SDP grundlegend von netzwerkzentrierten Lösungen. SDP-Lösungen sind zu 100 % softwaredefiniert, sodass den Unternehmen kein Aufwand für die Bereitstellung und die Verwaltung von Appliances entsteht. Die Einführung von SDP führt außerdem zur Vereinfachung des Inbound-Stacks, da Unternehmen kein VPN, keinen DDoS-Schutz, keine globale Lastverteilung und keine Firewall-Appliances mehr benötigen. Das ursprüngliche SDP-Architekturdiagramm (unten) wurde von der Cloud Security Alliance (CSA) erstellt. Doch mit der Weiterentwicklung von SDP hat Gartner einen Marktleitfaden für die Technologie entwickelt, diese als Zero Trust Network Access (ZTNA) definiert und die beiden wichtigsten ZTNA-Architekturmodelle im Gartner ZTNA-Marktleitfaden umrissen.

 

what is software defined perimeter

Es gibt unzählige Anwendungsfälle für SDP, doch die meisten Organisationen beginnen mit einem der folgenden vier Bereiche:

VPN-Alternative
Die Mehrheit der Organisationen strebt eine Reduzierung des Einsatzes oder gleich die Abschaffung von VPN an. Da VPNs für die User notorisch langsam sind, Sicherheitsrisiken schaffen und sich schwer verwalten lassen, prognostiziert Gartner, dass „bis 2023 60 % der Unternehmen die meisten ihrer Remote-Access-VPNs zugunsten von ZTNA [SDPs] auslaufen lassen werden“.

Sicherer Multicloud-Zugang
Unter Multicloud versteht man, wie der Name schon sagt, die Verwendung mehrerer Cloud-Computing-Dienste in einer einzigen Umgebung. Viele Organisationen nutzen Workday und Office 365 sowie Infrastrukturdienste von AWS und Azure. Unter Umständen verwenden sie auch eine Cloud-Plattform für die Entwicklung, die Cloud-Speicherung und mehr. Die Absicherung dieser Umgebungen ist daher bei Organisationen ein beliebter Einstieg in SDP/ZTNA, weil SDP nicht an eine bestimmte Cloud oder ein bestimmtes Netzwerk gebunden ist, sondern jede Verbindung anhand von Richtlinien absichert – unabhängig davon, wo sich User verbinden oder Anwendungen gehostet werden.

Geringeres Drittpartei-Risiko
Die meisten Drittpartei-User erhalten zu umfangreiche Zugriffsrechte, was im Unternehmen zu Sicherheitslücken führt. SDPs reduzieren das Risiko durch Dritte erheblich, indem sie sicherstellen, dass externe User niemals Zugang zum Netzwerk erhalten und nur autorisierte Nutzer auf Anwendungen zugreifen können, für die sie über eine Berechtigung verfügen. Haben User hingegen keine Berechtigung für Anwendungen, können sie diese nicht einmal sehen.

Beschleunigte M&A-Integration
Bei klassischen Fusionen und Übernahmen (Mergers and Acquisitions – M&A) kann sich die Integration über mehrere Jahre erstrecken, da Organisationen ihre Netzwerke zusammenführen und mit überlappenden IPs arbeiten müssen, wobei es sich um äußerst komplizierte Abläufe handelt. SDP vereinfacht den Vorgang und verkürzt die Zeit für erfolgreiche M&As. Außerdem bietet die Lösung Unternehmen einen unmittelbaren Mehrwert.

Weitere Informationen zur SDP-/ZTNA-Technologie bietet der führende ZTNA-Service, ZPA. Es ist sogar möglich, ZPA sieben Tage kostenlos zu testen!

Cybersecurity Insiders – Zero Trust Adoption Report 2019

Report lesen

Leitfaden für Netzwerkarchitekten zu ZTNA

Guide lesen

Warum IT-Verantwortliche eine Zero Trust Network Access (ZTNA)-Strategie in Betracht ziehen sollten

Whitepaper lesen

SDP contra VPN

Blog lesen