Ressourcen > Sicherheit – Glossar > Was ist Workload-Schutz

Was ist Workload-Schutz?

Was ist Workload-Schutz?

Im Bereich der Cybersicherheit sind Konzepte wie der Schutz vor Cyberbedrohungen oder der Datenschutz längst nichts Neues mehr. Der Zweck dieser Schutzmaßnahmen ist dabei stets die Abwehr schädlicher Eindringlinge und zugleich die Verhinderung des Verlustes sensibler Daten durch Datenlecks – sei es über eine Cloud-Sicherheitsplattform oder durch Appliances in Rechenzentren oder regionalen Gateways. Im Gegensatz dazu zielt der Workload-Schutz darauf ab, die Kommunikation zwischen Anwendungen abzusichern, etwa zwischen einer cloudbasierten ERP-Software und einer Datenbank in einer anderen Cloud oder zwischen einer branchenspezifischen Anwendung und Finanzsoftware bzw. Tools für die Zusammenarbeit. Auch der Datenaustausch zwischen einer Datenverwaltungsanwendung und einem CAD-Programm ist eines von zahllosen möglichen Beispielen.

Cloud-Applikationen sind heute unerlässlich für jedwede Betriebsabläufe und der Zugriff darauf ist die Voraussetzung für produktives Arbeiten. Der schnelle Wandel weg von On-Premise-Ansätzen hin zu Cloud-Native-Lösungen führt dazu, dass der Schutz von Cloud-Workloads mittlerweile eine der obersten Prioritäten der IT-Sicherheit ist.

Besonders die großen Cloud-Serviceanbieter bieten integrierte Sicherheit und werben häufig explizit mit ihrer sicheren Infrastruktur. Doch wenngleich die Sicherheit für die Cloud in die Zuständigkeit des Cloud-Anbieters fällt, trägt der Kunde die Verantwortung für die Inhalte und die Kommunikation in der Cloud wie Anwendungen, Workloads und Daten: Hier greift das Prinzip der geteilten Verantwortung.

Warum herkömmliche Kontrollen nicht für Cloud-Applikationen geeignet sind

Auf Legacy-Netzwerken basierende Technologien lassen sich nicht problemlos auf Cloud-Umgebungen übertragen, da diese elastisch und nur lose an die Infrastruktur gebunden sind und über keinen statischen Perimeter verfügen, an dem Sicherheitskontrollen stattfinden könnten. Hinzu kommt, dass in den meisten Unternehmen einzelne Anwendungen bei unterschiedlichen Cloud-Anbietern bzw. über mehrere Rechenzentren verteilt gehostet werden, was es nahezu unmöglich macht, Workloads durchgängig im Blick zu behalten. Für Unternehmen ist es daher unabdingbar, Anwendungen und Services zum Kernpunkt ihrer eigenen Sicherheitsinitiativen zu machen. 

Es ist wichtig, die Zugriffskontrollen von den Netzwerkpfaden zu lösen, die die Anwendungen nutzen, und sie direkt mit der Identität der kommunizierenden Anwendungen und Services zu verknüpfen. Eine Software allein nach ihrer Adresse und ihrem Netzwerkpfad zu definieren, reicht nicht mehr aus. Grund dafür ist die insbesondere in Cloud-Umgebungen herrschende Änderungsanfälligkeit adressbasierter Kontrollen, denen Sicherheitsteams nur mit immer zahlreicheren Regeln entgegenwirken können.

Die der Cloud inhärente Kurzlebigkeit stellt die IT-Sicherheit vor zahlreiche Herausforderungen. Legacy-Sicherheitstechnologien fußen auf einem Vertrauensmodell, das der heutigen Bedrohungslandschaft nicht mehr gerecht wird. Perimeter bestehen unverändert, die Verschlüsselung erschwert die Kontrolle des Datenverkehrs und die Klassifizierung verteilter Daten ist ressourcenintensiv – und jeder einzelne dieser Punkte ist ein Einfallstor für Angreifer in der Cloud.

Eine Endpoint Protection Platform (EPP), also eine Lösung zum Schutz einzelner Endgeräte (PCs, Laptops usw.), ist für Server-Workloads nicht zweckmäßig und setzt Unternehmensdaten und -anwendungen einem Risiko aus.

Gartner, Market Guide for Cloud Workload Protection Platforms

Schutz auf Anwendungsebene bietet mehrere Vorteile

Finden Sicherheitskontrollen nicht mehr bei den einzelnen Geräten oder Nutzern, sondern bei den einzelnen Anwendungen statt, können mit Workload-Schutz mehrere Fragen beantwortet werden: Welche Anwendungen kommunizieren miteinander? Welche Kommunikation sollte stattfinden? Sind die richtigen Systeme miteinander verbunden, ohne dass sich schädlicher Traffic ausbreiten kann? 

Sind diese Fragen geklärt, wird die ausschließliche Kommunikation zwischen verifizierten Workloads in öffentlichen, privaten oder Hybrid-Cloud-Umgebungen möglich. Dadurch werden Risiken minimiert und der umfassendste Schutz vor Datenpannen bereitgestellt.

 

Reduzierte Komplexität

Es ist mühsam, Ressourcen- und Richtlinieninventar zu erfassen, und jede Änderung einer Cloud-Instanz wirkt sich auf bestehende Abhängigkeiten aus, was Probleme hinsichtlich Verwaltung und Verfügbarkeit nach sich zieht. Darüber hinaus ist die Zuordnung von Datenflüssen in einer Cloud komplex, da Services ihren Standort ändern können, wodurch sich die Anzahl der zu überwachenden und verwaltenden Datenpunkte erhöht. 

Im Gegensatz dazu vereinfacht der Workload-Schutz die Erfassung und den Schutz und antizipiert die Auswirkungen von Veränderungen. Dabei stehen die Anwendungen im Fokus, nicht die Umgebung, in der sie kommunizieren. 

 

Zuverlässiger Schutz unabhängig vom Standort

Herkömmliche Sicherheitstools, die IP-Adressen, Ports und Protokolle als Steuerungsebene verwenden, sind nicht auf Cloud-Umgebungen ausgelegt. Durch die der Cloud eigenen Dynamik sind diese statischen Sicherheitskontrollen unzureichend, weil sich die zugrunde liegende Infrastruktur jederzeit ändern kann – in manchen Fällen mehrmals am Tag. Um den typischen Herausforderungen adressbasierter Kontrollen zu begegnen, erstellt der Workload-Schutz kryptographisch Fingerabdrücke von Software. Diese basieren auf unveränderlichen Eigenschaften, die Angreifer nicht ausnutzen können. 

Die identitätsorientierten Zero-Trust-Richtlinien von Zscaler bieten konsistenten Workload-Schutz und erfordern keine aufwändige Umgestaltung der Architektur. Darüber hinaus können mit nur einem Klick empfohlene Richtlinien für die Anwendungssegmentierung angewandt werden. Cloud-basierte Workloads werden zudem allesamt einheitlich und unabhängig vom Netzwerkstandort geschützt.

 

Kontinuierliche Risikobewertung

Die meisten Sicherheitsexperten wissen, dass ihre Unternehmensnetzwerke angreifbar sind, können aber häufig das Ausmaß des Risikos, das diese Netzwerke für das Unternehmen darstellen, nicht genau abschätzen – insbesondere dann, wenn es um Gefährdungen im Zusammenhang mit Anwendungen geht. Zscaler misst die sichtbare Angriffsfläche im Netzwerk automatisch, verschafft dem Unternehmen so einen exakten Überblick darüber, wie viele potenzielle Kommunikationspfade zwischen Anwendungen genutzt werden, und macht das Risiko auf Basis der Kritikalität der kommunizierenden Software quantifizierbar. Darüber hinaus wird anhand von maschinellem Lernen eine Empfehlung für die geringste Anzahl von Zero-Trust-Richtlinien erstellt, was die Wahrscheinlichkeit einer Datenpanne erheblich reduziert und gleichzeitig einen geringen Verwaltungsaufwand mit sich bringt.

In allen Fällen sollte die Lösung die wachsende Nachfrage nach identitätsbasierter Mikrosegmentierung unterstützen, sprich die präzisere, softwaredefinierte Segmentierung, die auch als Zero-Trust-Netzwerksegmentierung bezeichnet wird.

Gartner, Market Guide for Cloud Workload Protection Platforms

Mit der Topologie-Visualisierung von Zscaler Workload Segmentation lassen sich ständig veränderliche Umgebungen genauestens aufzeigen und potenzielle Angriffspfade beseitigen, die eine Gefahr für Kundendaten darstellen.

John Arsneault, CIO Goulston & Storrs

Die Rolle der Segmentierung beim Schutz von Cloud-Workloads

Die Workload-Segmentierung ist eine der zentralen Strategien zum Schutz von Workloads, da sie den in flachen Netzwerken herrschenden übermäßigen Zugriff verhindert. In solchen Netzwerken bewegen sich Angreifer ungehindert lateral durch Umgebungen in Clouds und Rechenzentren, wodurch die Sicherheit von Workloads gefährdet ist. Dadurch, dass Anwendungen segmentiert und damit isoliert werden und unnötige Angriffspfade verschwinden, beschränken sich eventuelle Kompromittierungen auf das betroffene Asset, was das Schadenspotenzial erheblich verringert.

Durch die Segmentierung von Anwendungen und Workloads – auch als Mikrosegmentierung bezeichnet – können intelligente Workload-Gruppen erstellt werden, die sich aus den Merkmalen der miteinander kommunizierenden Workloads ergeben. So ist die Mikrosegmentierung unabhängig von den dynamischen Veränderungen bzw. den betriebswirtschaftlichen und technischen Anforderungen, denen Netzwerke unterliegen, und empfiehlt sich daher als robustere und zuverlässigere Alternative zu herkömmlichen Sicherheitslösungen.

Zscaler Workload Segmentation (ZWS) ist eine neue und wesentliche einfachere Methode zur Segmentierung von Anwendungs-Workloads mit einem einzigen Klick. ZWS wendet identitätsbasierten Schutz auf Workloads an, ohne dass Änderungen am Netzwerk erforderlich sind. Zscaler Workload Segmentation bietet:

  • Schutz vor lateralen Bewegungen von Malware und Ransomware über Server, Cloud-Workloads und Desktops – Zero-Trust-Sicherheit stoppt Bedrohungen
  • Automatische Erstellung und Verwaltung von Richtlinien mithilfe maschineller Lernalgorithmen – so einfach war Mikrosegmentierung noch nie
  • Einheitliche Einblicke in kommunizierende Anwendungen – On-Premise und in öffentlichen Clouds

Zscaler Workload Segmentation

Weitere Informationen
Zscaler Workload Segmentation

One-Click Zero Trust

Datenblatt lesen
One-Click Zero Trust

Goulston & Storrs stärkt Maßnahmen zum Schutz von Kundendaten mit Zscaler Workload Segmentation

Fallstudie lesen
Goulston & Storrs stärkt Maßnahmen zum Schutz von Kundendaten mit Zscaler Workload Segmentation