Worin unterscheiden sich SDP und VPN?

Was ist ein Software Defined Perimeter (SDP)?

Der Software Defined Perimeter (SDP) ist ein Sicherheitskonzept, bei dem User erst nach erfolgter Identitätsprüfung Zugriff auf interne Anwendungen erhalten und Zugriffsberechtigungen anhand von Kontextdaten laufend neu bewertet werden. Während herkömmliche Sicherheitsverfahren im Rechenzentrum angesiedelt sind, wird SDP standortunabhängig in der Cloud bereitgestellt. Da die Authentifizierung der User anhand unternehmensspezifischer Richtlinien erfolgt, ist der SDP damit eine unverzichtbare Komponente in der Sicherheitsarchitektur cloud- und mobilgeräteorientierter Unternehmen.

Der SDP wurde erstmals 2007 von der Defense Information Systems Agency (DISA) konzipiert und basiert auf einem „Need-to-know“-Modell, bei dem die Vertrauensgrundlage laufend überprüft und anhand diverser Kriterien angepasst wird. Die Anwendungsinfrastruktur ist dabei für das Internet unsichtbar, was wiederum die Angriffsfläche für netzwerkbasierte Attacken (DDoS, Ransomware, Malware, Server-Scans usw.) verringert.

Die Cloud Security Alliance (CSA) interessierte sich für das Konzept und begann mit der anfänglichen Entwicklung des SDP-Frameworks. Im Jahr 2011, als SDP noch ein neues Konzept war, gehörte Google mit der Entwicklung seiner eigenen SDP-Lösung, Google BeyondCorp, zu den ersten Anwendern. Heute modernisieren Unternehmen, die SDP einsetzen, ihre Endgeräte-, Cloud- und Anwendungssicherheit – vor allem im Zuge der Einführung standortunabhängiger Arbeitsmodelle.

Wie funktioniert SDP?

1. Kein Vertrauensvorschuss: Herkömmliche Netzwerksicherheit bringt den Usern übermäßig viel Vertrauen entgegen. Bei einem SDP muss dieses Vertrauen dagegen erst verdient werden. Denn hier haben nur diejenigen User Zugriff auf Anwendungen, die zuvor authentifiziert und ausdrücklich zu ihrer Nutzung berechtigt worden sind. Darüber hinaus erhalten autorisierte User nur Zugriff auf die jeweilige Anwendung, nicht aber auf das Netzwerk.
2. Keine eingehenden Verbindungen: Im Gegensatz zu einem virtuellen privaten Netzwerk (VPN), das eingehende Verbindungen empfängt, lassen SDP-Lösungen solche Verbindungen nicht zu. Da ausschließlich ausgehende Verbindungen zum Einsatz kommen, bleiben sowohl die Netzwerk- als auch die Anwendungsinfrastruktur für das Internet unsichtbar oder getarnt, sodass sie nicht angreifbar sind.
3. Anwendungs- statt Netzwerksegmentierung: Bislang war eine komplexe Netzwerksegmentierung erforderlich, damit sich User (und Infektionen) nicht lateral im Netzwerk verbreiten können. Dieser Ansatz funktionierte zwar einigermaßen, war aber nie granular und musste permanent überprüft werden. Ein SDP bietet dagegen eine native Anwendungssegmentierung, die den Zugriff auf Einzelfallbasis regelt. Das Ergebnis ist eine weitaus genauere Segmentierung, die der IT-Abteilung die Arbeit erheblich erleichtert.
4. Sichere Internetnutzung: Da sich die User überall befinden und sich Anwendungen somit auch außerhalb des Rechenzentrums bewegen, wäre eine reine Netzwerkorientierung der falsche Weg. Die Sicherheit muss vielmehr zu den Usern verlagert werden. Das bedeutet, dass das Internet praktisch wie ein Unternehmensnetzwerk behandelt wird. Beim SDP-Modell liegt der Schwerpunkt nicht auf der Absicherung des Userzugangs zum Netzwerk, sondern auf dem Schutz von Verbindungen zwischen Usern und Anwendungen über dieses Netzwerk.

Aus architektonischer Sicht unterscheidet sich ein SDP grundlegend von netzwerkzentrierten Lösungen. Durch die Implementierung eines SDP entfällt der Aufwand für die Bereitstellung und die Verwaltung von Appliances. Die Einführung einer SDP-Architektur führt auch zur Vereinfachung des Inbound-Stacks, da VPNs, DDoS-Schutz, globaler Lastenausgleich und Firewall-Appliances nicht länger erforderlich sind.

Anwendungsfälle von SDPs

Ein SDP kann in vielen Bereichen eingesetzt werden, doch die folgenden Anwendungsfälle eignen sich besonders als Ausgangspunkt:

Sicherer Multicloud-Zugriff

Viele Unternehmen nutzen ein Multicloud-Modell, etwa mit einer Kombination aus Workday, Microsoft 365 und Infrastrukturdiensten von AWS und Azure. Auch eine Cloud-Plattform für Entwicklung, Cloud-Speicherung usw. kommt infrage. Dass diese Umgebungen ebenfalls gesichert werden müssen, ist ein gutes Argument für SDP, da die Verbindungen hier richtlinienbasiert geschützt werden können. Und zwar unabhängig davon, von wo aus die Verbindung hergestellt und wo genau die jeweilige Anwendung gehostet wird.

Geringere Risiken durch externe User

Die meisten externen User erhalten zu umfangreiche Zugriffsrechte, was zu Sicherheitslücken im gesamten Unternehmen führt. SDPs reduzieren das so entstehende Risiko erheblich, da diese externen Nutzer niemals Zugang zum Netzwerk erhalten und nur autorisierte Nutzer auf Anwendungen zugreifen können, die sie auch nutzen dürfen.

Schnellere Integration bei Fusionen und Übernahmen

Bei herkömmlichen Fusionen und Übernahmen kann sich die IT-Integration über Jahre hinziehen, da Unternehmen ihre Netzwerke zusammenführen und sich mit überlappenden IP-Adressen auseinandersetzen müssen – ein unglaublich komplexer Prozess. Ein SDP vereinfacht diesen Vorgang deutlich, beschleunigt die Wertschöpfung und bietet einen unmittelbaren Nutzen für das Unternehmen.

VPN-Ersatz

Unternehmen würden gerne auf VPNs verzichten, da sie die User Experience beeinträchtigen, Sicherheitsrisiken mit sich bringen und kompliziert in der Verwaltung sind. SDPs bieten hier eine gute Alternative, da sie sich besser für den Fernzugriff eignen.

So heißt es bei Cybersecurity Insiders, dass 41 % der Unternehmen ihre Zugangsinfrastruktur prüfen und SDP in Betracht ziehen möchten. Dabei benötigen die meisten von ihnen eine hybride IT-Bereitstellung; gut ein Viertel implementiert bereits SaaS.

Nach der Erläuterung des Aufbaus und der Anwendungsfälle von SDP legen wir den Fokus auf virtuelle private Netzwerk (VPN).

Was sind virtuelle private Netzwerke (VPN)?

Ein virtuelles privates Netzwerk (VPN) ist so etwas wie ein verschlüsselter Tunnel, der es einem Client ermöglicht, eine Internetverbindung zu einem Server herzustellen, ohne direkt mit dem Internet in Berührung zu kommen. Dabei wird die IP-Adresse des Users verschleiert, was den Schutz der Privatsphäre in Internet und Netzwerkressourcen erhöht – selbst in öffentlichen WLAN-Netzwerken, bei mobilen Hotspots und allgemein zugänglichen Browsern wie Chrome oder Firefox.

Vor der VPN-Urversion, die als Point-to-Point-Tunneling-Protokoll (PPTP) bezeichnet wurde, war für den sicheren Datenaustausch zwischen zwei Computern eine festverdrahtete Verbindung erforderlich, was sich im großen Maßstab allerdings als eher unpraktisch erwies.

Mit dem Aufkommen von Verschlüsselungsstandards und individuellen Hardwareanforderungen für diese sicheren drahtlosen „Tunnel“ entwickelte sich PPTP schließlich zu dem bis heute gängigen VPN-Server. Da dieser ohne Kabel auskam, konnten sich Unternehmen, die eine sichere drahtlose Datenübertragung brauchten, viel Aufwand und Kosten sparen. Auf dieser Grundlage bauten dann Anbieter wie Cisco, Intel und Microsoft eigene physische und Software-/cloudbasierte VPN-Dienste auf.

Wie funktioniert VPN?

Ein VPN nutzt gewöhnliche Verbindungen zwischen User und Internet, um einen virtuellen, verschlüsselten Tunnel zu einer Appliance im Rechenzentrum herzustellen. Dieser schützt die Daten auf dem Übertragungsweg, damit Hacker mit Webcrawlern und Malware keine User- und Unternehmensdaten abgreifen können. Einer der gängigsten Verschlüsselungsalgorithmen ist dabei der Advanced Encryption Standard (AES) − eine symmetrische Blockverschlüsselung (Einzelschlüssel) zum Schutz der Datenübertragung.

Meistens können zudem nur authentifizierte User Daten durch den VPN-Tunnel senden. Je nach VPN-Typ und Anbieter müssen sie sich ggf. erneut authentifizieren, um ihre Daten durch den Tunnel zu schicken und vor Hackern zu schützen.

So nutzen Unternehmen VPN

Unternehmen nutzen VPNs zum Schutz von Remote-Usern, die an Mobilgeräten oder anderen unsicheren Endpunkten arbeiten. Einige Firmen stellen ihren Mitarbeitern auch Laptops für das Homeoffice zur Verfügung. Das ist wegen der Corona-Pandemie mittlerweile gängige Praxis.

Um diesen Remote-Usern über ungeschützte Netzwerke (Zuhause, im Café oder im Hotel) sicheren Zugriff auf Unternehmensressourcen zu ermöglichen, setzen Unternehmen auf VPN. Die meisten Internetprovider befolgen solide Sicherheitsprotokolle, um nicht sensible Daten in Heimnetzwerken zu schützen. Bei vertraulichen Daten ist die häusliche WLAN-Sicherheit für sich genommen aber nicht stark genug. Genau aus diesem Grund ergänzen viele Unternehmen VPN-Protokolle.

Mit einem VPN kann der gewöhnliche Datenverkehr zwischen Router und Rechenzentrum unterbrochen und durch einen verschlüsselten Tunnel geschickt werden. Dieser schützt die Daten und den Internetzugang bei Remote-Arbeit, wodurch die Angriffsfläche des Unternehmens verkleinert (aber nicht komplett eliminiert) wird.

Worin unterscheiden sich SDP und VPN?

Der Hauptunterschied zwischen SDP und VPN ist die Verbindungsmethode. VPNs sind IP- und netzwerkzentriert und verbinden Usergeräte mit Netzwerken; SDP hingegen stellt sichere Verbindungen zwischen autorisierten Usern und autorisierten Anwendungen, nicht aber dem Netzwerk, bereit.

Mit SDP-Lösungen werden ausgehende Verbindungen zwischen User und Anwendung hergestellt und keine eingehenden Verbindungen zwischen Gerät und Netzwerk empfangen. Diese Verbindungen von innen nach außen gewährleisten, dass IPs für das Internet unsichtbar sind und Anwendungen vom Netzwerk abgekoppelt werden. Da die User nicht auf das Netzwerk zugreifen können, verringert sich zudem die Angriffsfläche. Gleichzeitig genießen sie schnellen, direkten Zugang zu den Anwendungen ohne netzwerkbedingte Latenzen – eine Usererfahrung, die der bei VPN weit überlegen ist.

Unternehmen wollen den VPN-Einsatz reduzieren oder ganz einstellen. Gründe dafür sind die unzureichende Usererfahrung, Sicherheitsrisiken und die schwierige Verwaltung. SDPs beheben diese bekannten VPN-Mängel mit einem verbesserten Fernzugriff.

SDP und Zero Trust Network Access (ZTNA)

 ZTNA ist als Sicherheitskonzept mittlerweile etabliert. Doch viele wissen nicht, dass es auf denselben Prinzipien wie SDP basiert. Denn bei ZTNA kommen zahlreiche Grundsätze und Funktionen von SDP zum Einsatz. Beide Verfahren kommen ohne internes Netzwerk aus und die User dürfen nur dann auf Ressourcen zugreifen, wenn der Kontext der jeweiligen Anfrage (User, Gerät, Identität usw.) stimmt.

Viele Anbieter versprechen ein ZTNA-Framework, das Netzwerk, Daten und Cloud-Ressourcen von Unternehmen schützt. Oftmals handelt es sich dabei allerdings lediglich um eine Cloud-Sicherheitsplattform, die zwangsweise auf ältere Appliances aufgesetzt wird oder als isoliertes Sicherheitsmodul von Netzwerkanbietern entwickelt wurde, die auf dem Markt Fuß fassen wollen.

Diese Plattformen liefern weder die Skalierbarkeit, noch die Flexibilität und vor allem nicht die Sicherheit, die eine cloudbasierte und speziell für die Cloud konzipierte Plattform bieten kann.

Zscaler, SDP und ZTNA

Die Zscaler Zero Trust Exchange™ enthält Zscaler Private Access™ (ZPA) — die branchenweit einzige ZTNA-Plattform der nächsten Generation, die auf SDP-Grundsätzen basiert. Durch das Prinzip der minimalen Rechtevergabe schützt ZPA Verbindungen zu privaten Anwendungen, gewährleistet Sicherheit für hybride Belegschaften und ermöglicht so sichere direkte Konnektivität zu privaten Anwendungen On-Premise und in der Cloud. Zudem werden unbefugte Zugriffe und laterale Bewegungen verhindert.

Mit Zscaler Private Access erzielt Ihr Unternehmen die folgenden Vorteile:

• Gesteigerte Produktivität für hybride Belegschaften mit schnellem, nahtlosem Zugriff auf private Anwendungen – egal, ob im Homeoffice oder im Büro
• Geringeres Risiko eines Sicherheitsverstoßes, da Anwendungen für Angreifer unsichtbar sind und Zugriff mit minimaler Rechtevergabe durchgesetzt wird, wodurch die Angriffsfläche stark reduziert und laterale Bewegung verhindert wird
• Abwehr komplexer Angriffe durch erstklassigen Schutz für private Anwendungen, der das Risiko durch kompromittierte User und aktive Angreifer minimiert
• Zero-Trust-Sicherheit für Anwendungen, Workloads und IoT dank der weltweit umfassendsten ZTNA-Plattform, die Zugriff auf private Anwendungen, Workloads, IIoT-Geräte und Betriebstechnologie nach dem Prinzip der minimalen Rechtevergabe bietet

Geringere betriebliche Komplexität durch eine Cloud-native Plattform, die Legacy-VPNs, die in einer Cloud-first-Welt schwierig zu skalieren, zu verwalten und zu konfigurieren sind, überflüssig macht