Barracuda full logo

SASE-Endpunktschutz und sicherer Fernzugriff

Themen:
27. Apr.. 2023
|
Stefan Schachinger

In unseren vorherigen detaillierten Blog-Beiträgen zum Thema Secure Access Service Edge (SASE) haben wir Aspekte der Konnektivität wie SD-WAN und Sicherheitsfunktionen von Firewall-as-a-Service (FWaaS) und Secure Web Gateway (SWG) behandelt. In diesem Beitrag werden wir den Schutz von Endgeräten in einer SASE-Umgebung untersuchen.

Zur Erinnerung: Das SASE-Konzept vereinheitlicht Netzwerkkomponenten (WAN Edge) und Sicherheitskomponenten (Security Service Edge). Dieser Artikel behandelt Fernzugriff, Zero Trust Network Access (ZTNA) und Secure Internet Access (SIA). Diese sind tief in eine SASE-Bereitstellung integriert und beinhalten in der Regel eine Endpunkt-Softwarekomponente.

Hier ist ein vereinfachter Überblick über die SASE-Netzwerk- und Sicherheitskomponenten:

SASE

WAN Edge

Security Service Edge

SD-WAN

FWaaS

Forward error correction (FEC)

ZTNA

Routing

VPN

Adaptives Routing

CASB

Traffic Failover

SWG

SIA

Sie haben vielleicht bemerkt, dass die meisten der in einer SASE-Plattform enthaltenen Security-Funktionen früher als separate Produkte bereitgestellt wurden. Dies ist nur eine natürliche Folge der sich ändernden Anforderungen und Anwendungsfälle in den letzten Jahren. Eine Burg-und-Graben-Architektur mit einem Hauptbüro (Hauptsitz) und Rechenzentrum in der Mitte reicht nicht mehr aus. Der Perimeter ist verschwunden oder wird über Software definiert. Aber eine Sache ist viel einfacher geworden: Wo es früher viele verschiedene Netzwerkprotokolle wie FTP und SSH gab, ist heute fast der gesamte Endbenutzer-Traffic webbasiert. Ganz gleich, ob der Traffic zu öffentlich zugänglichen Diensten wie Microsoft 365 oder zu privaten internen Ressourcen wie einem Intranet geht, das verwendete Protokoll ist fast immer HTTPS.

Dieser Wandel in unserer Arbeitsweise hat eine Schwachstelle aufgedeckt, die erst durch die pandemiebedingten Lockdowns ans Tageslicht trat. Es fehlte an ausreichendem Schutz an den Endpunkten, und es gab uneingeschränktes Vertrauen und Zugriff auf geschäftliche Ressourcen im Unternehmensnetzwerk-VPN. Diese beiden Faktoren können in Kombination mit einer fehlenden Multifaktor-Authentifizierung (MFA) und schlechter Passwortsicherheit fatal sein. Bedrohungsakteure können leicht technische Schwachstellen ausnutzen oder Social-Engineering-Angriffe verwenden, um Zugriff auf das Netzwerk und die Workloads eines Opfers zu erhalten.

Sicherer Internetzugang (Secure Internet Access, SIA)

SIA ist die Erweiterung von Secure Web Gateway (SWG) auf den Endpunkt. Die vom SWG-Cloud-Service angebotene detaillierte Überprüfung des Web-Traffics beinhaltet ein Backhauling oder eine Umleitung des Traffics und ist nicht immer notwendig. Wir vermeiden diesen zusätzlichen Schritt, indem wir dem Endpunkt Websecurity-Funktionen hinzufügen. Auf diese Weise kann das Gerät einfache Entscheidungen über den Web-Traffic treffen, bevor die in der Cloud aufbewahrte schwere Artillerie zum Einsatz kommt. Mit einer einfachen DNS-basierten Filterung können zum Beispiel verbotene und unerwünschte Webkategorien sofort und ohne weitere Prüfung blockiert werden. Dabei kann es sich um Inhalte handeln, die gegen gesetzliche Vorschriften oder die Compliance, Ethik und den Code of Conduct des Unternehmens verstoßen, bzw. um Websites, die als bösartig bekannt sind. Diese Filterung kann auch die „ausgehenden Anrufe“ von bösartiger Software blockieren, die sich bereits auf dem Gerät befindet und versucht, mit ihrem Command-and-Control-Server zu telefonieren. Es gibt keinen Grund, diese Art von Daten-Traffic zur Überprüfung an die Cloud zu senden, wenn er am Endpunkt blockiert werden kann.

Andererseits gibt es auch vertrauenswürdige Apps, und viele davon funktionieren nicht gut, wenn Traffic umgeleitet wird und ein direkter Breakout erforderlich ist. Microsoft 365 ist ein Beispiel, bei dem eine detaillierte Überprüfung des Web-Traffics möglicherweise nicht erforderlich ist. Das Weiterleiten von Microsoft 365-Datenverkehr an ein SWG vor dem Herstellen einer Verbindung mit der Anwendung kann außerdem zu Leistungseinbußen führen. Die Endgerätesicherheit kann für dieses Szenario ausreichend sein, sodass die SWG-Cloud-Prüfung vermieden werden kann.

Und dann gibt es noch die Kategorie dazwischen: Websites, auf die Benutzer zugreifen dürfen, bei denen die IT-Abteilung aber eine vollständige Überprüfung mit SSL-Inspektion vorzieht. Bedenken Sie, dass eine SSL-Überprüfung erforderlich ist, da der meiste Webverkehr verschlüsselt ist. SWG-Inspektion ohne SSL-Inspektion erfüllt die Sicherheitsanforderungen nicht.

Webverkehr, der erlaubt ist und eine vollständige Überprüfung erfordert, ist der perfekte Anwendungsfall für SWG und SIA. Diese beiden Komponenten funktionieren gut zusammen, um den Webverkehr zu sichern, der zwar nicht verboten ist, aber ein gewisses Risiko bösartiger Inhalte birgt.

Fernzugriff und Zero Trust Network Access (ZTNA)

Der Vorteil, dass der meiste Benutzer-Traffic webbasiert ist, besteht darin, dass moderne ZTNA-Lösungen viele VPN-Verbindungen ersetzen können. ZTNA kann Benutzer mit einzelnen Anwendungen verbinden, im Gegensatz zu einer Legacy-VPN-Lösung, die das Gerät ohne Zugriffsbeschränkungen mit dem lokalen Netzwerk verbindet. Das ist der Sicherheitsvorteil von ZTNA, aber der eigentliche Grund, warum ZTNA herkömmliche VPNs so schnell ablöst, ist die überdurchschnittliche Benutzererfahrung. Wir alle wissen, wie umständlich es war, sich aus der Ferne mit dem Firmennetzwerk zu verbinden, insbesondere für diejenigen, die sich mit mehr als einem VPN-Hub verbinden mussten.

Mit ZTNA sind alle Routing-Probleme, Neuverbindungen und endlosen Passworteingaben verschwunden. Eine gute ZTNA-Lösung unterscheidet nicht, ob sich der Benutzer von einem Unternehmensstandort aus oder remote verbindet, und setzt die Compliance immer mit Hilfe von Geräteüberprüfungen durch. Das Ersetzen der VPN-Konnektivität durch ZTNA bringt das Unternehmen weg von uneingeschränktem implizitem Vertrauen hin zu einer kontinuierlichen Bewertung der Sicherheitslage. Es verbessert auch die Benutzererfahrung mit seiner Einfachheit und nahtlosen Funktionalität.

Das soll nicht heißen, dass VPNs keine sichere Verbindung bieten können. Lösungen wie Barracuda CloudGen Firewall können so konfiguriert werden, dass VPN-Konnektivität mit gleichwertiger Security bereitgestellt wird. ZTNA ist jedoch eine bequemere Option und sollte die bevorzugte Lösung für den Fernzugriff für Cloud- und lokale Workloads sein.  Ein richtig konfiguriertes VPN kann eine sichere Lösung für Sonderfälle sein, wie z. B. spezielle Protokolle, die Verbindungen per Router erfordern. In solchen Fällen ist eine zusätzliche Sicherheitsüberprüfung mit granularen Zugriffskontrolllisten (Access Control Lists, ACL) ein Muss.

Wieso ist das wichtig?

Man muss sich in einen Angreifer hineinversetzen. Wie weit kann man bei Einbruch in ein System kommen, bevor das Netzwerk endet oder man auf eine verschlossene Tür trifft? Betrachtet man die ununterbrochenen Angriffe und öffentlichkeitswirksamen Sicherheitsvorfälle, insbesondere in Verbindung mit unsicherem Fernzugriff, ist die Antwort leider „bis ins die Schatzkammer“. Wir müssen die Security überdenken, wenn wir uns gegen Cyberkriminalität wehren wollen. ZTNA und SIA sind zwei wichtige Bestandteile des großen Ganzen. Gemeinsam helfen sie Organisationen dabei, Sicherheit an der notwendigen Stelle zu implementieren – am Netzwerkrand.

Angriffe mit einer wirkungsvollen Verteidigung stoppen

Es besteht kein Zweifel, dass sich die Cyberkriminalität weiterentwickeln und zunehmen wird. Angriffe werden intelligenter, da maschinelles Lernen eine größere Rolle bei der Entwicklung von Bedrohungen spielt. Der beste Weg, Ihr Unternehmen zu schützen, ist die Bereitstellung einer mehrschichtigen Verteidigung, die den Edge des Netzwerks und die vielen verteilten Endgeräte und Ressourcen schützt.

SASE gibt Ihnen die Flexibilität, die Anforderungen Ihrer bestehenden Sicherheits- und Konnektivitätsbereitstellungen zu erfüllen. Der Trend in der Branche zeigt, dass Einzellösungen diese Anforderungen immer besser abdecken, indem sie sie in Funktionen einer SASE-Umgebung umwandeln.

Barracuda bietet umfassende Sicherheitslösungen wie Zero Trust Access. Unsere Experten beantworten Ihre Fragen und führen Sie durch eine Demo dieser Lösungen oder helfen Ihnen bei der Bereitstellung einer kostenlosen Testversion in Ihrer eigenen Umgebung.Besuchen Sie unsere Website für den Einstieg.

 

 

Stefan Schachinger

Stefan Schachinger ist Product Manager, Network Security – IoT/OT/ICS. Er arbeitet seit 2013 mit dem Barracuda-Team in Innsbruck zusammen. Vernetzen Sie sich hier mit ihm auf LinkedIn.

Verwandte Beiträge:
Abstimmung der Cybersecurity mit den geschäftlichen Bedürfnissen und Anforderungen
Abstimmung der Cybersecurity mit den geschäftlichen Bedürfnissen und Anforderungen
 Die Not bleibt weiterhin die Mutter der Cybersecurity-Erfindung
Die Not bleibt weiterhin die Mutter der Cybersecurity-Erfindung
 Bevorstehende Webinare, die Sie nicht verpassen sollten
Bevorstehende Webinare, die Sie nicht verpassen sollten
 Die Durchführungsverordnung von Trump könnte neue Security-Herausforderungen schaffen
Die Durchführungsverordnung von Trump könnte neue Security-Herausforderungen schaffen
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.