Wie IoT in SASE passt

In unserer letzten Reihe von SASE-Blogbeiträgen haben wir bereits die Haupt-Anwendungsfälle Secure SD-WAN, Firewall-as-a-Service und Secure Web Gateway und Endpoint Protection zusammen mit sicherem Fernzugriff behandelt.  Im heutigen Blog sehen wir uns an, wie Geräte des Internets der Dinge (IoT) in die SASE-Geschichte passen.

Zur Erinnerung: SASE oder Secure Access Service Edge ist die Konvergenz von Konnektivität und Security und unterstütze Organisationen dabei, einen einheitlichen Sicherheitsstatus durch Implementierung eines dezentralen Konzepts zu erreichen. Dabei wird Security (unabhängig vom Standort) direkt am Edge bereitgestellt, doch das Management aller beteiligten Komponenten erfolgt über eine zentrale Benutzeroberfläche in der Cloud. Die Grundidee ist eine neue und verteilte Security-Architektur, die herkömmliche Burg- und Wassergrabenkonzepte ersetzt und gleichzeitig das Management und die Konfiguration ihrer Komponenten vereinheitlicht und vereinfacht.

Im IoT-Bereich haben Organisationen mit Hunderten oder sogar Tausenden von Geräten zu tun: Von kleinen Sensoren, die Umgebungswerte messen, über Medizinprodukte und Einzelhandelsausrüstungen bis hin zu schweren Maschinen in der Industrie, der Energie, Öl und Gas und anderen Branchen. Es gibt keine Einschränkungen hinsichtlich der Größe, des Formfaktors und Preises des Geräts, aber verstreute Umgebungen und Security-Herausforderungen sind charakteristisch. Und hier kann SASE wirklich einen entscheidenden Beitrag zur Lösung bekannter Probleme leisten.

Was ist bei IoT-Projekten anders?

Einfach ausgedrückt, ist die Herausforderung bei IoT-Projekten, dass es bei diesen Projekten nicht um Security geht. Es gibt immer einen anderen Zweck. Niemand verbindet Geräte nur, damit sie verbunden sind. Für einen IT-Administrator ist die Implementierung von Sicherheitslösungen Teil seiner Tätigkeitsbeschreibung und viele von ihnen möchten die Details jedes Geräts kennenlernen, um jede Einstellung konfigurieren und optimieren zu können. Leider haben IT-Fachleute immer weniger Zeit dafür, und immer mehr von ihnen möchten nicht mit sich wiederholenden Aufgaben belastet werden, die automatisiert werden könnten.

Wenn es um IoT-Bereitstellungen und -Support geht, ist Security ein Punkt auf einer Checkliste. Qualifizierte Fachkräfte für Cybersecurity sind schwer zu finden und es ist selten, dass eine Organisation ein zugewiesenes IoT-Security-Team hat. Die Personen, die für den Erfolg eines IoT-Projekts verantwortlich sind, verfolgen unterschiedliche Aufgaben, zum Beispiel die Fernüberwachung von Geräten, die Erfassung analytischer Daten zur Kosten- und Effizienzoptimierung oder die vorausschauende Wartung. Dahier sollten Security-Lösungen für IoT einfach zu implementieren und zu warten sein, sogar einfacher als reine Konnektivität-Lösungen. Security kann nur mit einer nahtlosen Benutzer- und Administrator-Erfahrung gewinnen. Security-Anbieter wollen in einer Welt, in der es um Qualität, Effizienz und Kostenoptimierung geht, keine zusätzliche Komplexität schaffen.

Die Herausforderung im IoT

Schwachstellen in der Software auf IoT-Geräten sind nicht neu. Diesen Geräten mangelt es im Allgemeinen an Security, da sie nicht mit Blick auf die Security entwickelt wurden. Geräteanbieter sind oft Spezialisten in ihrem Branchensegment und ihr Fokus liegt auf dem Anwendungsfall des Geräts.

Während der Lebensdauer eines IoT-Geräts ist es schwierig – wenn nicht unmöglich –, ein hohes Maß an Security aufrechtzuerhalten. Geräteanbieter können meistens nicht mit den Software-Patch-Zyklen Schritt halten, die zur rechtzeitigen Behebung von bekannten Schwachstellen erforderlich wären. Jeder Software-Patch muss sorgfältig getestet werden, um jede Art von Fehlfunktion zu vermeiden. Außerdem kann die Installation von Software-Updates auf einer großen Anzahl von Geräten, die sich häufig an entfernten Standorten befinden, schon an sich eine Herausforderung sein.

Aber letzten Endes ist das nicht wirklich wichtig. IoT-Geräte sollten immer als „gefährdet“ betrachtet werden und niemals standardmäßig als vertrauenswürdig eingestuft werden.

Zero Trust für IoT

Der einfachste Weg, mit unsicheren Geräten umzugehen, die nicht gepatcht werden können, besteht darin, sie in etwas Sicheres einzupacken. In einer verstreuten Umgebung mit vielen geografisch verteilten Geräten ist die erste Herausforderung, die auftaucht, meistens die Konnektivität. Es gibt Dutzende von Hardware-Anschlusslösungen auf dem Markt, die zwar die Frage der Konnektivität lösen, aber die Security und Skalierbarkeit völlig vernachlässigen. Kein Unternehmen sollte diese Art von Gerät einsetzen, wenn es eine sicherere und skalierbare Alternative gibt.

Folgendes sollte bei der Suche nach einer IoT-Lösung berücksichtigt werden:

• Denken Sie darüber nach, wie viele Geräte Sie bereitstellen möchten.  In kleinen Laboren funktioniert fast alles, sogar Do-it-yourself-Projekte auf Verbrauchergeräten, aber Bereitstellungen in Produktionsumgebungen bringen viele Probleme in Bezug auf Skalierbarkeit mit sich. Bedenken Sie dies, wenn Sie über das zukünftige Wachstum Ihres Netzwerks und die Lebensdauer Ihrer Geräte nachdenken.
• Konnektivität über LAN, WLAN, 5G/4G/LTE oder eine andere Technologie erfordert ein Hardwaregerät. Im Idealfall kann dieses Hardwaregerät mehr als nur Konnektivität bieten.
• Den IoT-Geräten kann nicht vertraut werden (Zero Trust ist unser Prinzip). Daher sollten sie von anderen Geräten isoliert werden und dürfen niemals dem Internet ausgesetzt sein. Verwenden Sie eine IoT-Firewall, um Konnektivität und Security bereitzustellen. Weisen Sie einem IoT-Gerät niemals eine öffentliche IP zu. Wenn Sie sich nicht sicher sind, warum, gehen Sie zu https://www.shodan.io/.
• Der Schutz des Geräts vor Bedrohungen aus dem Internet ist die halbe Miete, aber Sie müssen auch die Kommunikation über öffentliche Netzwerke sichern und die möglichen Mängel in Industrieprotokollen berücksichtigen. Zusätzliche Verschlüsselung verhindert Ausnutzung und verbirgt Klartextkommunikation. Das erfordert VPN-Technologie, um die Kommunikation selbst zu schützen und Security der nächsten Generation wie IPS und Advanced Threat Protection, um alle Arten von bösartigen Inhalten zu blockieren.
• Die zulässige Netzwerkkommunikation von dem und zu dem Gerät muss auf das notwendige Minimum beschränkt werden. Früher waren auf IPs und Ports basierende Firewall-Regelsätze beliebt, heute basieren diese Einschränkungen jedoch auf Anwendungen mit Absicht-basiertem Routing.
• Wenn an den einzelnen Standorten kein IT-Experte vor Ort ist, sollte der Rollout und Austausch von Hardware so einfach wie möglich sein. Das erfordert echte Zero Touch-Bereitstellungstechnologie. Wer vor Ort verfügbar ist, sollte das Gerät anschließen und die Installation hinter sich haben. Die physische Installation kann von einem Elektriker oder Werkstattassistenten durchgeführt werden, aber Konfiguration und Lizenzzuweisungen werden extern verwaltet. Dieses Bereitstellungssystem sollte auch außerhalb der regulären Bürozeiten funktionieren.
• Zentralisiertes Management ist der Schlüssel, um Security-Fehlerbehebungen und Firmware-Updates anwenden zu können und die Konfiguration von Geräten in einer solchen Infrastruktur beizubehalten. Obwohl IoT-Geräte oft gleich aussehen, ist jedes von ihnen einzigartig und viele Organisationen benötigen ein granulares Security-Regelwerk und eine granulare Konfiguration, um ein hohes Maß an Vertrauen in Security bieten zu können. Das ist nur möglich, wenn es ein einfaches, aber leistungsstarkes, zentrales Management-Portal gibt, mit dem man arbeiten kann.
• Bei der IoT-Security gibt es keinen minimalen Ansatz, der sich von selbst versteht. Unabhängig davon, welche Geräte Sie bereitstellen, sollten Sie immer davon ausgehen, dass eine weitere Einführung oder Optimierung erforderlich ist. Die wichtigste Überlegung ist hier, wie diese zukünftigen Änderungen in der gesamten Bereitstellung implementiert werden können. Können Sie an verstreuten Orten Änderungen an Hunderten von Geräten vornehmen? Wenn Sie der Meinung sind, dass dies nicht notwendig ist, ist Ihre Security-Richtlinie wahrscheinlich zu locker.

Warum also SASE?

Die Konvergenz von Security und Vernetzung scheint genau das zu sein, was benötigt wird, damit IoT-Geräte sicher an der Unternehmensinfrastruktur teilnehmen können.  Die hybriden Umgebungen von heute erfordern sichere Konnektivität für Menschen, die extern oder im Homeoffice arbeiten, auf Workloads in der öffentlichen Cloud oder vor Ort zugreifen oder Software-as-a-Service-Angebote nutzen. SASE ist das hochmoderne Konzept für einen einheitlichen Security-Status über alle Edges hinweg, unabhängig vom Standort. IoT-Geräte hinzuzufügen scheint der naheliegende nächste Schritt beim Aufbau einer Lösung zu sein, die Websites, Dinge, Menschen und die Cloud sicher und effizient miteinander verbindet. All das wird unter ein Dach gebracht und über eine zentrale Benutzeroberfläche verwaltet.

Die Barracuda-Lösung für das IoT

Bei Barracuda empfehlen wir die Verwendung unserer speziell entwickelten Lösung Secure Connector in verstreuten IoT-Infrastrukturen. Der Secure Connector verwendet das proprietäre VPN-Protokoll Traffic Independent Network Architecture (TINA) von Barracuda über Ethernet, WLAN oder 4G/LTE und ist als normale oder robuste Hardware erhältlich. Die kompakten Geräte arbeiten mit der Barracuda CloudGen Firewall oder mit der neuen SASE-Plattform SecureEdge von Barracuda zusammen, um externe Geräte und Mikronetzwerke mit Unternehmensressourcen zu verbinden. Sie bieten vollumfängliche Security der nächsten Generation und dienen effektiv als Konnektivität-Hub für alle Verbindungen zwischen den IoT-Geräten und dem Internet.