Palo Alto Networks zum Thema „Secure Access Service Edge“

Die Komplexität und Angriffsfläche der Unternehmensinfrastruktur nehmen deutlich zu. Gängige Security-Technologien sind jedoch nicht für alle Arten von Datenverkehr und Cyber¬bedrohungen ausgelegt. Deshalb kommen vielerorts mehrere punktuelle Lösungen (wie sichere Webgateways, Firewalls, VPNs und SD¬WAN¬-Services) zum Einsatz, was den Administrationsaufwand und die Betriebskosten erhöht. Um hier Abhilfe zu schaffen, haben Security-Experten SASE (Secure Access Service Edge) konzipiert, ein einheitliches Framework für die cloudbasierte Bereitstellung konsistenter Sicherheitsservices. Eine SASE-Lösung unterstützt standortunabhängige Zugriffsmöglichkeiten auf Anwendungen, die in öffentlichen oder privaten Clouds gehostet sind, auch SaaS-¬Applikationen.

Daraus resultieren entscheidende Vorteile, die Palo Alto Networks kurz umreißt:

Vorteil Nr. 1: Vereinfachte SD-WAN-Bereitstellung

Viele Unternehmen richten ein softwaredefiniertes Weitverkehrsnetz (SD-WAN) ein, um Zweigstellen und Filialen in ihr Netzwerk einzubinden und lokale Internet¬-Breakouts als kostengünstige Alternative zu MPLS-Verbindungen nutzen zu können. Allerdings stellt die Sicherung des SD¬WAN-¬Fabrics eine Herausforderung dar, die scheinbar nur mit mehreren Overlays zu bewältigen ist. In einer SASE-Lösung können SD-WAN-Edge-Geräte statt mit physischen, in Rechenzentren oder Collocations eingerichteten SD-WAN-Hubs auch mit einer cloudbasierten Infrastruktur verbunden werden. Das ermöglicht die Einrichtung von Datenverbindungen zwischen Zweigstellen ohne die aufwendige Bereitstellung und Administration physischer SD¬-WAN¬-Hubs.

Vorteil Nr. 2: Cloudbasierte VPN-Verbindungen

Verschlüsselte Verbindungen über virtuelle private Netzwerke (Virtual Private Networks, VPNs) sind eine gängige Methode, um mobilen Benutzern und Mitarbeitern in Zweigstellen sicheren Zugriff auf das Internet sowie auf Unternehmensdaten und geschäftlich genutzte Anwendungen zu bieten. Diese Services greifen nur, wenn der Benutzer zunächst eine Verbindung zu einem VPN-Gateway herstellt. Sie können keinen Schutz bieten, wenn ein Nutzer sich – beispielsweise zur Vermeidung von Latenzen – aus dem VPN abmeldet, bevor er auf in der Cloud gehostete Anwendungen und Services zugreift. Eine SASE-Lösung stellt eine cloudbasierte Infrastruktur bereit, die für die sichere Übertragung des Datenverkehrs zwischen dem jeweiligen Benutzer und der öffentlichen Cloud, SaaS-Anwendungen, dem Internet sowie in privaten Clouds gehosteten Apps genutzt werden kann.

Vorteil Nr. 3: Zero-Trust-Netzwerkzugriff

Nur die wenigsten Unternehmen haben grundlegende Maßnahmen zum Schutz ihrer Benutzer und Daten implementiert. Dabei wäre es eigentlich höchste Zeit, Ansätze wie „Zero Trust“ flächendeckend umzusetzen. Zero Trust Network Access (ZTNA) bedeutet im Wesentlichen, dass Benutzer erst nach der erfolgreichen Authentifizierung bei einem Gateway Zugriff auf die Cloud oder die jeweils gewünschte Anwendung erhalten. Ein SASE basiert auf den ZTNA-Grundsätzen und wendet diese auf alle in die SASE-Lösung eingebundenen Services an. Dies vereinfacht die Erstellung, Durchsetzung und Verwaltung von Richtlinien, da alle im Netzwerk aktiven Benutzer, Geräte und Anwendungen unabhängig von ihrem Standort identifiziert werden. Außerdem sind die Netzwerkdienste in die Cloud-Infrastruktur des SASE eingebettet, wodurch die Notwendigkeit zur Anmeldung bei einem Gateway entfällt.

Vorteil Nr. 4: Kontrolle der Servicequalität

Viele Unternehmen investieren in eine QoS-Lösung (Quality of Service), mit der sich jeder Applikation und jedem Service eine bestimmte Bandbreite zuweisen lässt. Kritische Anwendungen – wie beispielsweise für die medizinische Versorgung oder zur Verarbeitung von Kreditkartendaten – laufen so jederzeit ohne Verzögerung. Mechanismen zur Kontrolle der Servicequalität sind eine wichtige Voraussetzung für die Abkehr von kostspieligen MPLS-Verbindungen. Hier erweist es sich als Vorteil, dass eine moderne SASE-Lösung cloudbasierte QoS-Services umfasst. Damit lässt sich dem Datenverkehr von VoIP-¬Services und anderen sensiblen Anwendungen Vorrang gegenüber dem durch Internet-Browsing und Entertainment-Apps generierten Traffic einräumen.

Vorteil Nr. 5: DNS-Schutz

Jedes Unternehmen nutzt das Domain Name System (DNS), um Domainnamen in IP-Adressen zu übersetzen. Da es sich hierbei um ein offenes System handelt, das über keine nativen Erkennungsmechanismen verfügt, kann es von Angreifern für schädliche Aktivitäten und als Einfallstor missbraucht werden. Der DNS-¬Schutz blockiert den Datenaustausch mit schädlichen Domains und leistet dadurch einen wichtigen Beitrag zur Abwehr von Bedrohungen. Hier erweist es sich als Vorteil, dass moderne SASE-Lösungen über leistungsstarke DNS-Sicherheitsfunktionen verfügen, die Benutzer und Netzwerke standortunabhängig schützen.

Vorteil Nr. 6: Firewall-as-a-Service

Firewall-as-a-Service (FWaaS) bietet modernen Unternehmen die Möglichkeit zur Auslagerung der Firewall-Funktionen. Durch die Migration der Firewalls in die Cloud können beträchtliche Einsparungen erzielt werden, da die Notwendigkeit entfällt, Sicherheits-Appliances in Zweigstellen und an Filialstandorten zu installieren und zu pflegen. Eine moderne SASE-Lösung basiert auf einer einheitlichen, cloudbasierten Plattform, die unter anderem sämtliche Funktionen und Features einer Next-Generation-Firewall bereitstellt. So lässt sich der Firewall-Schutz von zentraler Stelle aus verwalten.

Vorteil Nr. 7: Bedrohungsabwehr

Da die Gefahr eines Datenlecks oder Ransomware-Angriffs zunimmt, benötigen Unternehmen einen effektiven Schutz ihrer Daten und Mitarbeiter. Punktuelle Lösungen erschweren dabei die Verwaltung und Verzahnung der einzelnen Komponenten der Sicherheitsinfrastruktur. In einer modernen SASE-Lösung werden alle Sicherheitsfunktionen und -services auf einer zentralen Plattform zusammengeführt. Dadurch profitieren die Verantwortlichen von vereinfachten Administrationsprozessen und einem lückenlosen Überblick über alle Bedrohungen und Schwachstellen in der gesamten Unternehmensumgebung.

Vorteil Nr. 8: Sichere Internetgateways

Ein sicheres Internetgateway (Secure Web Gateway, SWG) ist eine gängige Methode, um zu verhindern, dass Mitarbeiter oder geschäftlich genutzte Geräte auf schädliche oder unerwünschte Websites zugreifen. Ein SWG ist nur eines der zahlreichen Sicherheitssysteme, die eine moderne SASE-Lösung bereitstellen muss, um Unternehmen mit wachsenden IT-¬Infrastrukturen und einer steigenden Zahl mobiler Benutzer umfassenden Schutz zu bieten. Wenn die SWG-Funktionen in die zentrale Cloud-Plattform des SASE integriert sind, ist ein detaillierter Überblick und volle Kontrolle über das gesamte Netzwerk gewährleistet.

Vorteil Nr. 9: Data Loss Prevention

Tools zum Schutz vor Datenverlust (Data Loss Prevention, DLP) verhindern die Offenlegung sowie den Diebstahl und Missbrauch sensibler Daten. Herkömmliche DLP-Lösungen stoßen beim Schutz von Cloud-Umgebungen jedoch zunehmend an ihre Grenzen. Eine moderne SASE-Lösung beinhaltet cloudbasierte DLP-Funktionen, mit denen sich die für die Datennutzungsrichtlinien standortunabhängig durchsetzen lassen können. Auf diese Weise sind sämtliche sensiblen Daten bei der Speicherung, Übertragung und Verarbeitung konsistent geschützt. Außerdem entfällt die Notwendigkeit zur Nutzung und Pflege verschiedener DLP-Tools, da die Kontrolle der Datenbewegungen über die bestehenden Sicherheitspunkte des Unternehmens erfolgt. Ein SASE umfasst auch eine funktionsreiche DLP-Lösung, die auf einer einfachen, skalierbaren Architektur basiert und Anomalien oder verdächtige Aktivitäten durch maschinelle Analysen des unternehmensweiten Datenverkehrs zielsicher identifiziert.

Vorteil Nr. 10: Cloud Access Security Broker

Cloud Access Security Broker (CASB) werden von Unternehmen eingesetzt, um die Nutzung von SaaS-Anwendungen zu überwachen, die Speicherorte sensibler Daten zu identifizieren, unternehmensweite Zugriffsrichtlinien durchzusetzen und eigene Datenbestände vor Hackern zu schützen. In einer zeitgemäßen SASE-Lösung ist CASB als Feature enthalten, damit sich die Verantwortlichen jederzeit einen Überblick über die von jedem einzelnen Benutzer verwendeten SaaS¬-Anwendungen und übertragenen Daten verschaffen können.