Secure Application Access - SDP
Was bedeutet Software-Defined Perimeter eigentlich genau?
Schlechte Namensgebung für eine wegweisende Technologie
In einem kürzlich erschienenen Artikel von CSO Online schrieb der Analyst Jon Oltsik , dass viele Sicherheitsexperten, auf Grund der verwirrenden Nomenklatur über die wahre Bedeutung der Software-Defined Perimeter Technologie immer noch im Unklaren sind.
Laut Oltsik scheint der Begriff "Software-defined Perimeter" häufig Unternehmensführer zu verwirren und sie an Security-Anwendungen wie beispielsweise virtuelle Firewalls denken zu lassen. SDP beinhaltet aber eigentlich ein neues Denken über die Zugriffskontrollen. Dieser Mangel an Bekanntheitsgrad ist bedauerlich – SDP ist eine bahnbrechende Technologie, und seine weltweite Verbreitung kommt den Unternehmen zugute, die täglich darum kämpfen, die sensiblen Daten ihrer Organisation zu schützen.
Es ist Zeit, den Begriff SDP zu überarbeiten
Generell sind bei der SDP-Technologie keine Firewalls direkt involviert. Der normale Anwendungsfall besteht darin, dass ein Benutzer mithilfe eines Endpunkts aus der Cloud auf eine Geschäftsanwendung zugreift (wobei SDP natürlich überall angewendet werden kann). Der Benutzer muss sich zunächst mit einem SDP-Controller anhand verschiedener Faktoren authentifizieren – von den Geräteattributen bis hin zur Biometrie – um dann über einen verschlüsselten Kanal direkt mit seiner Anwendung verbunden werden zu können. Wichtig ist dabei, dass der Zugriff auf diese Anwendung keine zusätzlichen Zugriffe mehr auf andere Netzwerksegmente ermöglicht
Laut Gartner ist SDP eine der besten Sicherheitstechnologien die es gibt. Angreifer außerhalb Ihres Netzwerks können nicht sehen, welche Anwendungen durch den Benutzer ausgeführt werden oder wo sie im Rechenzentrum platziert sind. Ohne diesen Angriffsvektor werden Angriffe, die von DDoS-Angriffen bis zu fortgeschrittenen Bedrohungen reichen können, plötzlich wirkungslos. Was man nicht sehen kann, kann man nicht hacken, erklärt Safe-T.
Oltsik postuliert, dass die langweilige Namensgebung für SDP, vermeintlich den Eindruck vermittelt, dass es sich nur um eine Sicherheitslösung unter vielen handeln würde, im Gegensatz zu dem, was sie wirklich ist – ein Wegweiser. Er schlägt stattdessen vor, die Plattform als "Ubiquitous Secure Access Services (USAS)" zu bezeichnen. USAS verbindet schließlich jeden Benutzer oder jedes Gerät mit jeder Anwendung oder jedem Dienst und zwar auf eine sichere Weise, die Spionage verhindert und angemessene Zugriffe mit strengen Richtlinien ermöglicht, die zusätzlich einfacher durchzusetzen sind und besser als andere Netzwerkdienste funktioniert.
Selbsterklärende Namensgebung bleibt schwierig
Bisher gab es nur wenige Ideen, wie man dieser SDP-Technologie am besten einen selbsterklärenden Begriff zuweisen könnte.
- Eine Reihe von Unternehmen haben versucht, SDP als Zero Trust zu bennen. Zero Trust ist aber kein neuer Begriff und wurde 2010 von Forrester Research geprägt, um ein Netzwerk zu beschreiben, das jeden Verbindungsversuch sowohl innerhalb als auch außerhalb seines Umfangs authentifizieren würde. Ein per Software definierter Perimeter kann sich auf das Zero Trust-Modell verlassen, aber die beiden sind nicht notwendigerweise identisch.
- In der Zwischenzeit hat ein anderer Forrester-Forscher beschlossen, Zero Trust selbst neu zu gestalten. Er argumentiert, dass jetzt der Zugang zur nächsten Generation erforderlich ist. Dieser Standard würde Multi-Faktor-Authentifizierung, Single Sign-On, maschinelles Lernen, starke APIs und mehr umfassen.
Auch hier gibt es mehrere bereits existierende SDP-Produkte, die einige oder alle der von USAS, Zero Trust, Next Generation Access und anderen definierten Anforderungen erfüllen. Es ist nicht unvermeidlich, dass ein einzelner anderer Name die Sammlung von Features übernehmen wird, die derzeit als per Software-definierter Perimeter bekannt sind.
Unabhängig davon, wie der per Definition definierte Perimeter tatsächlich aufgerufen wird, ist der beste Beweis dafür, dass potenzielle Kunden ihn tatsächlich nutzen.
Kostenlose Testversion