Der Trend zur Verlagerung in die Cloud und „Everything-as-a-Service“ ist bereits seit mehr als einem Jahrzehnt im Gange. Die globale Pandemie der Jahre 2020 und 2021 hat das Tempo der digitalen Transformation auf der ganzen Welt jedoch erheblich beschleunigt. Hier kommen Zero Trust Network Access (ZTNA) und Secure Access Service Edge (SASE) ins Spiel.
Heute besteht mehr denn je Appetit auf eine sinnvolle digitale Transformation, die den Mitarbeitern, die die Technologie tatsächlich nutzen, zusätzlich zu den IT-, Netzwerk- und Sicherheitsteams, die sie warten müssen, echte Vorteile bringt. Leider laufen diejenigen, die den sicheren Fernzugriff nicht ernst nehmen, Gefahr, zu einem Ziel für kriminelle Akteure zu werden. Diese haben sich innerhalb kürzester Zeit darauf verlagert, die laxen Sicherheitsvorkehrungen zum Schutz der Mitarbeiter außerhalb des Büros auszunutzen.
Obwohl Cyber-Angriffe nichts Neues sind, haben sie mittlerweile ein nie dagewesenes, globales Ausmaß angenommen. Diese Entwicklung untergräbt das Vertrauen in kritische Infrastrukturen und fügt dem Ruf von Unternehmen echten Schaden zu.
Sorgen der Unternehmensleiter
Die Ereignisse des vergangenen Jahres haben die Einstellung der Führungsetage zu den Top-Bedrohungen tiefgreifend verändert. Dieser Wandel spiegelt sich in der neuen 24. jährlichen globalen CEO-Umfrage von PWC unter 5.050 CEOs in Nordamerika, EMEA und APAC wider, die im Januar und Februar 2021 durchgeführt wurde.
Im Jahr 2020 waren die fünf größten Sorgen dieser Führungskräfte Probleme im Zusammenhang mit Überregulierung, Handelskonflikten, unsicherem Wirtschaftswachstum, Cyber-Bedrohungen und politischer Unsicherheit. Im Jahr 2021 sind – wenig überraschend – Pandemien und Gesundheitskrisen die mit Abstand größten Sorgen, dicht gefolgt von Cyber-Bedrohungen. Weniger häufig, aber immer noch an vorderer Stelle, werden Bedenken im Zusammenhang mit Regulierung, politischer Unsicherheit und unsicherem Wirtschaftswachstum genannt.
Es ist durchaus sinnvoll, dass Cyber-Angriffe heute als eine viel ernstere Bedrohung angesehen werden. Dies gilt umso mehr, nachdem FireEye und Microsoft das Ausmaß des SolarWinds-Supply-Chain-Angriffs enthüllt haben, der Ende letzten Jahres bekannt wurde. Dieser hochgradig koordinierte Angriff ermöglichte es staatlich gesponserten Hackern, hochrangige US-Cybersecurity-Firmen und neun wichtige US-Bundesbehörden zu kompromittieren. Diese gehörten zu den 18.000 SolarWinds-Kunden, die eine Sunburst/Solorigate-Backdoor durch scheinbar harmlose Software-Updates installiert hatten.
Es handelte sich um einen sehr präzisen und gezielten Angriff, der darauf abzielte, Informationen zu stehlen und Misstrauen gegenüber der Regierung, kritischen Infrastrukturen und Cyber-Sicherheitsfähigkeiten zu schüren. Dies ist ein Grund, warum immer mehr Unternehmen bei der Planung ihrer zukünftigen Netzwerk- und Sicherheitsanforderungen auf das Prinzip Zero Trust zurückgreifen. Im März dieses Jahres wurde eine noch weitreichendere Bedrohung durch vier kritische Schwachstellen in Microsoft Exchange On-Premises-E-Mail-Servern entdeckt, die aktiv von staatlich gesponserten und Ransomware-Bedrohern ausgenutzt wurden.
Bedrohungen und Chancen
Das Leben ist voll von Risiken und Bedrohungen, aber auch von Chancen. Die digitale Transformation und der Cloud-first-Ansatz bieten immer noch enorme Vorteile.
Das australische Ministerium für Industrie, Innovation und Wissenschaft schätzte in seinem Future Productivity Report von 2018, dass die schnellere Einführung digitaler Technologien das australische Wirtschaftsvolumen bis 2025 um 140 bis 250 Milliarden US-Dollar steigern könnte. „Die jüngsten Ereignisse, einschließlich der globalen Pandemie, haben diesen Fortschritt in einem Tempo beschleunigt, das Australien bisher nicht erlebt hat“, erklärte Randall Brugeaud, CEO der Digital Transformation Agency. In dem Diskussionspapier zur Aktualisierung der Strategie stellt die Digital Transformation Agency (DTA) fest:
„Die Auswirkungen der globalen Pandemie, einschließlich der Verringerung der von der Regierung angebotenen Face-to-Face-Dienste, haben zu erheblichen Veränderungen in der Art und Weise geführt, wie Nutzer mit der Regierung interagieren. Jüngste Daten zeigen, (dass) die Nutzerakzeptanz digitaler Technologien in etwa acht Wochen um fünf Jahre vorangekommen ist.“
Heute gibt es ein Zusammentreffen von Technologien und gesellschaftlichen Veränderungen, welche die digitale Transformation in Industrie und Verwaltung vorantreiben. Technologie ist nur ein Kernbestandteil der digitalen Fähigkeiten, zusammen mit Politik, Menschen und Allianzen. Auf der Technologieseite gehören dazu Smartphones/Mobilität, Laptops, Edge Computing, das Internet der Dinge und grenzenlose Netzwerke. Die Cloud wird sicherlich ein integraler Bestandteil dieses Mix sein und ist bereits jetzt ein wichtiger Enabler für viele kritische Geschäftsanwendungen.
SASE empfiehlt sich als passende Lösung
Experten sind der Meinung, dass diese Bedingungen erklären, warum Netzwerksicherheitsarchitekturen wie Secure Access Service Edge (SASE) die passende Lösung für Unternehmen sind, die sich einer groß angelegten digitalen Transformation nähern. Diese Unternehmen benötigen eine Cloud-first-Lösung mit leistungsstarken Tools zur kontextbezogenen Durchsetzung von Richtlinien. Sie benötigen Zugriffskontrollen mit geringer Latenz, die auf der Benutzeridentität basieren, und eine kontinuierliche Überwachung der Risiko- und Vertrauensstufen, um Risiken zu reduzieren.
Erstmals im Gartner-Report Future of Network Security (2019) beschrieben, beinhaltet SASE den Aufbau von Netzwerksicherheit rund um Benutzeridentität, Cloud-Architekturen und ein Netzwerk, das alle Edge-Bereiche unterstützt – von Rechenzentren bis hin zu Zweigstellen, Cloud-Ressourcen, mobilen Geräten und Browsern, und zwar unabhängig davon, wo sich diese physisch befinden.
Ein entscheidender Aspekt dabei ist, dass die Netzwerk- und Sicherheitsfunktionen allen Benutzern und Diensten eine niedrige Latenzzeit bieten müssen. Das ist sinnvoll, denn die Gewinne, die eine stark verteiltes Unternehmen erzielt, könnten zunichtegemacht werden, wenn die Netzwerksicherheitsarchitektur die Produktivität behindert. Kein Benutzer kämpft gerne mit Netzwerk- und Sicherheitsproblemen, um eine Aufgabe zu erledigen.
Diese Anforderungen, die von SASE erfüllt werden, lassen sich in eine Reihe von Technologien und Konzepten übersetzen, mit denen viele in der IT-Branche vertraut sind, wie z. B. Software-Defined Perimeter (SDP). Die Plattform von NetMotion funktioniert wie ein SDP. Es handelt sich um einen Netzwerkperimeter, der auf Software basiert, die auf dem Endgerät und idealerweise in einem in der Cloud gehosteten Gateway vorgehalten wird. Sie schränkt den unautorisierten Zugriff auf Unternehmensressourcen durch Echtzeit-Risikobewertungen und dynamisches Tunneln zu den angeforderten Ressourcen auf Abruf ein. Als Service, der in der Microsoft Azure Cloud gehostet werden kann, bietet die Plattform von NetMotion den Kunden die Flexibilität, Netzwerkperimeter einzurichten, die durch ein VPN, eine Firewall, Webanwendung, API-Sicherheit (WAAP) und vieles mehr abgesichert sind.
Zero Trust Network Access – oder ZTNA – ist ein wichtiges Ziel bei der Bereitstellung eines SDP, da sie viele Parameter verwendet, um die Gültigkeit einer Anfrage festzustellen. Mit anderen Worten, es wird zunächst davon ausgegangen, dass keine Entität, kein Gerät oder Benutzer vertrauenswürdig ist, bis sie ihre Identität nachweisen können.
Dies ist ein ganz anderer Ansatz als bei herkömmlichen Tools, die den Zugriff auf ein Netzwerk und seine Ressourcen auf der Grundlage eines einfachen Satzes von Benutzerzugangsdaten ermöglichen. Daher auch der Name „Zero Trust“. SDP ist eine überzeugende Anwendung von SASE- und Zero-Trust-Methoden, weil es die Authentizität eines Benutzers und eines Geräts sicherstellt, bevor es den Zugriff auf Netzwerkressourcen autorisiert, egal wo sie sich befinden. Gleichzeitig ist das Netzwerk vor einer Vielzahl von Bedrohungen geschützt.
Alle Unternehmen sollten diesen grundlegenden Ansatz in Betracht ziehen, wenn sie die zukünftigen Sicherheitsanforderungen – und letztlich den Erfolg – jedes einzelnen Programms zur digitalen Transformation bewerten. (rhh)