CyberCompare

Sicherheit in der Cloud: Security Access Service Edge (SASE) und Zero Trust Network Access (ZTNA) für produzierende Unternehmen?

Einleitung

Security Access Service Edge (SASE) und Zero Trust Network Access (ZTNA) sind relativ neue Entwicklungen auf dem Cyber Security Markt, mit denen sicheres Arbeiten mit Cloud-Anwendungen ermöglicht werden soll.

Beide technischen Ansätze verzeichnen ein sehr hohes Marktwachstum, natürlich auch getrieben durch pandemiebedingte Arbeit aus dem Home Office.

Artikel

Alles nur Hype, oder alter Wein in neuen Schläuchen?

Was genau verbirgt sich hinter den Bezeichnungen, und inwiefern sind diese technischen Ansätze relevant für Industrieunternehmen?

Dazu erstmal ein kurzer Ausflug in die Geschichtsbücher der Netzwerktechnik:

Die meisten Unternehmensnetzwerke zur Datenkommunikation basieren heute auf MPLS (Multi Protocol Label Switching), welches vor ca. 20 Jahren eingeführt wurde. Der Vorteil von MPLS gegenüber der damaligen Vorgängertechnik der traditionellen Topologie- oder Routingprotokolle, Interior Gateway Protocols (IGPs) wie Open Short Path First (OSPF), liegt in der höheren Übertragungsgeschwindigkeit und höheren nutzbaren Kapazität der vorhandenen Router. Anstatt von einem Router zum nächsten zu hüpfen (hop-by-hop) und jedes Mal wieder eine Entscheidung darüber zu treffen, wohin die Daten als nächstes geschickt werden sollen, wird am Anfang ein Pfad festgelegt. D.h., es werden de facto weniger Router pro Nutzer oder Anwendung benötigt.

Software is eating the world

Ungefähr vor 10 Jahren dann wurden die ersten SD-WANs (Software-Defined Wide Area Networks) eingeführt. Insbesondere bei verteilten Anwendungen, bei dynamischer Anpassung des Netzwerks und des Datenvolumens (z.B. die spontane Einrichtung von Heimarbeitsplätzen) und bei Cloud-Nutzung hat die SD-WAN-Technik oft Kostenvorteile gegenüber MPLS. Warum?

Bei MPLS werden alle Verbindungen durch das zentrale Datencenter geschleust (hub-and-spoke Modell). Damit werden die Router, Switches und Leitungen mit höherem Datenvolumen belastet, als wenn direkte Verbindungen möglich wären. Außerdem ist das mögliche Datenvolumen mit der Architektur festgelegt. Entweder man baut also genug Puffer für Lastspitzen ein (und bezahlt also für meistens ungenutzte Kapazität), oder man muss damit leben, dass die Performance des Netzwerks bei höheren Datenvolumina in die Knie geht.

Bei SD-WAN ist u.a. die Priorisierung von bestimmten Anwendungen bei der zur Verfügung gestellten Netzwerkkapazität möglich. Das Teams- oder Zoom-Meeting ruckelt also nicht mehr, wenn der Kollege sich ein Video herunterlädt.

Das heißt, bei SD-WAN werden unter dem Strich weniger Router pro Nutzer und Datenvolumen benötigt als bei MPLS.

SD-WAN Implementierungen nehmen weiter zu, Marktschätzungen gehen von einer Vervierfachung der weltweiten Umsätze damit auf ca. 7-8 Mrd. EUR in den nächsten 5 Jahren aus.

Bei den meisten SD-WANs ist der Routing-Algorithmus aber nicht für Datensicherheit optimiert. Deshalb wird der Datenverkehr dann in den meisten Unternehmen doch über eine zentralisierte Firewall durchgeleitet. Einloggen in das Firmennetzwerk bei Nutzung des Internets (z.B. aus dem Home Office) ist normalerweise nur über VPN möglich.

Was war nochmal VPN (Virtual Private Network)? Das war doch dieses Ding auf meinem Firmenrechner.

Bei VPN wird unser Datenverkehr verschlüsselt und ein VPN-Server als Ursprung angegeben (nicht unsere eigene IP-Adresse). Damit kann unser Datenverkehr nicht mehr ohne Weiteres von außen mitgelesen oder gehackt werden, auch nicht von unserem Internet Service Provider. Bei VPN-Diensten gibt es natürlich Abstufungen der tatsächlich erreichten Sicherheitsniveaus (z.B. Kill Switches, Multifaktorauthentifizierung und Verschlüsselung von Cookies). Auch die praktische Umsetzung aus Nutzersicht kann unterschiedlich erfolgen (Client-to-Server-VPNs für viele von uns, die sich mit dem Firmenrechner einwählen, SSL-VPN vornehmlich für BYOD-Geräte, und manchmal Site-to-site-VPNs für verbundene Standorte großer Organisationen).

Bei VPN wird der Zugang zum Unternehmensnetzwerk allerdings recht digital entweder gewährt oder verweigert. Nach einer erfolgreichen Anmeldung im Netzwerk unterliegen Benutzer in der Regel keinen differenzierteren Zugriffsbeschränkungen mehr. Angreifern erlaubt dies dann sogenannte laterale Bewegungen. Auch der Status des Nutzer-Endgeräts wird von der VPN-Anwendung selbst nicht geprüft. Falls der Nutzer bzw. sein Computer oder Handy also schon kompromittiert wurde, gelangen Angreifer damit in das eigentlich sichere Firmennetz.

Bei herkömmlichem SD-WAN ist die Netzwerktechnik also separiert von Sicherheitslösungen.

Und jetzt kommt’s: SASE

SASE-Plattformen verbinden dagegen Netzwerkoptimierungs- und Sicherheitsfunktionen aus einer Hand, und dazu alles aus der Cloud.

SASE-Dienstleister bieten SD-WANs als Service aus der Cloud an, und erlauben auch die Integration von Funktionalitäten wie:

  • Secure Cloud Access für Daten und Anwendungen in der Cloud
  • Secure Web Gateways für den Zugriff auf lokale Daten und Anwendungen (normalerweise auch „virtuelle appliances“, also reine Software)
  • Firewall as a Service
  • Identitätsprüfung von Benutzern über mehrstufige Authentifizierung (MFA)
  • Mitarbeitern und anderen Nutzern individuelle Zugriffsrechte auf Dateien und Nutzungsrechte von Programmen zuzuweisen (auch kontextabhängig)

Auch SASE-Plattformen werden aller Voraussicht nach in naher Zukunft ein Milliardenmarkt für IT-Anbieter werden.

Darauf hoffen zumindest die „üblichen Verdächtigen“: Cisco, Juniper, Akamai, Checkpoint, Fortinet, Sophos, ZScaler („Security as a Service“), Cloudflare und PaloAlto. Daneben existieren aber auch zahlreiche kleinere Anbieter mit z.T. sehr leistungsfähigen Lösungen: z.B. ColorToken, CounterTack, Tempered, zenlayer oder censys, um nur einige zu nennen.

Eine beispielhafte Übersicht über SASE-Produkte:

https://www.cisco.com/c/en/us/products/security/sase.html

https://www.juniper.net/us/en/products-services/what-is/sase/

https://www.cloudflare.com/de-de/teams/sase/

Schließlich nutzen immer mehr Unternehmen Cloud-Anwendungen. Genutzte Datenmengen nehmen stetig zu und immer mehr Unternehmen nutzen Online-Transaktionen mit Geschäftspartnern.

SASE vereinheitlicht die Sicherheitsarchitektur und ermöglicht so, die Anzahl der genutzten Sicherheitsanbieter zu reduzieren. Änderungen an der Netzwerkarchitektur sollten damit ebenfalls einfacher möglich sein.

Allerdings sind nicht alle Marktbeobachter davon überzeugt, dass sich SASE-Plattformen als Konzept durchsetzen werden. Teilweise ist dies vielleicht durch Eigeninteresse begründet. Und natürlich ist auch nicht gesagt, dass einzelne Plattformen tatsächlich die heute existierende Vielzahl von spezialisierten Lösungen ersetzen können.

Wozu braucht man dann noch ZTNA?

Zero Trust Network Access (ZTNA) ist keine eigenständige Lösung oder Softwarepaket, sondern das Konzept, Zero Trust (bspw. no trust by default, mutual authentication, applikationsbasierte  Zugriffskontrolle) als Bestandteil von umfassenden SASE-Plattformen zu etablieren.

SASE mit ZTNA soll künftig Folgendes bieten:

  • Höhere Sicherheit gegen Angreifer, da nur der Zugriff zu einer Teilmenge des Unternehmensnetzwerks gewährt wird
  • Flexible Datenkapazität, je nach tatsächlichem Bedarf, und damit bessere Netzwerkperformance
  • Reduzierter Kapitalbedarf für on-premise Strukturen und Software-Lizenzen (natürlich verbunden mit höheren laufenden Ausgaben)
  • Reduzierter Wartungs- und Betreuungsaufwand
  • Effizienterer Betrieb über höhere Automatisierbarkeit von Vorgaben
  • Secure Single Sign-on, auch von BYOD Geräten (der Geräte- und Patch-Status sowie der Ort kann vor der Zuweisung von Benutzerrechten überprüft und mit Einschränkungen belegt werden)
  • Abwehr von Datendiebstahl, Cloud Phishing, Malware, Ransomware, DDoS und anderen Angriffen
  • Zugriffseinschränkungen auf Daten mittels Identitätsprüfung, und zwar unabhängig davon, ob sich Nutzer im Firmennetzwerk oder außerhalb davon befinden – und damit auch besserer Schutz gegen Insider-Angriffe
  • Prüfung des Datenverkehrs (unabhängig von Protokollen) auf Layer 7 (Content Inspection)

Wie relevant ist das für Unternehmen mit eigenen Logistikzentren und Werken?

Was bedeutet das Ganze für produzierende Unternehmen mit Betriebstechnik, industrieller Automatisierungstechnik und vernetzten Geräten bei Kunden (OT, IoT, ICS)?

Schon heute gilt: Bei Nutzung einer Cloud-Anbindung sollte die Eventualität berücksichtigt werden, dass (a) aus der Cloud Schadcode eingeschleust wird und (b) Daten in die Cloud abwandern, die dort nicht hinsollen. Eine oft empfohlene Option ist daher, den lokalen Server zur Cloud-Kommunikation in eine separierte DMZ zu stellen, die durch Firewalls geschützt wird. Jeglicher Datenverkehr von der Cloud sollte auf diesem Server terminieren. Und gleichzeitig sollte dieser Server nur mit ausgewählten Produktionsteuerungen (Level 0-2 im Purdue-Modell) kommunizieren können (ggf. sogar über VPN-Tunnel). Die Cloud-DMZ sollte getrennt von den anderen DMZ (DMZ zwischen Firmennetz und OT-Netz, DMZ für Fernzugriffe) aufgebaut sein.

Der Trend geht sicher auch im OT- und IoT-Umfeld immer mehr in Richtung Cloud. Damit werden SASE-Plattformen mit ZTNA früher oder später auch bei den Betreibern von OT und IoT-Geräten häufig eingesetzt werden (bei vernetzten Geräten und Anlagen wahrscheinlich noch früher, da hier typischerweise große Datenmengen gesammelt und verarbeitet werden). Eventuell werden weitere Lösungen wie Datendioden zum Einsatz kommen.

Da die Implementierung von VPN auch tatsächlich oft mit Sicherheitslücken verbunden ist (insbesondere im OT-Umfeld), ist durch SASE/ZTNA durchaus eine Steigerung des reinen Sicherheitsniveaus denkbar.

Herausforderungen im industriellen Umfeld bleiben:

  • die Echtzeitanforderungen
  • eingeschränkte Möglichkeiten zum Patchen
  • unsichere Protokolle und Geräte auf Feldebene („insecure by design“) ohne Möglichkeit zur Verschlüsselung oder Nutzerauthentifizierung
Disclaimer

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Sie denken über die Nutzung von SASE und ZTNA in Ihrem Netzwerk nach? CyberCompare hat geprüfte Anbieter im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote. Sprechen Sie uns an (Mail an uns)

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.