Perimetersicherheit für Multi-Cloud-Umgebungen

Die hybride Cloud wird derzeit zur Leitinfrastruktur für Unternehmen. Viele Unternehmen haben heute bereits ein privates (Cloud-)Rechenzentrum und nutzen zusätzlich Public-Cloud-Services. Professionelle Anwender verlieren zunehmend ihre Sicherheitsbedenken gegen Cloud-Technologien. So erwarten nach Daten des Marktforschungsunternehmens ESG inzwischen 66 Prozent der Organisationen, dass mehr als ein Drittel der Daten, die sie dann in der Cloud halten werden, sicherheitsrelevant sein dürften. Mittelfristig dürfte sich die Multicloud mit Private und unterschiedlichen Public-Cloud-Services von unterschiedlichen Providern durchsetzen.

Der zweite wichtige Trend ist der zur Mobilität: Die Nutzung des Smartphones gilt heute als selbstverständlich, Mitarbeiter können ihre Aufgaben nahezu von überall erledigen. Doch das bringt neue Risiken mit sich. So sagen 53 Prozent der Teilnehmer an der oben erwähnten Studie, dass sie Sicherheitspatches auf ihren mobilen Geräten erst nach einer Woche installieren. Das steigert die Angriffsfläche des Unternehmens.

Zudem verändert sich auch die unternehmensinterne IT. Anwendungen, die aus der Cloud zurück ins eigene Unternehmen geholt werden, landen zu 45 Prozent auf konvergenter Infrastruktur.

Zero Trust als Grundregel

Deshalb muss Sicherheit, insbesondere Perimetersicherheit, neu gedacht werden. Das VPN (Virtual Private Network), bisher das Sicherheits-Maß der Dinge hinsichtlich der Übertragung von Daten und des Ressourcen- oder Applikationszugriffs, reicht nicht mehr. Denn Anwender wollen auf Applikationen von überall her und jederzeit schnell zugreifen. Authentisierungsverfahren zum Zugriff auf zunehmend heterogene Ressourcen und Endgeräte über die unterschiedlichsten Verbindungen sollen einheitlich und unkompliziert sein – auch dann, wenn Endgeräte ihren Standort ständig ändern. Der ehemals relativ klar definierten Netzwerkrand, den man vor Eindringlingen so gut wie möglich schützte, löst sich zugunsten fließender Grenzen auf.

Daher ist es Zeit für Zero Trust, was bedeutet, grundsätzlich zu kontrollieren statt zu vertrauen. IT-Arbeitsplätze, auch die mobilen, Endgeräte aller Art einschließlich IoT (Internet der Dinge)-Systeme, Netze, Cloud und Applikationen, egal, wo sie laufen, müssen ununterbrochen gesichert werden. Sicherheitslösungen sollten Funktionen wie das Management mobiler Endgeräte (MDM) und der IoT-Systeme, Single Sign On, Netzwerkzugriffskontrolle sowie die virtuelle Steuerung der Applikationen (ADC) integrieren Das senkt die Tool-Vielfalt. Darüber sollte eine einheitliche, möglichst einfach handhabbare Oberfläche liegen.

Sichere Verbindungen mit entsprechenden Zugriffsrechten sollte es ausschließlich zwischen einem bestimmten Nutzer, einem bestimmten Endgerät und einer bestimmten Applikation geben. Und dies nur nach vorheriger Authentisierung und in Übereinstimmung mit den bestehenden Zugriffsregeln. Dabei sollten Anwender oder Endgerät, bevor sie sich nicht authentisiert haben, die fraglichen Ressourcen am besten gar nicht sehen. Das reduziert die Angriffsfläche des Unternehmens erheblich.

Die SDP-Spezifikation der CSA

Software Defined Perimeter (SDP), eine Spezifikation der Cloud Security Alliance (CSA), ist heute der Maßstab für eine zukunftsgerechte Perimetersicherheit. Diese Spezifikation stellt drei grundlegende Anforderungen an entsprechende Sicherheitsapplikationen:

• Erstens muss der sichere Direktzugriff zwischen der zugreifenden Entität und der App oder Ressource ermöglicht werden, und zwar infrastrukturneutral und sicher von Ende zu Ende.
• Zweitens sollten sowohl die zugreifende Entität, handele es sich nun um einen menschlichen Anwender oder eine Ressource, beispielsweise ein IoT-System, als auch die Ressource, auf die zugegriffen wird, authentisiert werden.
• Drittens sollten Steuerungs- und Datenebene (Control- und Dataplane) getrennt sein.

So lässt sich eine bestehende Verbindung auf ihrer ganzen Länge und während ihrer gesamten Existenz von der Kontrollebene aus überwachen. Gleichzeitig ist die Datenebene einfach, da unabhängig von der Control-Ebene, skalierbar. Clients können sich mit SDP-Technologie nur für solche Apps oder Ressourcen authentisieren, für die sie auch zum Zugriff berechtigt sind. Da die Ressource selbst sich ebenfalls authentisieren muss, werden auch Fallen durch unbefugt eingebrachte Fake-Ressourcen (Honeypots) zum Zweck des Datensammelns unterbunden.

Komplett SDP-konforme Umsetzung: Pulse SDP

Derzeit implementieren nur wenige Produkte diese Merkmale. Ein Beispiel für ein Produkt, das die SDP-Spezifikation vollständig erfüllt, ist Pulse SDP, Diese funktionale Erweiterung der Pulse Secure Access Suite wird Nutzern der Access Suite, die sich bis zum 30. Juni für Pulse SDP entscheiden, kostenlos zur Verfügung gestellt.

Neben den Funktionen von SDP profitieren Anwender dabei gleichzeitig von den Vorteilen der bisherigen VPN-Technologie. Sie bekommen also zwei Sicherheitsvarianten in einer Lösung aus einem Guß: VPN und SDP. In beiden Fällen kann die Infrastruktur Public und Private Clouds sowie konventionelle Rechenzentren einschließen.

Die umfassenden, multifaktoriellen Authentisierungs- und Autorisierungsmöglichkeiten von Pulse SDP stellen sicher, dass nur Befugte auf Applikationen oder andere Ressourcen zugreifen. Ein infrastrukturweit einheitliches Regelmanagement sorgt dafür, dass sämtliche sicheren Verbindungen die gleichen Kriterien erfüllen. Das reduziert Konfigurationsfehler. Dabei lassen sich die Zugriffsregeln fein granulieren, so dass sie differenzierten Anforderungen aus den Fachbereichen und bezüglich der Compliance gerecht werden.

Die Lösung besteht aus drei Elementen. Der Orchestrator und Controller Pulse One kreiert aus dem Hintergrund Controller- und Gateway-Instanzen. Er steuert zentral Regeldurchsetzung und Regelverteilung und übernimmt die Authentisierung von Nutzern. Diese wird dann entsprechend der nachgefragten Ressource an das passende Gateway weitergeleitet. Das Gateway Pulse Connect Secure erfüllt als einzige Komponente Ressourcenanfragen, unabhängig davon, ob die Ressourcen physisch, virtuell oder in der AWS- oder Azure-Cloud vorgehalten werden. Der Pulse SDP Client wird auf dem Endgerät des Anwenders gespeichert und realisiert den sicheren geschützten Zugriff auf Applikationen unabhängig von ihrer Lokalisierung.

Mehr Sicherheit bei einfacherer Nutzung

Trotz gestiegener Sicherheit verbessert sich durch Pulse SDP das Nutzungserlebnis. Denn die Lösung ermöglicht den einheitlich realisierten Zugriff auf Web-Portale, Applikationen, Captive-Portale und andere Umgebungen.

Nicht zuletzt sinken durch Pulse SDP auch die Gesamtkosten, denn bei gemeinsamem Einsatz mit der Pulse Secure Access-Plattform integriert sich Pulse SDP nahtlos in die bestehende Infrastruktur. Weitere Lösungen mit zu Pulse redundanten Funktionen können außer Dienst gestellt werden. Das senkt Lizenz-, Schulungs- und Wartungskosten, vereinfacht das gesamte Sicherheitsmanagement und gestaltet es übersichtlicher.

Damit haben Angreifer weit geringere Chancen, ihre maliziösen Absichten in die Tat umzusetzen. Die eingesparten Mittel lassen sich einsetzen, um das Kerngeschäft durch entsprechende IT-Prozesse noch besser zu unterstützen.