Sichere & effiziente IT-Strategien für die Digital Company
Die IT-Verantwortlichen in einem modernen Unternehmen sehen sich mit Anforderungen konfrontiert, die sich am besten mit Hilfe einer hybriden IT-Architektur erfüllen lassen: Sie sollte die Inhaus-Rechenzentren mit den attraktiven Multi-Cloud-Umgebungen kombinieren können. Zudem geht es um die Anbindung von Zweigstellen und Home Offices – um die Business Continuity auch in Krisensituationen sicherzustellen. Zusätzlich ist auch noch der Aspekt einer intelligenten Peripherie zu berücksichtigen, die vom Internet der Dinge vorgegeben wird.
Obendrein müssen die IT-Experten vielfältige Aspekte im Blick haben:
- Virtualisierung der IT-Ressourcen
- Hybridisierung der IT-Infrastruktur
- Disaggregation, also Auflösung von starren, proprietären Komponenten einzelner Hersteller
- Standardisierung von Infrastruktur-Komponenten
- Konsolidierung von IT-Ressourcen in kompakte, hyperkonvergente Komplettsysteme
- Einfachere Management von IT-Ressourcen
Themen im Überblick
Voraussetzungen für ein ausfallsicheres Unternehmensnetzwerk
Moderne Unternehmen setzen auf eine hybride IT-Architektur. Sie sollte sich sowohl für die Rechenzentren von heute, als auch für die attraktiven Multi-Cloud-Umgebungen eignen. Zudem geht es um die Anbindung von Zweigstellen und Home Offices – um die Business Continuity auch in Krisensituationen sicherzustellen. Dazu ist auch noch der Aspekt einer intelligenten Peripherie zu berücksichtigen, die vom Internet der Dinge vorgegeben wird. Die generellen IT-Trends, die den Weg dorthin bestimmen, sind vor allem:
- Die Virtualisierung und damit die Flexibilisierung aller IT-Ressourcen, wie Rechenpower, Speicherkapazität oder Connectivity;
- die Hybridisierung der IT-Infrastruktur in eine nach außen hin abgesicherte Kombination aus Vor-Ort- und Cloud-Ressourcen;
- die Disaggregation, also Auflösung von starren, proprietären Komponenten einzelner Hersteller in kleinere Bestandteile, die flexibler ausgetauscht werden können;
- die Standardisierung von Infrastruktur-Komponenten (Hardware und Software), damit eine Disaggregation überhaupt möglich wird;
- die Konsolidierung von IT-Ressourcen in kompakte, hyperkonvergente Komplettsysteme, die eine einfache Bereitstellung und Verwaltung lokaler Ressourcen ermöglichen;
- das einfachere Management von IT-Ressourcen, Netzwerken und Anwendungen.
Transformation der Netzwerke im vollen Gang
Unternehmen in Deutschland, Österreich und der Schweiz gehen aktuell dazu über, ihre Netzwerke zu transformieren. Damit stellen sie die Weichen, um ihre digitalen Strategien weiter zu entwickeln. Im digitalen Zeitalter, mit der Cloud als zentralem IT-Bereitstellungsmodell, benötigen sie auch ein agiles Netzwerk, das Änderungen schnell abbilden, Anwendungen nach Bedarf priorisieren, Clouds integrieren und zentral überwachen kann.

Die Modernisierung des Netzwerks ist somit eine der wichtigsten Prioritäten für die Cloud-Migration. Konventionelle Wide Area Networks, die auf reiner MPLS-Technologie (Multi-Protocol Label Switching) basieren, sind nicht optimal ausgelegt für die Unterstützung von Digital Transformation und Cloud Computing. Daher besteht die Gefahr, dass die Netze den Digitalisierungserfolg mindern oder ausbremsen könnten.
Software-Defined Networking bringt Flexibilität
Netzwerk-Virtualisierung und Software-gesteuertes Networking (SDN, Software-Defined Networking) prägen heutige Unternehmensnetzwerke. Um die Arbeiten an diesen flexiblen Infrastrukturen möglichst effizient zu gestalten, kommt die Netzwerk-Automatisierung ins Spiel. Doch sie leidet derzeit noch an einem Vertrauensdefizit, und man wird niemals Komponenten vollständig in die Arbeitsabläufe integrieren können, wenn man diese „mikromanagen“ muss, sprich wenn die Network Automation nicht alles in allem abdecken kann.

Automatisierung löst nicht alle Probleme
Technikexperten können beim Thema Automatisierung verständlicherweise eine gewisse Skepsis an den Tag legen. Netzwerk-Admins – sprich die Personen, denen Fehler oder Ausfälle häufig angelastet werden – sind dabei nicht so sehr besorgt, dass die Automatisierung in Form von SDN sie den Job kosten kann. Es treibt sie eher um, dass die Automatisierung nicht genauso verlässlich ist wie sie selbst.
Kommt es nämlich bei der Automatisierung zu Problemen, müssen die Admins dafür geradestehen und unter Stress auf die Fehlersuche bei neuen Technologien gehen. Automatisierte Systeme nehmen Änderungen schneller und in größerem Umfang vor, so dass die Transparenz von entscheidender Bedeutung ist: Wesentlich mehr Komponenten müssen auf Fehler untersucht werden, als es bei manuell kontrollierten Systemen erforderlich ist. Letztendlich kommt es darauf an, effizienter zu arbeiten, sicherzustellen, dass das Sicherheitskonzept auf Unternehmensrichtlinien abgestimmt ist, und Änderungen unermüdlich voranzutreiben.
Die Multi-Cloud und ihre Vorteile
Einfach ausgedrückt, steht der Begriff Multi-Cloud für die Nutzung von mehr als einem Public Cloud-Anbieter. Es gibt mehrere Gründe, warum dieser Ansatz immer beliebter wird: etwa erhöhte Ausfallsicherheit, die Fähigkeit, Kosten besser zu managen und die Tatsache, dass verschiedene Clouds für bestimmte Anwendungen besser geeignet sind.
Dass sich der Einsatz einer Multi-Cloud-Struktur positiv auf ein Unternehmen auswirkt, wird vor allem aus Sicht des Kostenmanagements deutlich. In der Cloud-Welt gibt es Preiskriege, Preisüberprüfungen und -senkungen finden ständig statt, und daher ist es sinnvoll, nicht nur in einem „Geschäft“ einzukaufen. Um dies jedoch effektiv zu erreichen, bedarf es eines vielschichtigen Fachwissens.
Verwaltungs-Tools für die Clouds
Unternehmen sollten mehrere Clouds verwenden, wenn das Kostenmanagement ein Hauptaugenmerk ist und es ihnen um Verfügbarkeit geht. Voraussetzung ist, dass sie eine Cloud Data Management-Lösung im Einsatz haben, die es ihnen ermöglicht, ihre Daten einfach zwischen den Clouds zu verschieben. Die Nutzung mehrerer Clouds sollte hingegen vermieden werden, wenn Unternehmen über herkömmliche Datenmanagement-Tools verfügen und daher ihre Daten nicht mit der gebotenen High-Level-Effizienz verwalten können.
Bei der Organisation mehrerer Clouds sind Orchestrierungs-Tools sinnvoll, um den Einsatz vieler verschiedener Management-Tools zu vermeiden. Natürlich ist auch die API-Integration (Application Programming Interface) entscheidend.
Ebenso sollte Cloud Data Management eingesetzt werden, um zu vermeiden, dass Daten an einen einzigen Anbieter gebunden werden. Es sind allerdings beim Einsatz eines Multi-Cloud-Modells auch einige Nachteile zu verzeichnen: So kann es in der Realität komplizierter sein, Anwendungen zwischen Clouds zu verschieben. Es ist auch schwieriger, die Kosten zu messen, es sei denn, es steht ein zentrales Tool bereit, um die Kosten im Auge zu behalten.
Orchestrierung als Konsequenz
Unternehmen können die Herausforderungen der Datenbindung an einen Anbieter mindern, indem sie ebenfalls mit Hilfe einer Cloud Data Management-Lösung die Daten von der Infrastruktur entkoppeln. Dies ermöglicht die Orchestrierung zwischen den Clouds und sogar zurück zum traditionellen Rechenzentrum des Unternehmens.
Es ist wahrscheinlich, dass künftig Cloud Broker eingesetzt werden, die sich um das Management der Multi-Cloud kümmern werden. So können Unternehmen eine bestimmte Menge an Rechenleistung oder Speicherplatz anfordern, und der Cloud Broker wird den Standort und die Kosten für sie verwalten. Für diejenigen, die die Multi-Cloud nutzen wollen, sollte es einfacher werden.
Management Summary: Das variable Netzwerk
Basics der Standortanbindung
Wenn es um die Anbindung von Zweigstellen an die Unternehmenszentrale geht, können unterschiedliche Technologien und Strategien verfolgt werden. Aber welche Methode ist für welche Unternehmen am besten geeignet – das lässt sich erst nach einer genauen Analyse der Umgebungsparameter und der Vorgaben im Unternehmen herausfinden. Generell stehen die Forderungen nach Redundanz und somit nach der Ausfallsicherheit der Verbindungen im Vordergrund.
Es gibt drei unterschiedliche Typen von Netzwerk-Verbindungen, die sich für ein zeitgemäßes Anbinden von Zweigstellen und Home Offices anbieten. Erstens ist es möglich, eine direkte Verbindung (WAN) über einen Provider zur Zweigstelle zu beziehen. Dieses Vorgehen war in der Vergangenheit sehr verbreitet. Aktuell nehmen die meisten Unternehmen von diesen WAN-Connections Abstand. Allerdings kommen diese Verbindungen noch vor, wenn die Entfernung von der Zweigstelle zur Zentrale eher gering ist.

Zum Zweiten setzten viele Unternehmen auf sogenannte MPLS-Anbindungen (Multi-Protocol Label Switching), und „überlassen“ es einem bestimmten Provider, Verbindungen von einer oder mehreren Zweigstellen zur Zentrale herzustellen. Der Vorteil liegt hierbei auf der Hand: Man muss sich nicht weiter um die dahinter liegende Übertragungstechnologie kümmern. Allerdings ist die zur Verfügung gestellte Bandbreite in Relation zu den Kosten ein limitierender Faktor. Bereits eine kleinere Leitung mit 2 MBit/s ist relativ teuer, Bandbreiten von etwa 10 MBit/s schlagen hier schon massiv zu Buche.
Als dritte Option lassen sich günstige Internet-Leitungen, abgesichert über entsprechende VPN (Virtual Private Network), einsetzen. Diese Technologie kommt üblicherweise bei der Anbindung von kleinen Zweigstellen und bei der Einbindung von Home Offices in das Unternehmensnetzwerk zum Einsatz.
Mittels VPN legen Administratoren über den öffentlichen Internet-Zugang verschlüsselte Tunnel an. Darüber tauschen dann die einzelnen Niederlassungen der Unternehmen und die Heimarbeitsplätze ihre Datenpakete aus. Die VPN-Methode gilt als erprobt und relativ sicher. Nachteilig ist, dass die Konfiguration und Administration solcher Lösungen meist etwas umfangreicher ausfallen.
Technologie-Mix ist möglich
Die generellen Voraussetzungen im Netzwerk-Bereich, um die Zweigstellen oder Home Offices anzubinden, liegen nicht sonderlich hoch: Generell ist eine Telekommunikationsleitung erforderlich, also beispielsweise eine klassische Telefonleitung, ein (V)-DSL-Anschluss, Kabelnetzwerke oder MPLS-Leitungen bzw. auch Mobilfunk-Anbindungen wie LTE (Long Term Evolution). Die einzelnen Anbindungen unterscheiden sich in der zur Verfügung gestellten Bandbreite und Latenz.
Zudem können weitere Restriktionen vorliegen, etwa wenn man sich die Mobilfunk-Anbindungen wie UMTS (Universal Mobile Telecommunications System) oder LTE ansieht. Ist doch bei LTE meist eine Volumenbegrenzung vertraglich vereinbart, beispielsweise 10 GByte pro Monat oder ähnliche Download-Volumina. Bei der Latenz muss allerdings noch angemerkt werden, dass beinahe alle Technologien inzwischen mit Antwortzeiten von um die 10 Millisekunden glänzen können. Dies ist für die meisten Anbindungen mehr als ausreichend.
SD-WAN als Alternative
Eine interessante Alternative zu MPLS stellen heutzutage die Software-definierten Weitverkehrsnetze – SD-WANs – dar. Sie versprechen eine Reihe von Vorteilen: Geringere Kosten, erhöhte Benutzerfreundlichkeit und eine bessere Konnektivität zur Cloud gehören dazu.
Besonders sinnvoll erweist sich diese Art der Anbindung für Zweigstellen, da sie nicht nur die Kosten für die Bandbreite erheblich senken, sondern auch den IT- und Sicherheitsteams eine größere Transparenz und Kontrolle ermöglichen.
SD-WAN verbessert die Benutzererfahrung

Im Gegensatz zu MPLS-Verbindungen benötigen SD-WANs keine eigene direkte Anbindung an ein Rechenzentrum: Zweigstellen oder auch Home Offices sind so leichter an das Internet anzuschließen. Dies führt zu einer besseren Performance, niedrigeren Latenzzeiten und einer leistungsfähigeren Konnektivität.
Außerdem verringert sich der Zeit- und Arbeitsaufwand für die Einrichtung und Verwaltung von Zweigstellen, sodass die Benutzer schneller auf die Anwendungen zugreifen können. Da immer mehr Unternehmen Big Data-Analytik, maschinelles Lernen und Künstliche Intelligenz (KI) einsetzen, erleichtert SD-WAN die Bereitstellung von Intelligenz für Zweigstellen, da die Daten näher am Netzwerkrand liegen.
Dabei zeigt sich die Technik des SD-WAN an sich schon als eine ausfallsichere Anbindung – ermöglicht sie doch Unternehmen die Nutzung einer Vielzahl von Transportdiensten, einschließlich MPLS, VPN und LTE, unter Verwendung von Routing-Richtlinien. Dies bedeutet, dass IT- und Netzwerk-Teams die Geräte nicht neu konfigurieren müssen.
SD-WAN-Hub erlaubt zentrale Steuerung
Zudem nutzt SD-WAN die Automatisierung zur Vereinfachung der Cloud-Konnektivität und bietet gleichzeitig eine zentrale Steuerung über einen skalierbaren SD-WAN-Hub. Dies erleichtert das Einbinden neuer Benutzer und Remote-Büros. Außerdem können Unternehmen mit der richtigen Lösung SD-WAN in ihrem eigenen Tempo hinzufügen. Hierbei lässt sich eine beliebige Kombination aus Cloud- und lokalen Bereitstellungsmodellen nutzen, so dass nichts von dem entfernt und ersetzt werden muss, was bereits vorhanden ist.
Einer der wichtigsten Gründe für die Attraktivität von SD-WAN ist, dass es erhebliche Verbesserungen der Cyber-Sicherheit ermöglicht sowie die Abläufe vereinfacht. Mit SD-WAN können IT- und Sicherheitsteams ganzheitliche Transparenz und Kontrolle über die Konnektivität gewinnen, vorausgesetzt, sie verwenden die richtigen Lösungen. In der Vergangenheit war Connectivity die treibende Kraft hinter SD-WAN; in Zukunft wird die Sicherheit die größte dynamisierende Wirkung haben.
Dies bedeutet, dass Lösungen wie eine Zero Trust-Architektur und native Sicherheit verwendet werden müssen. Hierbei kommt ein zentraler Management-Hub zum Einsatz, der Konnektivität und Sicherheit für eine ganzheitliche Sichtweise kombiniert. IT- und Sicherheitsteams können Zweigstellen vor allen Arten von Angriffen schützen, indem sie reichhaltige Sicherheitsdaten, Automatisierung, Bedrohungsanalyse und maschinelles Lernen nutzen.
Anforderungen an die Internetanbindung
Um ein Home Office oder eine kleinere Zweigstelle über das Internet an das Unternehmensnetzwerk anzuschließen, reichen meistens sogar Einstiegsmodelle oder sogar Consumer-Geräte aus. Bei größeren Firmen bedarf es meist teurerer Modelle, um zum Beispiel Leitungsbündelungen vorzunehmen. Im Gegensatz zu den Consumer-Geräten sind die hochwertigeren Business-Router meist in der Lage, drei oder mehrere Leitungen gleichzeitig zu nutzen.
Dabei achten die Systembetreuer in den mittleren und großen Unternehmen auch darauf, dass diese Router redundant verfügbar sind – schließlich stellt ein einziger Zugangspunkt zum Internet einen „Single-Point-of-Failure“ dar. Dabei gilt es auch zu differenzieren, in welcher Form der eingesetzte Router die unterschiedlichen Leitungen ansteuern kann. Ist das System nur in der Lage, jeweils eine Leitung für den Internet-Zugang bereitzustellen und die zweite oder dritte Leitung als „Notreserve“ für einen Ausfall, oder kann der Netzwerk-Traffic auf alle verfügbaren Leitungen aufgeteilt werden, um die Übertragungsgeschwindigkeit zu erhöhen? Hier müssen die Unternehmen die entsprechende Infrastruktur und die passenden Geräte aufeinander abstimmen.
Sicherheit der Daten bei der Übertragung
Ein ganz wichtiger Punkt ist die Frage nach der Sicherheit der Daten und der Datenverschlüsselung. Bei MPLS ist es beispielsweise so, dass die Daten unverschlüsselt zum Provider (und danach zur Gegenstelle) transportiert werden. Inzwischen gehört es zum Stand der Technik, dass Verschlüsselung eingesetzt wird, wenn es um die Anbindung von Zweigstellen an die Unternehmen geht. Schließlich muss man davon ausgehen, dass alles außerhalb des eigenen Netzwerkes als nicht vertrauenswürdig einzustufen ist.
Teilweise könnte man sogar so weit gehen, dass man selbst im internen Netzwerk nichts als vertrauenswürdig einstuft. Daher sollte jegliche Kommunikation verschlüsselt sein, besonders wenn es um die Anbringung von Zweigstellen geht. Dafür gibt es unterschiedliche Spielarten. Im Prinzip ist dabei ein VPN das Mittel der Wahl – ob nun Daten von Kassensystemen ausgetauscht werden sollen oder VoIP über eine MPLS-Leitung mit einer zentralen Telefonanlage zu übertragen ist.
Anbindung von Mobilgeräten

Sicherheit als Kernanforderung dynamischer Netzwerke
Mitarbeiter in Home Office – und die IT-Sicherheit steht auf dem Prüfstand. Es stellt sich dabei vor allem die Frage: Welche Maßnahmen sind zu treffen, wenn ein Unternehmen fast alle seine Mitarbeiter ins Home Office schickt? Damit sehen sich nicht nur die Chefs, sondern auch die IT-Mannschaften konfrontiert, denn die Compliance-Vorgaben in Bezug auf Datenschutz und Datensicherheit sind auch „im Home Office“ gültig.
Bei der Entscheidung, einen Großteil der Mitarbeiter nach Hause zu schicken, müssen Unternehmen zuvor die betrieblichen Risiken durchdenken und passende Maßnahmen ergreifen. Sie sollten sich fragen, ob sie in der Lage sind, eine große Anzahl von gleichzeitigen VPN-Verbindungen zu ihrer Infrastruktur und ihren Diensten zu unterstützen.
Korrektes Sizing sichert die Skalierbarkeit
Hierbei sind unbedingt die Sizing-Vorgaben der verschiedenen Übertragungskomponenten – wie Router, Application Delivery Controller (ADC) und Firewalls – zu berücksichtigen. Unter Umständen muss hier schnell nachgebessert werden. Sollte dies nicht möglich sein, ist das an sich kein Sicherheitsrisiko, jedoch kann es zu erheblichen Unterbrechungen der Arbeitsabläufe führen und möglicherweise eine bereits am Limit befindliche IT-Abteilung zusätzlich belasten.
Es besteht das Risiko, dass Zugriffs-, Autorisierungs– und Authentifizierungsrichtlinien nicht ordnungsgemäß umgesetzt wurden. Das kann dazu führen, dass Mitarbeiter auf Ressourcen zugreifen, die sie nicht benötigen. Um die Gefahr eines nicht genehmigten Fernzugriffs auf die Infrastruktur zu minimieren, sollten IT- und Sicherheitsteams deutlich machen, welche VPN-Clients, Dienste und Anwendungen von der Organisation unterstützt werden. Jeder Versuch, mit nicht genehmigten Tools auf die interne Infrastruktur zuzugreifen, sollte als potenzielles Netzwerk-Sicherheitsrisiko behandelt und sofort blockiert werden.
Da einige Organisationen strenge IT-Richtlinien für die zentrale Verwaltung und Bereitstellung von Software- und Sicherheits-Updates an Endpunkten haben, empfiehlt es sich, schrittweise Verfahren für die Bereitstellung von Updates zu entwickeln. Die gleichzeitige Bereitstellung aller Updates an Mitarbeiter mit VPN-Verbindung kann zu Bandbreitenüberlastungen führen und den ein- und ausgehenden Datenverkehr beeinträchtigen. Nicht zuletzt sollte auch die Aktivierung der Festplattenverschlüsselung für alle Endpunkte eine Priorität sein. Sie minimiert das Risiko, dass auf sensible Daten zugegriffen wird oder diese aufgrund von Gerätediebstahl kompromittiert werden.
Bewertung der vorhandenen Infrastruktur
Bevor die Entscheidung getroffen wird, die Mitarbeiter ins Home Office zu senden, sollten die IT- und Sicherheitsteams ihre aktuellen Ressourcen bewerten, evaluieren, welche Auslastung sie für das remote-optimale Arbeiten unterstützen müssen, und die Risiken dabei abschätzen. In diesem Zusammenhang der erneute Hinweis: Der starke Anstieg gleichzeitiger VPN-Verbindungen sollte bei diesen Betrachtungen an erster Stelle stehen.
Die Einrichtung und Unterstützung von Konferenz-Software, die sowohl eine stabile Sprach- als auch Videoverbindung gewährleistet, sollte ebenso eine hohe Priorität bekommen, da die meisten Besprechungen virtuell stattfinden werden. Es muss auch sichergestellt sein, dass alle Mitarbeiter über gültige Anmeldedaten verfügen, die nicht innerhalb von weniger als 30 Tagen ablaufen.
Verzeichnisdienste haben zentrale Rolle
Eine Änderung abgelaufener Active Directory-Anmeldedaten kann bei Remote-Konferenzen schwierig sein. Auch den Fall, dass zahlreiche Mitarbeiter ihre Passwörter vor dem Verlassen des Büros ändern müssen, sollten Unternehmen am besten proaktiv angehen.
Das Versenden von Regeln und Richtlinien bezüglich akzeptierter Anwendungen und kollaborativer Plattformen ist ebenfalls ein Muss. Stringente Kommunikation ist hier Pflicht, da die Mitarbeiter darüber aufgeklärt werden müssen, was sanktioniert wird und was nicht. In Kombination mit dem Einsatz von Netzwerk-Sicherheits-, Überwachungs- und Protokollierungs-Tools können IT- und Sicherheitsteams benachrichtigt werden, wenn nicht vertrauenswürdige Verbindungen oder nicht autorisierte Anwendungen entdeckt werden, um diese schnell und rechtzeitig zu blockieren.
Security-Outsourcing als Alternative
Für kleine und mittlere Unternehmen mit bis circa 500 Endpunkten kann das Outsourcing der IT-Sicherheit eine gute Lösung sein. Sie erhalten so das Know-how, die passenden Tools und die Expertise, um alle Maßnahmen für die Heimarbeit schnell in Gang zu bringen. Interne IT- und Sicherheitsteams sind häufig bereits überlastet, und die Auslagerung kann Zeit sparen und die Effektivität erhöhen.

Quelle: Citrix
Es gibt auch MDR-Dienste (Managed Detection and Response), die bei der Bedrohungsabwehr helfen können – insbesondere bei den Szenarien, bei denen die Infrastruktur im Home Office anfälliger für Angriffe von außen ist. Diese qualifizierten Cyber-Sicherheitsteams können dabei helfen, Sicherheitsstrategien zu entwickeln und die richtigen Tools zur Bedrohungssuche einzusetzen, die jedes potenzielle Anzeichen einer Datenverletzung erkennen. Unternehmen bekommen durch das Outsourcing Zugang zu den besten Sicherheitsexperten und halten gleichzeitig die Betriebskosten niedrig. Das bedeutet, dass sie zu einem Bruchteil der Kosten die gleichen Vorteile genießen können wie große Organisationen, die intern finanzierte SOCs (Security Operation Centers) haben.
Zero-Trust-Architektur garantiert hohe Sicherheit
Das National Institute for Standards and Technology (NIST) hat den Entwurf einer Zero Trust-Architektur (NIST SP 800-207), kurz ZTA, vorgestellt. Laut NIST kann kein Unternehmen das Cyber-Sicherheitsrisiko vollständig eliminieren. Ergänzt durch bestehende Cyber-Sicherheitsrichtlinien und -verfahren, Identitäts- und Zugriffsmanagement, kontinuierliche Überwachung und allgemeine Cyber-Hygiene kann eine ZTA die Gesamtrisiko-Exposition reduzieren und Schutz vor gängigen Bedrohungen bieten. Dabei besitzt Machine Learning (ML) ein großes Problemlösungs-Potential.
Die Veröffentlichung des NIST zur Zero Trust-Architektur wird von Security-Experten begrüßt, zumal diese inhaltlich eng mit dem übereinstimmt, was bislang bereits über die Bedeutung der Netzwerk-Sichtbarkeit für die Stärkung einer Zero Trust-Architektur diskutiert wurde. Während dieses fast 50-seitige Dokument mehrere Bereitstellungsmodelle und Anwendungsfälle abdeckt, gibt es zwei Kernpunkte der ZTA: die Entschlüsselung, die keine Priorität sein sollte, und den Blick über die Hosts hinaus.
Überwachungsmöglichkeiten sind eingeschränkt
Moderne Unternehmensnetzwerke unterliegen großen und schnellen Veränderungen, die sowohl auf immer mehr mobile und entfernte Arbeitskräfte, als auch auf den schnellen Ausbau von Cloud-Diensten zurückzuführen sind. Darüber hinaus verlassen sich Unternehmen zunehmend auf nicht unternehmenseigene Systeme und Anwendungen. Diese Ressourcen von Drittanbietern sind oft resistent gegen passive Überwachung. Das bedeutet, dass die Untersuchung von verschlüsseltem Datenverkehr und Deep Packet Inspection (DPI) in den meisten Fällen nicht möglich ist.
Infolgedessen werden herkömmliche Netzwerkanalyse-Tools, die auf Transparenz an Endpunkten von lokalen Netzwerken wie Intrusion Detection Systems (IDS) angewiesen sind, schnell obsolet. Aber wie das NIST anmerkt: „Das bedeutet nicht, dass das Unternehmen nicht in der Lage ist, verschlüsselten Datenverkehr zu analysieren, den es im Netzwerk sieht. Es kann Metadaten über den verschlüsselten Datenverkehr sammeln und diese verwenden, um mögliche Malware zu erkennen, die im Netzwerk oder bei einem aktiven Angreifer kommuniziert. Techniken des maschinellen Lernens können verwendet werden, um Traffic zu analysieren, der nicht entschlüsselt und untersucht werden kann“.
Transparenz steht im Vordergrund
Allerdings müssen sich Unternehmen nicht auf die Entschlüsselung verlassen, um Bedrohungen zu erkennen. Im Wesentlichen geht es um diese Kernpunkte:
- Unternehmen gewinnen nichts, wenn Sie Pakete entschlüsseln. Alle Informationen, die zur Erkennung von Bedrohungen benötigt werden, können aus dem Datenverkehr und den Metadaten selbst ermittelt werden.
- Es wird schwieriger sein, den Datenverkehr zu entschlüsseln.
- Key Pinning (HPKP) wird die Inspektion des Datenverkehrs per Design erschweren.
- Potentiell bedrohte Unternehmen werden nie in der Lage sein, den Datenverkehr von Angreifern zu entschlüsseln. Angreifer werden ihre Schlüssel sowieso nicht benutzen.
Stattdessen erfordert eine erfolgreiche Implementierung einer ZTA eine moderne Network Detection and Response (NDR)-Lösung, die Metadaten über verschlüsselten Datenverkehr sammeln und maschinelles Lernen nutzen kann, um bösartige Kommunikation von Malware oder Angreifern im Netzwerk zu erkennen.
Überblick über das gesamte Benutzer- und Systemverhalten
Ein wesentlicher Bestandteil der Zero Trust-Architektur ist es, die Nutzung von Privilegien im Netzwerk zu überwachen und den Zugriff auf der Grundlage von Verhaltensweisen kontinuierlich zu kontrollieren. Diese „Continuous Diagnostics and Mitigation“ (CDM) geht über die bloße Beobachtung von Hosts hinaus und versucht, auf folgende Fragen passende Antworten zu liefern:
- Welche Geräte, Anwendungen und Dienste sind mit dem Netzwerk verbunden und werden vom Netzwerk genutzt?
- Welche Benutzer und Konten (einschließlich Service-Konten) greifen auf das Netzwerk zu?
- Welche Verkehrsmuster und Nachrichten werden über das Netzwerk ausgetauscht?