In den letzten Jahren hat sich nicht nur die Welt verändert, sondern auch die Art und Weise wie wir arbeiten. Auch Remotework hat sich verändert und ist jetzt Work from anywhere. Any device, any location, any connectivity. Das alles hat zu einem Paradigmenwechsel geführt …
„Vertrauen ist gut, Kontrolle ist besser“ war einmal, „never trust, always verify“ ist das neue Motto!
Remote work ist in den letzten Jahren immer wichtiger geworden und hat die Arbeitgeber vor neue Herausforderungen gestellt. Wie kann ich Standort- und Geräte-unabhängig schnell und sicher Zugriff auf firmeninterne Daten garantieren? Heutzutage bieten viele Unternehmen die Möglichkeit von überall aus zu arbeiten, doch das passiert häufig von unterschiedlichen Geräten, die zum Teil von eigenen Unternehmen verwaltet, jedoch auch zum Teil fremd verwaltet werden (private devices).
Diese neuen Voraussetzungen stellen auch unsere bewährten Tools vor neue Challenges. VPNs funktionieren im modernen Unternehmens-Ökosystem nicht. Verteilte Benutzer, Server und Geräte schaffen Herausforderungen, für die VPNs nicht vorgesehen waren. Ungeschützte Netzwerke, nicht überwachte Benutzeridentitäten, unbekannter Sicherheitsstatus von Geräten und komplexer Wechsel zwischen VPNs sind nur die Spitze des Eisbergs. Kein Unternehmen kann das Risiko akzeptieren, das mit VPNs verbunden ist.
Remote-Arbeit verschärft Sicherheits-Anforderungen
Der traditionelle Ansatz lässt die Verbindung von jedem Gerät mit Hilfe eines VPN Clients auf das Firmennetzwerk zu. Doch nicht verwaltete oder private Geräte sind für einen Angreifer leichter zu kompromittieren und sich durch den VPN Zugang zu vertraulichen Unternehmensdaten und -ressourcen verschaffen.
Und damit haben wir auch schon das größte Problem erkannt: Home Office-Geräte im privaten WLAN und persönliche Smartphones befinden sich plötzlich innerhalb des Sicherheitsbereichs. Doch diese Geräte befinden sich meist außerhalb der Kontrolle der Systemadministratoren.
%
der Datendiebstähle sind auf den Missbrauch von Zugangs-berechtigungen zurückzuführen
Statistiken belegen das Unternehmen heute mehr Angriffen denn je ausgesetzt sind:
Jeden Tag werden 6 Millionen Datensätze missbraucht.
Jeder dieser Angriffe kostet Unternehmen im Durchschnitt 3 Millionen Dollar (Daten: Dez. 2019).
Es kann mehr als 200 Tage dauern, bis ein Verstoß entdeckt wird.
25 % der Angriffe werden nicht durch externe Angreifer, sondern durch interne Mitarbeiter verursacht.
Paradigmenwechsel
Früher wusste man, wo der Service liegt beziehungsweise gehosted wird, jetzt wissen wir es nicht mehr – Cloud, oder on Premise. Der Endpunkt wurde ge-„sandboxed“, und das Netzwerk wurde gerade dunkel. Das ist die neue Normalität.
„Sandboxing“ ist ein Begriff aus dem Bereich der IT Security, der sich darauf bezieht, dass ein Programm von anderen Programmen in einer separaten Umgebung getrennt wird, so dass sich Fehler oder Sicherheitsprobleme nicht auf andere Bereiche des Computers ausbreiten können.
Solution: Barracuda CloudGen Access
„Barracuda CloudGen Access“ ist die ZTNA Lösung von Barracuda. „ZTNA“ steht für Zero Trust Network Access = Ansatz zur Gestaltung von IT-Systemen nach dem Grundsatz „never trust, always verify“. Die neue Ausgangslage ist Nicht-Vertrauen. Es herrscht ein prinzipielles Misstrauen, bis verifiziert wurde wer versucht Zugriff zu erlangen – danach wird der Zugriff erteilt, jedoch eingeschränkt auf das, was tatsächlich benötigt wird.
Für die Sicherheit ist nicht mehr nur die Perimenter Firewall verantwortlich, stattdessen wird die Sicherheitsabfrage auf den User bzw. das Device verlagert. Dadurch entsteht gegenüber normalem VPN Clients ein Mehrwert: sehr einfaches Rollout, dezidierte Software muss nicht umständlich ausgerollt werden. Zusätzlich erhält man eine einfache zentrale Administration ohne eigene MDM (mobile device management) Systeme und eine Automatisierung über API ist möglich.
ZTNA muss auf allen Geräten, auch auf privaten, installiert werden, wenn auf das Firmennetzwerk zugegriffen werden soll.
Benefits & Key Facts
Zugriffsrechte hängen nicht mehr davon ab von wo, oder mit was die Mitarbeiter arbeiten (flexibel, Standort- und Geräte-unabhängig), sondern von dem jeweiligen User. Sobald dieser den Client installiert hat, kann er damit von überall aus arbeiten – und auch für den User bleibt es einfach, die Darstellung bleibt immer gleich.
Trust BYOD (Bring your own device)
Barracuda CloudGen Access
Integrierte Unterstützung für vertrauenswürdige Geräte
Erzeugt und speichert Gerätezertifikate im Hardware Keystore
Sendet eine CSR an die Management-Konsole, um das Gerät zu registrieren und Vertrauen zu schaffen
Überprüft jede Zugriffsanfrage anhand der aktuellen Sicherheits- und Compliance-Richtlinien
Setzt bedingtes und kontextabhängiges Vertrauen ein
Integrierte Zertifikatsverwaltung sowohl für Geräte- als auch für Infrastrukturkomponenten
VPN
Keine natürliche Unterstützung für vertrauenswürdige Geräte
Verlässt sich für den Zugriff auf die Infrastruktur nur auf die Anmeldedaten der Benutzer
Abhängig von Tools von Drittanbietern wie MDM, um eine native Version von vertrauenswürdigen Geräten einzurichten
Erfordert die Anmeldung beim MDM des Unternehmens, um vertrauenswürdige Geräte zu bestimmen
Statische Vertrauensarchitektur
Die Zertifikatsverwaltung ist schwierig und erfordert Tools von Drittanbietern
Quellen
[1] 74% Of Data Breaches Start With Privileged Credential Abuse
[2] Remote workers need a security upgrade. How Zero Trust can help
[3] Fyde vs VPN
[4] Zero trust security model – Wikipedia
[5] Micro-Segmentation, Explained
[6] What is Zero Trust Security? | The ultimate Zero Trust guide
[7] How SASE empowers your business for the cloud generation