Cloud Computing hat die größte Veränderung in der Architektur von IT-Umgebungen seit der Einführung von Client/Server eingeläutet. Dabei setzte man ein Server-Rechenzentrum in den Mittelpunkt eines Firmennetzwerks, über das die Clients auf zentral gehostete Anwendungen zugreifen konnten. Das Firmennetz war im eigenen Bürogebäude gut von der Außenwelt abgeschirmt, eine Art eine Burg mit hohen Mauern, die mit Firewalls und anderen Security-Tools bewacht wurde. Arbeitende außerhalb der Burg mussten über eine gesicherte Verbindung mit der Zentrale kommunizieren, die mithilfe eines VPN hergestellt wurde.

Die Cloud fügte dieser Struktur zahlreiche externe Ressourcen hinzu - Anwendungen, die in Cloud-Instanzen untergebracht sind. Diese kommunizieren mit dem Rechenzentrum über abgesicherte Internetverbindungen, verändern zunächst jedoch nicht die grundsätzliche Architektur. Remote arbeitende Angestellte greifen nach wie vor über eine sichere VPN-Verbindung auf die Unternehmensressourcen zu.

Mit Beginn der Pandemie und der daraufhin erzwungenen Migration der Mitarbeiter ins Homeoffice offenbarte sich jedoch eine gravierende Folge dieser Entwicklung. Viele Unternehmen verließen sich zu diesem Zeitpunkt noch auf veraltete IT-Security-Umgebungen, die jahrelang nicht aktualisiert wurden. Diese waren nicht nur von der großen Anzahl der Homeworker hoffnungslos überfordert, sondern auch von den ausgefeilten Methoden der Cyberkriminellen. Seitdem steigt Jahr für Jahr die Zahl der Cyberangriffe und die Höhe der damit verbundenen Schäden. Das bevorzugte Einfallstor der Angreifer: Remote tätige Mitarbeiter.

SASE und Zero Trust schränken die Wahl der Anbieter nicht wesentlich ein

Security-Experten waren sich über die notwendigen Entwicklungen längst bewusst und arbeiteten in den letzten zehn Jahren an Alternativen. Im Jahr 2019 postulierte das Analystenhaus Gartner seine Secure Access Service Edge (SASE) als eine Sicherheitsarchitektur, die den Anforderungen der Cloud-Ära gewachsen ist. Der grundlegende Gedanke bei diesem Konzept besteht darin, Sicherheit als inhärenten Teil der Netzwerkfunktionalität zu behandeln.

Obwohl SASE explizit für dezentrale Cloud-Infrastrukturen entwickelt wurde, erhebt sie den Anspruch, offen und flexibel genug zu sein, um je nach Anforderung und Anwendungsszenario verschiedene Sicherheitstechnologien zum Einsatz zu bringen. Dazu gehören neuere Technologien wie Software-Defined Wide Area Networks (SD-WAN), Zero Trust Network Access (ZTNA) und Next-Generation Firewalls ebenso wie etablierte Tools wie On-Premises-Firewalls oder VPN-Verbindungen. Außerdem soll SASE sowohl auf kleinere als auch auf große IT-Infrastrukturen anwendbar sein.

Ein großer Vorteil von SASE besteht darin, dass existierende Infrastrukturen miteinbezogen werden können. Unternehmen können ihre Sicherheitsstruktur dadurch Schritt für Schritt reformieren. Außerdem besteht die Möglichkeit, das bisherige Sammelsurium an Security-Tools mit Lösungen zu ersetzen, die in ein ganzheitliches und zukunftssicheres Security-Konzept passen.

Damit kann auch das Thema Remote Access einerseits kurzfristig, anderseits mit Blick auf künftige Anforderungen gelöst werden. Moderne Remote-Access-Lösungen sollten aus diesem Grund mit allen anderen SASE-tauglichen Technologien kompatibel sein.

SD-WAN in Kombination mit VPN

Bei den softwarebasierten VPN-Lösungen von NCP ist dies zu 100% der Fall. In einem SD-WAN, das häufig zur Verbindung zwischen den Zweigstellen und der Firmenzentrale eines Unternehmens dient, übernimmt die NCP-Lösung beispielsweise die verschlüsselte Datenübertragung. Der gesamte Datenverkehr wird über einen hochsicheren IPsec-basierten Tunnel geleitet, ohne die Transfergeschwindigkeit zu beeinträchtigen.

Die sicherheitsrelevante Funktionalität stellt dabei eine Kombination aus NCP Virtual Secure Enterprise VPN Server (vSES) als Gateway und NCP Secure Enterprise Management (SEM) als Managementsystem. Das Gateway liegt dabei nicht in der Cloud, sondern auf einem Server im Rechenzentrum, wo es eine abgesicherte Umgebung hinter der Firewall bildet.

Das Management-System wiederum verwaltet die gesamte Security-Funktionalität des SD-WAN. Dies beginnt bei der User- und Geräte-Authentisierung, die ein häufiges Einfallstor für Angreifer bilden, und erstreckt sich bis zur Firewall-Konfiguration und das zentrale Update-Management, die Multifaktor-Authentifizierung und die Endpoint Policy Checks, die jeden Login-Versuch und das dazugehörige Endgerät auf seine Sicherheit hin überprüfen.

Zero Trust für vollumfängliche Netzwerksicherheit

Eine weitere Schlüsselkomponente der Cloud-Security ist Zero Trust. Es handelt sich dabei um die Abkehr von einer Grundannahme der Client/Server-Ära. Diese besagt, dass ein Benutzer im Unternehmensnetzwerk grundsätzlich als vertrauenswürdig zu behandeln ist, da er sich bei Eintritt ins Netzwerk authentifiziert hat. Nach dem Prinzip des "Least Privilege" spricht Zero Trust dem Nutzer kein blindes Vertrauen mehr aus, sondern prüft seine Identität und seine Berechtigungen jedes Mal, wenn er auf eine neue Netzwerkressource zugreifen will. Bei dieser Prüfung spielen außerdem nicht nur die reinen Zugangsdaten eine Rolle, sondern auch Parameter wie Geräte-ID, Standort, Nutzungsmuster oder die vergangene Zeit seit dem letzten Zugriff. Auf diese Weise können verdächtige Zugriffe einfacher erkannt und auffälliges Benutzerverhalten schneller identifiziert werden.

Die Sicherheitslösungen für Datenkommunikation von NCP verfolgen diesen Ansatz bereits seit Jahren: Im Gegensatz zu herkömmlichen VPN-Produkten bieten sie mehr als nur eine abgesicherte Verbindung zum Firmenserver und setzen auf vollumfängliche Netzwerksicherheit. So können IT-Administratoren im NCP Secure Enterprise Management (SEM) unter anderem die Zugriffsrechte von Nutzergruppen und einzelnen Anwendern granular konfigurieren. Auf diese Weise fügt sich die NCP-Lösung mit ihrer zentralen Administration der Nutzerzugriffe nahtlos in den Zero-Trust-Leitgedanken ein.

Maximale Sicherheit, maximaler Benutzerkomfort

Generell hat das Thema Benutzerauthentifizierung in der Cloud-Ära an Bedeutung gewonnen. So hat die Einführung zusätzlicher Instanzen und Parameterdie Multi-Faktor-Authentifizierung (MFA) hervorgebracht. Der Trend geht aktuell dahin, zur Identifizierung eines berechtigten Nutzers drei verschiedene Komponenten abzufragen: Wissen (ID und Passwort), Besitz (z.B. die Geräte-ID) und Identität (z.B. biometrische Informationen wie ein Fingerabdruck oder ein Gesichts-Scan).

Damit der Benutzerkomfort durch die zahlreichen Identitätskontrollen nicht in Mitleidenschaft gezogen wird, sind entsprechende Mechanismen und Standards entwickelt worden. Das Single-Sign-On-Verfahren ermöglicht das Einwählen in verschiedene Anwendungen mit denselben Zugangsdaten. Die dazugehörige technische Basis bildet die Security Assertion Markup Language (SAML) - ein offener Standard, der die Verwendung und Verifizierung von Anmeldeinformationen für mehrere Instanzen erlaubt.

Das NCP-Gateway und das dazugehörige Secure Enterprise Management übernehmen beim Single Sign-On gemeinsam die Rolle eines Authentication Providers. Wurde die Login-Anfrage des Nutzers am SSO-Portal geprüft und genehmigt, baut der NCP-Client anschließend einen VPN-Tunnel auf. Dieser Zugang gilt fortan für alle internen Dienste, während externe Cloud-Anwendungen dynamisch über Funktionen wie den NCP VPN-Bypass oder Application Based Tunneling am Tunnel vorbeigeleitet werden können. Und dank IPsec-Verschlüsselung sind alle Verbindungen zur Firmenzentrale bestens abgesichert.

Fazit

Wie die obigen Beispiele zeigen, kommt es bei guter IT-Sicherheit sowohl auf zeitgemäße Architekturen und Verfahren als auch auf die Tools an, die den Anforderungen dieser Verfahren gewachsen sind. Nach dieser Maßgabe können moderne VPN-Lösungen auch langfristig Teil von Architekturen wie SASE oder Verfahren wie Zero Trust sein und mobilen Nutzern sicheren Remote Access bieten.

Mehr über die softwarebasierten VPN-Produkte von NCP erfahren Sie hier.