Was ist ein Software-Defined Perimeter (SDP) und seine Bedeutung für ZTNA

Unternehmen setzen Cloud-Technologien in rasantem Tempo ein, und Gartner prognostiziert, dass der weltweite Public-Cloud-Markt bis 2020 um 17 % auf 266 Mrd. USD wachsen wird. Mit der zunehmenden Integration von Cloud-Diensten in die IT-Abläufe von Unternehmen wird deutlich, dass die bisherigen Sicherheitsdienste am Perimeter in einer mobilen, cloud-zentrierten Welt nicht mehr zweckmäßig sind.

VPNs werden traditionell für den sicheren Fernzugriff verwendet, sind aber notorisch unzuverlässig, bieten eine schlechte Benutzererfahrung, sind zu freizügig in Bezug auf den Zugriff und können problematisch sein, wenn es um die Konfiguration geht. Außerdem können die Endbenutzer*innen direkt eine Verbindung zu SaaS herstellen, ohne ein VPN verwenden zu müssen. So kann ein Mitarbeiter/eine Mitarbeiterin beispielsweise eine Anwendung zur gemeinsamen Nutzung von Dateien auf sein Gerät herunterladen und sich einfach bei seinem Unternehmenskonto anmelden, ohne dass diese Verbindung verwaltet oder verschlüsselt werden muss.

Ein Software Defined Perimeter (SDP) ist die Art und Weise, wie moderne Unternehmen ihre Zugriffsrichtlinien verwalten, um Risiken und die allgemeine Sicherheitsbelastung zu minimieren.

Was ist ein softwaredefinierter Perimeter?

SDP ist ein Sicherheitsansatz, der Zero Trust Network Access (ZTNA) ermöglicht und Schutz bietet, unabhängig davon, ob sich ein Dienst vor Ort oder in der Cloud befindet.

Bei SDP basiert die Konnektivität auf dem Need-to-know-Modell, wobei alle Dienste standardmäßig abgelehnt werden. Endbenutzer*innen und ihre Geräte müssen vor dem Verbindungsaufbau authentifiziert und autorisiert werden, was eine Bewertung der Identität und des Gerätezustands beinhaltet. Die Anwendung des adaptiven Zugangs ist eine wichtige Komponente der ZTNA, um sicherzustellen, dass eine kontextbezogene Zugangskontrolle angewandt wird, um ein Gleichgewicht zwischen Vertrauen und Risiko zu schaffen.

Sobald die Sicherheitsprüfungen durchgeführt wurden, wird eine dynamische Eins-zu-eins-Verbindung zwischen einem Gerät und einer Anwendung hergestellt. Gemäß dem Konzept des am wenigsten privilegierten Zugriffs sind alle anderen Unternehmensdienste, die für diesen Benutzer/diese Benutzerin irrelevant sind, unsichtbar und daher sicher. Die Verwendung von micro-segmentation verhindert einen breiten, unnötigen Netzwerkzugriff, indem separate Sicherheitszonen innerhalb von Rechenzentren und Cloud-Bereitstellungen geschaffen werden, um Arbeitslasten voneinander zu isolieren.

Was sind die Vorteile von SDP?

Viele Unternehmen haben Lösungen für das Identitäts- und Zugangsmanagement (IAM) eingeführt, um ZTNA zu erreichen. Obwohl die Identität ein wichtiger Bestandteil der ZTNA ist, berücksichtigt sie allein nicht den weiteren Kontext einer Zugriffsanfrage, wie z. B. den Zustand eines Geräts oder die Sicherheit des Netzes. Gartner sieht den Gerätezustand als wichtigen Bestandteil einer Zero-Trust-SDP-Lösung. Nur weil jemand in der Lage ist, korrekte Benutzerdaten anzugeben, ist das noch lange keine Garantie dafür, dass er derjenige ist, der er vorgibt zu sein, oder dass sein Gerät vor böswilligen Dritten geschützt ist. Der adaptive Zugang muss angewandt werden, um kontextbezogene Faktoren im Zusammenhang mit der Anfrage zu berücksichtigen.

Zum Beispiel:

• Wurde auf dem Gerät Malware installiert?
• Versucht der Benutzer/die Benutzerin, von einem angemessenen Standort aus eine Verbindung herzustellen?
• Gibt es Schwachstellen auf dem Gerät oder in seinen Anwendungen?
• Ist die Verbindung sicher oder ist sie anfällig für einen Man-in-the-Middle-Angriff?

All diese Faktoren werden zur Berechnung einer Risikobewertung herangezogen und helfen Unternehmen, von allzu vereinfachten binären Authentifizierungsregeln abzurücken.

Da SDP die Benutzer*innen vor dem Verbindungsaufbau authentifiziert, sind die Unternehmensdienste für neugierige Augen unsichtbar. Auch nach der Authentifizierung sind nur die für einen Nutzer*innen genehmigten Dienste zu sehen. Dadurch wird nicht nur die Bedrohung durch netzbasierte Angriffe (z. B. Denial-of-Services, SQL-Injections, Server-Scanning usw.) verringert, sondern auch der potenzielle Schaden durch Insider-Bedrohungen begrenzt. Ein verärgerter Mitarbeiter/eine verärgerte Mitarbeiterin der Personalabteilung konnte sich nicht einfach beim CRM anmelden und Kontakte herunterladen — er konnte nicht einmal die Anmeldeseite aufrufen.

Die Richtlinie kann für jeden einzelnen Nutzer/jede einzelne Nutzerin angewandt werden, im Gegensatz zu „pauschalen Regeln” auf der Grundlage von Nutzergruppen, was insbesondere beim Zugriff durch Dritte von Bedeutung ist. Mit SDP können Zugriffskontrollen auf jeden Benutzer/jede Benutzerin, jeden Standort, jede Anwendung oder jeden Dienst angewendet werden, egal ob vor Ort oder in der Cloud, wodurch Administrator*innen weitaus mehr Kontrolle erhalten. Wenn es um den Zugriff durch Dritte geht, müssen klar definierte Berechtigungen, Zugriffsebenen sowie Anfangs- und Enddaten festgelegt werden, was zu einer verzögerten Zugriffsgewährung oder übersprungenen Sicherheitsschritten führen kann.

SDP ermöglicht es Unternehmen, die mit der Migration zu Cloud-Technologien verbundenen Herausforderungen sowie Probleme im Zusammenhang mit mobilen Mitarbeitern zu bewältigen, indem sie eine Sicherheitslösung dort bereitstellen, wo sich der Endbenutzer*innen befindet, anstatt den Datenverkehr an das Rechenzentrum des Unternehmens zurückzuleiten. SDP unterstützt Unternehmen dabei, ZTNA zu erreichen, indem es mehr Kontrolle darüber ermöglicht, wer auf was zugreift, indem es den am wenigsten privilegierten Zugriff durchsetzt und Unternehmensdienste vor nicht autorisierten Benutzer*innen verbirgt. Damit SDP effektiv ist und nicht nur ein weiteres technisches Ärgernis für die Endnutzer*innen darstellt, ist ein globales Netz erforderlich, das schnelle Verbindungen mit geringer Latenz bereitstellt, die unabhängig vom Standort des Nutzers Richtlinien durchsetzen können und den Zugang auf der Grundlage adaptiver Zugangsgrundsätze ermöglichen.