Licht aus: Sicherheit durch die Black Cloud

19.05.20 / Timo Schmitz

Timo Schmitz

In der heutigen Zeit erhält die Gewährleistung eines sicheren Zugriffs auf interne Ressourcen durch Remote-Nutzer eine erhöhte Wichtigkeit. Software Defined Perimeter sind eine Option, um dabei die Sicherheit zu erhöhen.

Die aktuelle Krisensituation hat dazu gef√ľhrt, dass sich viele Unternehmen deutlich intensiver mit der Anbindung von Remote-Nutzern (insbesondere aus dem Homeoffice) ans interne Netz auseinandersetzen mussten. In diesem Zusammenhang wurden schnell Kapazit√§tsengp√§sse oder m√∂gliche Sicherheitsprobleme sichtbar. Jahrzehntelang bew√§hrte Strukturen, welche urspr√ľnglich auf andere Rahmenbedingungen ausgelegt waren, machten nun deutlich, dass sie m√∂glicherweise nicht optimal auf die ‚Äěneue‚Äú Arbeitswelt ausgelegt sind, in der ein Nutzer von einem beliebigen Ger√§t, in einem beliebigen Netz, Zugriff auf ‚Äěseine‚Äú Ressourcen behalten m√∂chte.

Zwischen Beginn der Krise und heute ist bereits einige Zeit vergangen, sodass die Kapazit√§tsengp√§sse wohl gr√∂√ütenteils behoben sind. Jedoch zu welchem Preis? M√∂glicherweise mussten Sicherheitseinbu√üen in Kauf genommen werden, da die bestehende Infrastruktur sonst mit der Last nicht zurechtgekommen w√§re. Oder neue Hardware wurde angeschafft, welche in der Zeit nach der Krise √ľberdimensioniert sein wird. Ein guter Zeitpunkt also, sich Gedanken √ľber neuartigere Technologien zu machen, welche von vornherein f√ľr diese moderne Arbeitsweise konzipiert sind.

Eine dieser Technologien m√∂chte ich Ihnen heute vorstellen: den Software Defined Perimeter (SDP). Das SDP-Konzept wird von der Cloud Security Alliance (CSA) entwickelt. Der Sicherheitsansatz st√ľtzt sich auf das Prinzip, dass sch√ľtzenswerte Ressourcen (egal ob On-Premises oder in der Cloud) hinter einen Perimeter gestellt werden, welcher verschiedene Authentisierungsparameter erwartet, bevor der Zugriff auf die sch√ľtzenswerte Ressource erlaubt wird. Das Prinzip ist in Abbildung 1 visualisiert.

Abbildung 1: Beispiel eines umgesetzten SDP-Konzepts

Abbildung 1: Beispiel eines umgesetzten SDP-Konzepts

Im Grunde erweitert das SDP-Konzept somit den Netzperimeter um eine weitere Form der Authentisierung. Der SDP-Client muss sich hierzu zun√§chst gegen√ľber dem SDP-Controller authentisieren. Der SDP-Controller f√ľhrt die Authentifizierung durch, indem er verschiedene Parameter auswertet, bspw. die Lokation des Nutzers, eine Authentisierung am definierten Identity Provider oder die Identifizierung des genutzten Ger√§tes. Er hat Kenntnis √ľber Ziele, welche vom Client auf Basis der Authentisierungsinformationen angesteuert werden k√∂nnen, und stellt ihm diese entweder als 1:1-VPN-Verbindungen oder entkoppelt √ľber ein SDP-Gateway zur Verf√ľgung. Hierbei ist es unerheblich, ob sich das Ziel On-Premises oder in einer Public Cloud befindet.

Der gro√üe Vorteil besteht nun darin, dass der Client keine Kenntnis √ľber das gesamte Netz haben muss, in dem der SDP-Host verortet ist. Das Netz ist somit praktisch ‚Äěunsichtbar‚Äú und Zieladressen nicht √ľber DNS aufl√∂sbar; man spricht auch von einer ‚ÄěBlack Cloud‚Äú. Der Client muss sich ggf. nicht mal im selben Netz wie der SDP-Host befinden: Ein Full-Tunnel-VPN wird √ľberfl√ľssig. Die Angriffsfl√§che auf das Netz verringert sich durch die Kombination dieser Sicherheitsmechanismen deutlich: DDoS-Angriffe, Man-in-the-Middle-Attacken und weitere Angriffsszenarien werden deutlich erschwert.

Durch die Möglichkeiten des Software-Defined-Perimeters haben Sie also die Option, den Zugriff auf Ihr internes (oder externes) Netz gezielt einzuschränken und so zumindest teilweise Abstand davon zu nehmen, Nutzern den Zugriff auf größere Teile Ihres Netzes zu erlauben. Gleichzeitig können Sie durch die Verschleierung von Zieladressen einen zusätzlichen Sicherheitsgewinn verbuchen.

Diese und weitere M√∂glichkeiten, das interne Netz bei einer steigenden Anzahl von Remote-Nutzern zu entlasten, ohne dabei die Sicherheit zu vernachl√§ssigen, werden in einem kommenden kostenfreien Webinar der Woche vorgestellt. Abonnieren Sie doch unseren Newsletter, um rechtzeitig √ľber den Termin dieses und weiterer kostenfreier Webinare informiert zu werden.

Der Netzwerk Insider geh√∂rt mit seinen Produkt- und Markt-Bewertungen rund um IT-Infrastrukturen zu den f√ľhrenden deutschen Technologie-Magazinen. Der Bezug des Netzwerk Insiders ist kostenlos.

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.