Suchen

Schlüsselkomponente der neuen Homeoffice-Arbeitsrealität Secure Access Service Edge (SASE) für optimale DNS Security

| Autor / Redakteur: Jean-Yves Bisiaux / Dipl.-Ing. (FH) Andreas Donner

Die zunehmende Arbeit im Homeoffice stellt die IT-Infrastruktur vieler Unternehmen vor Herausforderungen und schafft zusätzliche Angriffsflächen für Cyber-Attacken. Der Einsatz von Secure Access Service Edge (SASE) mit integrierten DNS-Diensten kann IT-Sicherheitsrisiken mindern.

Firma zum Thema

Die massenhafte Arbeit im Homeoffice sorgt für enorme Security-Herausforderungen.
Die massenhafte Arbeit im Homeoffice sorgt für enorme Security-Herausforderungen.
(Bild: © Ruslan Grumble - stock.adobe.com)

Die technologischen Fortschritte der letzten Jahre haben Telearbeit für zahlreiche Arbeitnehmer ermöglicht. Allerdings ist es nach wie vor so, dass den meisten Unternehmen die nötige digitale Infrastruktur fehlt, um dies in großem Maßstab umzusetzen – das gilt selbst für führende Tech-Unternehmen.

Zwar verfügen die meisten Firmen über Richtlinien, Technologien und Verfahren, die es den Mitarbeitern ermöglichen sollen, von zu Hause aus zu arbeiten. Dabei gehen sie aber normalerweise davon aus, dass maximal nur etwa 15 Prozent der Mitarbeiter sich gleichzeitig aus der Ferne mit dem Firmennetzwerk verbinden. Die Investitionen und der Einsatz von VPN- und VDI-Infrastrukturen sind dementsprechend auf dieses relativ niedrige Level zugeschnitten.

Viele Unternehmen sind daher momentan anfällig und schlecht gerüstet, um mit der durch die Corona-Pandemie ausgelösten neuen Arbeitsrealität umzugehen, die einen dynamischen Zugang zu Netzwerk-Services für eine größere Anzahl von Mitarbeitern aus deren Homeoffices erfordert.

VPN keine flächendeckende Lösung

Die rasche Verlagerung von Mitarbeitern ins Homeoffice im großen Stil ist deshalb mit zusätzlichen IT-Sicherheitsrisiken verbunden: Da Geräte außerhalb der Netzwerkinfrastruktur eines Unternehmens installiert und an neue Netzwerke und WLANs angeschlossen werden, erweitert sich die potenzielle Angriffsfläche für Cyber-Kriminelle exponentiell.

Solange es keinen Impfstoff gegen Covid-19 gibt, steht uns bei der Arbeit im Homeoffice ein wahrer Lackmustest für die Unternehmens-IT bevor. Große wie kleine Unternehmen benötigen eine schnelle Lösung für einen begrenzten Zeitraum. Während Virtual Private Networks (VPNs) für viele eine geeignete Lösung zu sein scheinen, sind VPNs oft nur für eine bestimmte Anzahl an Mitarbeitern ausgelegt. Hinzu kommen unerschwingliche Kosten und eine hohe Komplexität, die den globalen Einsatz erschwert und zu unzureichenden Kapazitäten führt.

Für Unternehmen, denen die Infrastruktur, Zeit und liquide Mittel fehlen, um den Zugang zu VPNs zu erweitern, ist es entscheidend (und äußerst kosteneffektiv), diesen Dienst zu externalisieren und den Zugang je nach Bedarf zu ermöglichen. Eine Schlüsselkomponente dieser Lösung wird durch SASE-Plattformen (Secure Access Service Edge) ermöglicht: SASE-Plattformen bündeln ein ganzes Paket an Services und werden von Internet-Service-Providern und Telekommunikationsunternehmen angeboten, um Mitarbeitern im Homeoffice NaaS (Network as a Service) zusammen mit NSaaS-Angeboten (Network Security as a Service) zu ermöglichen.

Diese Verlagerung der Zugriffssicherheit hin zum Netzwerkrand (Edge) verändert die Art und Weise, wie Unternehmen mit IT-Sicherheit umgehen. Es besteht keine Notwendigkeit mehr, VPNs aufzubauen, die alle in einer zentralen Rechenzentrumsinfrastruktur zusammenlaufen.

Die Vorteile von SASE

SASE erlaubt es, die Zugriffssicherheit zu Anwendungen nah an Nutzern anzusiedeln. Dadurch wird unerwünschter Datenverkehr möglichst früh vermieden und ein hohes Maß an Sicherheit auf Grundlage von Technologien und Prinzipien der folgenden zwei Bereiche gewährleistet:

  • Netzwerkkonnektivität – mit Lösungen wie Software-Defined WAN (SD-WAN), Content Delivery Network Access, WAN-Optimierung zur Reduzierung der Bandbreitennutzung und Optimierung der IP-Protokolle
  • Netzwerksicherheit – mit CASB (Cloud Access Security Broker) für die Verbindung zu SaaS-Anwendungen, SWG (Secure Web Gateway) für die URL-Filterung. Hinzu kommen ZTNA (Zero Trust Network Access), das direkt mit SASE verbunden ist, indem die Risikobewertung auf "niemandem wird vertraut" umgestellt wird sowie FWaaS (Firewall as a Service) und sicheres DNS als erste Verteidigungslinie für den Zugriff auf Dienste und Anwendungen.

Für Unternehmen bringt der SASE-Ansatz viele Vorteile. Dazu gehören eine bessere Leistung durch größere Nähe zum Netzwerkrand, weniger Lösungen, die von I&O-Teams (Infrastructure and Operations) verwaltet werden müssen, eine leichtere Skalierbarkeit der Dienste und die Verlagerung der Investitionskosten (CAPEX) und internen Wartungsdienste zu reinen Services und Betriebskosten (OPEX).

Sicher durch integrierten DNS-Service

Ein zentrales Element der SASE-Plattform ist ein sicherer und leistungsstarker DNS-Service, der Anwendungen, Benutzer und Daten vor potenziellen DNS-Angriffen schützt und sicherstellt, dass der Geschäftsbetrieb nicht beeinträchtigt wird – insbesondere wenn die meisten Mitarbeiter eine Remote-Verbindung zum Netzwerk herstellen.

Speziell entwickelte DNS-Sicherheitslösungen, die in der Lage sind, DNS-DDoS-Angriffe mit hohem Volumen effektiv zu handhaben, sind empfehlenswert, da sie eine vollständigere Abdeckung der DNS-Bedrohungslandschaft bieten, einschließlich Angriffen und Exploits mit schwachen Signalen. Die Erkennung von „Behavioral Threats“ und adaptive Gegenmaßnahmen müssen ebenfalls integriert werden, um „False Positive“-Ergebnisse auszuschließen. Zudem müssen natürlich angesichts zusätzlicher Datenschutzvorschriften, die 2020 weltweit eingeführt werden, Datenexfiltrationsversuche oder DNS-Tunnelung rechtzeitig erkannt werden. In der heutigen Zero-Trust-Welt ist der Wert der DNS-Sicherheit für Unternehmen offenkundig:

  • Die Geschäftskontinuität ist gewährleistet
  • Kundendaten und geistiges Eigentum sind gegen Exfiltration geschützt
  • Die Ausbreitung von Bedrohungen wird verhindert, indem Sicherheitsereignisse an Akteure des Netzwerkökosystems wie das SIEM (Security Information and Event Management) und SOCs (Security Operations Center) gesendet werden

DNS sollte idealerweise durch Edge GSLB (Global Server Load Balancing) ergänzt werden, mit dem die Last des Netzwerkverkehrs auf die Server verteilt wird.

Die Integration der GSLB-Funktionalität in einen DNS-Server ermöglicht es, intelligente Routing-Entscheidungen am Netzwerkrand zu treffen, also viel näher am Nutzer, wodurch die Latenzzeiten drastisch reduziert werden. Viele Probleme im Zusammenhang mit der Geolokalisierung, dem Breakout und dem Peering werden dadurch eliminiert. Diese Edge-DNS-GSLB-Funktionalität steuert das Routing von Nutzer zu Anwendungen, um das Nutzererlebnis zu verbessern und gleichzeitig die Verfügbarkeit von Anwendungen zu gewährleisten und das Disaster Recovery Planning (DRP) zu stärken. Ständige Kontrollen stellen sicher, dass eine Anwendung immer erreichbar ist. Sollte ein Server, auf dem die Anwendung gehostet wird, ausfallen, wird das beste alternative Backup-Rechenzentrum angefahren. Die Geschäftskontinuität ist somit garantiert.

Mehr Effizienz durch DDI

Für die Automatisierung der Service-Bereitstellung der SASE-Infrastruktur ist zudem DDI (DNS-DHCP-IPAM) von grundlegender Bedeutung, da es die erforderliche Geschwindigkeit für eine einfache und schnelle Skalierung entsprechend der Marktnachfrage bietet. Die Verwendung von Mustern für diese Automatisierung ermöglicht eine schnelle und kohärente Einführung von SASE-Pods. Um die Kontrolle darüber zu gewährleisten, wer und was mit dem Netzwerk verbunden ist, wird eine intelligente IP-Adressen-Management-Lösung (IPAM) erforderlich sein, die eine zentrale "Single Source of Truth" für IP-Ressourcen bietet und den IT-Managern eine globale Transparenz ermöglicht.

Jean-Yves Bisiaux.
Jean-Yves Bisiaux.
(Bild: EfficientIP)

Zusammengenommen stellen diese Maßnahmen sicher, dass Unternehmensnetzwerke reibungslos funktionieren – trotz der zunehmenden Komplexität der Netzwerke in der neuen Homeoffice-Realität, die das Jahr 2020 und möglicherweise auch die Zeit danach bestimmen wird.

Über den Autor

Jean-Yves Bisiaux ist CTO und Mitgründer von EfficientIP.

(ID:46587238)