{"id":22921,"date":"2023-03-06T11:24:00","date_gmt":"2023-03-06T10:24:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=22921"},"modified":"2023-02-22T09:51:04","modified_gmt":"2023-02-22T08:51:04","slug":"sse-nur-ein-buzzword-oder-ein-fortschritt-fuer-die-cybersicherheit","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=22921","title":{"rendered":"SSE \u2013 nur ein Buzzword oder ein Fortschritt f\u00fcr die Cybersicherheit?"},"content":{"rendered":"\n

Autor\/Redakteur: Sascha Spangenberg, Regional Sales Engineer Manager (DACH, Nordics, UK&I) bei Lookout<\/a>\/gg<\/p>\n\n\n\n

Ist SSE (Security Service Edge) nur ein neues Schlagwort oder eine bedeutende Entwicklung in der Cloud-Sicherheit? Der Ansatz, Endpunktsicherheit sowie Benutzer- und Datenschutzfunktionen auf einer Plattform zu integrieren, ist vielversprechend. <\/p>\n\n\n\n

\"\"<\/a>
Bild: Lookout<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Da Anwendungen und Daten zunehmend in der Cloud vorgehalten werden, ist heute ein nahtloser Zugriff von jedem Ort und jedem Ger\u00e4t aus m\u00f6glich. So hat die Cloud vielen Unternehmen in der Pandemie die schnelle Verlagerung des Gesch\u00e4ftsbetriebs in das Home-Office erm\u00f6glicht. Was f\u00fcr Telearbeiter und mobile Nutzer Vorteile hat, stellt aus Sicherheitsperspektive jedoch \u2013 nach wie vor \u2013  eine Herausforderung dar. Herk\u00f6mmliche Sicherheitsl\u00f6sungen waren jahrzehntelang auf den Schutz der Daten bis an den Perimeter, also die Netzwerkgrenze, ausgerichtet. Mit dem Wechsel in die Cloud ist die Sichtbarkeit der Gesch\u00e4ftsumgebung nicht mehr vollst\u00e4ndig gegeben. Dies macht es schwerer, gesch\u00e4ftskritische Ressourcen zu sch\u00fctzen.<\/p>\n\n\n\n

Pandemiebedingt bem\u00fchten sich Unternehmen seit dem Fr\u00fchjahr 2020 in gro\u00dfem Stil auf Remote-Betrieb umzustellen. Ziel war es, den Nutzern Zugang zu gew\u00e4hren, unabh\u00e4ngig davon, wo diese arbeiten und welche Ger\u00e4te sie verwenden. Da sich das Arbeiten von \u00fcberall nun etabliert hat, hat sich eine gr\u00f6\u00dfere Herausforderung ergeben: der Schutz immer sensiblerer Daten in einer erweiterten Unternehmensumgebung. Sicherheitsteams m\u00fcssen nun Daten sch\u00fctzen, die \u00fcber Rechenzentren, private Clouds und Software-as-a-Service (SaaS)-Anwendungen verstreut sind und auf die der Zugriff von Endger\u00e4ten in Netzwerken erfolgt, die sie nicht verwalten. Anders als fr\u00fcher in der lokalen Umgebung mit \u00fcberschaubaren Zweigstellen, haben sie nun nicht mehr den \u00dcberblick und die Kontrolle, um alle Daten zu sch\u00fctzen.<\/p>\n\n\n\n

Evolution verschiedener Ans\u00e4tze<\/strong><\/p>\n\n\n\n

Angesichts der Komplexit\u00e4t moderner Unternehmensumgebungen und des Mangels an IT-Fachkr\u00e4ften gilt es nun, die Sicherheitsprozesse zu rationalisieren \u2013 und hier kommt SSE ins Spiel. Ein Blick zur\u00fcck hilft, diesen Ansatz besser zu verstehen: Um die Sicherheit von Daten und Anwendungen in Cloud-Umgebungen zu gew\u00e4hrleisten, haben sich verschiedene Ans\u00e4tze etabliert, darunter Zero Trust. Die erstmalige Erw\u00e4hnung des Begriffs wird einem Forrester-Analysten im Jahr 1994 zugeschrieben, noch vor Beginn der Cloud-\u00c4ra Mitte der 2000er Jahre. Dabei werden Ger\u00e4te und Benutzer generell als nicht vertrauensw\u00fcrdig erachtet. Erst nach einer \u00dcberpr\u00fcfung mehrerer Risikoebenen wird ihnen Zugang zu Unternehmensanwendungen und -daten gew\u00e4hrt.<\/p>\n\n\n\n

In den letzten Jahren hat sich vieles getan \u2013 in der Cloud und in der Cloud-Sicherheit. Einer der j\u00fcngsten Meilensteine war der erstmals 2019 von Gartner gepr\u00e4gte Begriff SASE (Secure Access Service Edge). SASE basiert auf SD-WAN (Software-Defined Wide Area Netzwerk) und stellt WAN-Dienste und Sicherheitsfunktionen \u00fcber eine cloudbasierte L\u00f6sung zur Verf\u00fcgung. Unternehmen hatten damals bereits mit neuen Anforderungen an die Datensicherheit zu k\u00e4mpfen. Viel Zeit blieb jedoch nicht, denn pandemiebedingt erfuhr der Trend in Richtung Cloud ab Fr\u00fchjahr 2020 eine enorme Beschleunigung. Noch mehr gefragt waren nun SaaS-Anwendungen wie Microsoft 365, Salesforce und Google Workplace sowie Unternehmensanwendungen, die auf IaaS-Plattformen wie Amazon Web Services, Azure und Google Cloud Platform laufen.<\/p>\n\n\n\n

Ziel: Nahtlose Integration und umfassende Sichtbarkeit<\/strong><\/p>\n\n\n\n

Der Versuch, herk\u00f6mmliche Sicherheitsans\u00e4tze auf die Cloud zu \u00fcbertragen, ergab vielerorts einen Flickenteppich verschiedener Produkte, deren Betrieb kostenintensiv und ineffizient ist. Dieser Mix aus verschiedenen Sicherheitstechnologien lieferte oftmals alles andere als ein perfektes Zusammenspiel ab. Im Juli 2021 brachte Gartner schlie\u00dflich den Begriff SSE oder Secure Service Edge ins Spiel. SSE setzt demnach auf nahtlose Integration und umfassende Sichtbarkeit von Benutzern, Endger\u00e4ten, Daten und Anwendungen. Dies erfordert es, verschiedene Sicherheitstechnologien in der Cloud zu konsolidieren, um die Komplexit\u00e4t zu verringern und die Datensicherheit zu erh\u00f6hen.  Laut Gartner<\/a> werden 80 Prozent der Unternehmen bis 2025 eine Strategie zur Vereinheitlichung des Zugangs zu Web, Cloud-Diensten und privaten Anwendungen \u00fcber die Security Service Edge (SSE)-Plattform eines einzigen Anbieters verfolgen.<\/p>\n\n\n\n\n\n\n\n

Im Wesentlichen handelt es sich bei SSE somit um die Konvergenz von Sicherheitstechnologien innerhalb des SASE-Frameworks. Hier kommt im Prinzip der SASE-Ansatz zum Tragen, der wichtige Netzwerktechnologien wie SD-WAN mit Sicherheitstechnologien kombiniert, die sowohl den Zugang als auch die Daten selbst sichern. Zu den f\u00fcr SSE relevanten Technologien z\u00e4hlen Cloud Access Security Broker (CASB), Zero Trust Network Access (ZTNA) und Secure Web Gateway (SWG). Eine SSE-Plattform soll Unternehmen die Kontrolle \u00fcber ihre Daten zur\u00fcckgeben, indem sie Daten \u00fcberall sch\u00fctzt, das Risiko reduziert und die Sicherheitsma\u00dfnahmen vereinfacht. Der entscheidende Pluspunkt von SSE liegt jedoch in den Datenschutzservices, die daf\u00fcr sorgen, dass Daten beim Kopieren oder Herunterladen aus der Cloud nicht offengelegt werden. Mit diesen Funktionen k\u00f6nnen Unternehmen einen intelligenten Zero-Trust-Zugriff mit unterschiedlicher Granularit\u00e4t durchsetzen, entsprechend dem Risikoniveau sowohl der Benutzer und Endger\u00e4te als auch der Sensibilit\u00e4t der Daten.<\/p>\n\n\n\n

Drei Ebenen der Datensicherheit<\/strong><\/p>\n\n\n\n

Um Insider-Bedrohungen und kompromittierte Konten zu verhindern, \u00fcberwacht User and Entity Behavior Analytics (UEBA) das schwankende Risikoniveau der Nutzer. Wenn Administratoren verstehen, wie sich die Nutzer typischerweise verhalten, k\u00f6nnen sie erkennen, wann von einem Konto eine Gef\u00e4hrdung der Daten ausgeht. Dies gilt unabh\u00e4ngig davon, ob das Konto kompromittiert ist oder von einem legitimen Benutzer f\u00fcr b\u00f6swillige Aktivit\u00e4ten verwendet wird.<\/p>\n\n\n\n

F\u00fcr intelligente Zugriffsentscheidungen muss zudem die Sensibilit\u00e4tsstufe der Daten, auf die Benutzer zugreifen wollen, bekannt sein. Erweiterte Data Loss Prevention (DLP) erm\u00f6glicht es Sicherheitsteams, granulare Ma\u00dfnahmen zu ergreifen. So k\u00f6nnen sie beispielsweise bestimmte Inhalte mit einem Wasserzeichen versehen oder unkenntlich machen, anstatt den Zugriff zu sperren, um sensible Informationen zu sch\u00fctzen und gleichzeitig die Arbeit zu erm\u00f6glichen.<\/p>\n\n\n\n

Die dritte Ebene der Datensicherheit ist die F\u00e4higkeit, die Verschl\u00fcsselung zu automatisieren. Mit Enterprise Digital Rights Management (EDRM) k\u00f6nnen Unternehmen Daten verschl\u00fcsseln, w\u00e4hrend diese heruntergeladen werden, so dass nur autorisierte Benutzer darauf zugreifen k\u00f6nnen, selbst wenn sie offline freigegeben werden.<\/p>\n\n\n\n

SSE: Im Prinzip durchdacht, aber nicht standardisiert<\/strong><\/p>\n\n\n\n

Immer mehr Mitarbeiter, die zuvor \u00fcberwiegend im Unternehmen arbeiteten, greifen heute von \u00fcberall aus auf das Internet, Cloud-Dienste und private Anwendungen zu. Dies alles sicherheitstechnisch unter einen Hut zu bringen, erweist sich als zunehmend schwierig. Ziel muss es sein, Daten, die ungehindert zwischen Endger\u00e4ten und Cloud-Anwendungen flie\u00dfen und die Perimeter-basierte Sicherheit umgehen, zu sch\u00fctzen. Hier liefert SSE einen durchdachten Ansatz.<\/p>\n\n\n\n

Nicht alle SSE-L\u00f6sungen sind jedoch gleich. So vermarkten inzwischen diverse Anbieter ihre Angebote als L\u00f6sungen, die mit zumindest einigen oder sogar allen SSE-Technologien ausgestattet sind: Cloud Access Security Broker (CASB), Zero Trust Network Access (ZTNA)\u00a0und Secure Web Gateway (SWG). Einige SSE-L\u00f6sungen erweisen sich jedoch als schlecht integrierter Produkte-Mix, bedingt durch eine rege \u00dcbernahmepolitik in der IT-Branche. Hinzu kommt der Verwaltungsaufwand bei der unabh\u00e4ngigen Konfiguration und Erstellung von Richtlinien f\u00fcr jedes Produkt. Eine sinnvolle \u00dcberwachung von Warnungen und Updates von mehreren Konsolen, die nicht miteinander kommunizieren, ist nahezu unm\u00f6glich. Um Risiken zu reduzieren und Daten zu sch\u00fctzen, ben\u00f6tigen Unternehmen daher eine SSE-Plattform, die mit nativen Funktionen zum Schutz von Daten, Benutzern und Endger\u00e4ten ausgestattet ist.<\/p>\n\n\n\n

Im Idealfall mehr als ein Flickenteppich von Technologien<\/strong><\/p>\n\n\n\n

Letztendlich ist auch SSE \u2013 ebenso wie SASE \u2013 eher ein Rahmenwerk als ein standardisiertes \u201eProdukt\u201c. Es liegt an den Unternehmen, einen Plattformanbieter zu finden, der die individuellen Anforderungen tats\u00e4chlich abdeckt. Eine SSE-Plattform muss dabei mehr sein als ein Flickenteppich von Technologien. Dies gilt nicht nur, um die Kosten und die betriebliche Komplexit\u00e4t zu senken, sondern auch, um Risiken zu verringern und Daten zu sch\u00fctzen. Hierf\u00fcr bietet sich eine Plattform an, die Endpunktsicherheit mit UEBA, erweiterter DLP und EDRM nativ integriert. Damit lassen sich Sicherheitsl\u00fccken schlie\u00dfen, die zuvor durch unterschiedliche Endpunktprodukte entstanden sind, und Zero Trust konsequent umsetzen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Ist SSE (Security Service Edge) nur ein neues Schlagwort oder eine bedeutende Entwicklung in der Cloud-Sicherheit? Der Ansatz, Endpunktsicherheit sowie Benutzer- und Datenschutzfunktionen auf einer Plattform zu integrieren, ist vielversprechend. <\/p>\n","protected":false},"author":1,"featured_media":22923,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[6257,160,14071,8790,16272,4873],"class_list":["post-22921","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-cloud","tag-lookout","tag-sase","tag-sd-wan","tag-sse","tag-zero-trust"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22921","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=22921"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22921\/revisions"}],"predecessor-version":[{"id":22924,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22921\/revisions\/22924"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/22923"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=22921"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=22921"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=22921"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}