Warum die Edge für Zero Trust erforderlich ist

Backhauling von Traffic ruiniert die Performance und Backhauling von Angriffstraffic hat sogar noch schlimmere Auswirkungen. Dennoch sehen wir uns in einem herkömmlichen Sicherheitsmodell den Lose‑Lose-Optionen gegenüber, entweder den gesamten Traffic auf den Sicherheitsstack zu übertragen oder zuzulassen, dass einige Zugriffe den Sicherheitsstack nicht durchlaufen. In der modernen Welt, in der Cyberangriffe enorme Schäden verursachen können, ist die letztgenannte natürlich keine echte Option. Der gesamte Traffic muss durch einen robusten Sicherheitsstack geleitet werden. Wie können wir dieses Ziel ohne Backhauling erreichen? Die Antwort lautet: Zero‑Trust-Sicherheit wird als Edge-Service eingerichtet und bereitgestellt.

Betrachten wir zunächst einmal das herkömmliche Bereitstellungsmodell, bei dem Mitarbeiter auf internetbasierte Webanwendungen zugreifen. Dazu gehören beispielsweise SaaS-Anwendungen für die Arbeit, in einem geschäftlichen Kontext verwendete Webanwendungen oder andere Webanwendungen für persönliche Aktivitäten. Zum Schutz dieser Trafficströme ist ein Secure Web Gateway (SWG) erforderlich.

Ein SWG sorgt unter anderem dafür, dass Nutzungsrichtlinien durchgesetzt werden, Mitarbeiter nicht versehentlich auf Phishing-Webseiten zuzugreifen und keine Malware auf die Geräte von Mitarbeitern heruntergeladen wird. Das SWG ist eine wesentliche Komponente des Sicherheitsstacks und im Rahmen einer starken Cybersicherheitsstrategie erfolgt der gesamte Zugriff auf internetbasierte Webanwendungen über das SWG.

Das Problem besteht darin, dass beim herkömmlichen SWG-Bereitstellungsmodell, bei dem das SWG als Appliance oder virtuelle Appliance an einem oder einigen wenigen Standorten bereitgestellt wird, Backhauling notwendig ist. Wenn fast alle Mitarbeiter an einem oder nur ein paar Standorten arbeiten, können die SWG-Standorte natürlich in diesen Büros oder in der Nähe eingerichtet werden, ohne dass Backhauling erforderlich ist. Dieses Szenario traf möglicherweise vor einigen Jahren auf einige Unternehmen zu, ist aber heute und auch in Zukunft ganz offensichtlich nicht mehr gültig.

Mitarbeiter arbeiten häufig extern, sodass nun ein Traffic-Backhaul in ein SWG erfolgen muss – in der Regel über ein virtuelles privates Netzwerk (VPN) mit Remotezugriff, das die Performance ruiniert und auch andere Skalierungsprobleme verursacht. Selbst wenn Mitarbeiter im Büro sind, aber in einer Niederlassung arbeiten, muss erneut ein Backhauling des Traffics in ein SWG stattfinden. Dies geschieht in der Regel über dedizierte Telekommunikationsverbindungen zwischen den Standorten (z. B. MPLS) und ist ein sehr teurer Prozess.

Außerdem ist das SWG nicht die einzige wesentliche Komponente des Sicherheitsstacks. Eine starke Cybersicherheitsstrategie setzt voraus, dass alle Trafficströme Zugriffskontrolle und Überprüfung unterliegen – nicht nur die Datenströme an das Internet, die durch das SWG geleitet werden. Diese Anforderung ist ein Grundsatz von Zero Trust. 

Denken Sie insbesondere an den Fall, dass Mitarbeiter auf interne unternehmenseigene Anwendungen zugreifen, die in einem Firmenrechenzentrum oder in der Cloud bereitgestellt werden könnten. Diese Trafficströme müssen ebenfalls durch den Sicherheitsstack geleitet werden, und zwar durch eine Komponente, die häufig als Zero‑Trust-Netzwerkzugriff bezeichnet wird. Diese Komponente ist im Wesentlichen ein identitätsbasierter Proxy, mit dem sichergestellt wird, dass einzelne Anwendungen nur von Nutzern angezeigt und aufgerufen werden können, die bereits stark authentifiziert und für den Zugriff auf die jeweilige Anwendung autorisiert sind.

Der Punkt hierbei ist, dass bei einer Zero‑Trust-Sicherheitsstrategie alle Trafficströme den Sicherheitsstack durchlaufen müssen und dass dafür im herkömmlichen Bereitstellungsmodell Backhauling mit allen damit verbundenen Problemen erforderlich ist. Backhauling ist teuer und ruiniert die Performance, noch schlimmer aber wird es, wenn man bedenkt, dass ein Teil dieses Traffics Angriffstraffic sein könnte. 

Schließlich ist die Verarbeitung von Angriffstraffic eine der Funktionen des Sicherheitsstacks und wir wissen erst dann, welcher Traffic ein Angriff ist, wenn er den Stack erreicht hat. Durch Backhauling des Angriffstraffics bietet sich eher die Gelegenheit, dass der Traffic mit Netzwerkverbindungen und Geräten interagiert und Schaden verursacht, wodurch möglicherweise kritische Upstream-Verbindungen entfernt und der gesamte Sicherheitsstack unzugänglich gemacht werden. Was können wir also dagegen tun?

Statt den Traffic per Backhauling an den Sicherheitsstack zu leiten, kann der Sicherheitsstack dort eingesetzt werden, wo sich der Traffic befindet, nämlich an der Edge. In diesem Modell wird ein vollständiger Zero‑Trust-Sicherheitsstack als Service bereitgestellt, der auf der Edge-Infrastruktur ausgeführt wird. Der Sicherheitsstack an der Edge befindet sich also in der Nähe aller Nutzer/Mitarbeiter, egal wo sie arbeiten, ob im Büro, zuhause oder unterwegs. Ebenso befindet sich der Sicherheitsstack in der Nähe aller Anwendungen, unabhängig davon, wo sie bereitgestellt werden, ob in einem Rechenzentrum, einer Cloud oder unter dem Schreibtisch eines Mitarbeiters.