Security & IT Solutions Archive - SITS

In der IT steht Workload für die „Arbeitslast“, die eine IT-Komponente aufbringen muss, gemessen in Zeitaufwand und Rechenressourcen – das fängt bei einer einfachen Datenbank an und hört bei komplexen wissenschaftlichen Berechnungen, etwa bei der Krebsforschung im Rechenzentrum auf. Fast alle Services, Apps oder Berechnungen Ihrer Belegschaft in der Cloud (oder auch lokal im Netzwerk) sind als „Workloads“ zu bezeichnen.  Diese Workloads sind somit stark vernetzt, völlig ortsunabhängig und quer verteilt über zahlreiche Programme und Onlinedienste, die ein Unternehmen nutzt – was zu einer deutlich höheren Angriffsfläche führt!

Kurzum: Workloads müssen angemessen gesichert werden. Eine Option, Unternehmen bei dieser Herausforderung zu unterstützten, ist Secure Access Service Edge (SASE). Mit diesem Cyber-Sicherheitsansatz, der Netzwerk- und Sicherheitsfunktionen in eine Cloud-basierten Architektur integriert, lässt sich die Sicherheit und Verbindung von Cloud-Lösung kontrollieren und verbessern.

Workload Security, darum geht’s

Aktuelle Berechnungen gehen davon aus, dass die weltweiten Kosten im Zusammenhang mit Cyber-Kriminalität in den nächsten vier Jahren sprunghaft ansteigen: von 9,22 Billionen Dollar 2024 auf 13,82 Billionen Dollar 2028. Hier setzt Workload Security an, denn IT-Workloads sind wie eingangs erwähnt, alle Arbeiten, die auf einer IT-Instanz, etwa in der Cloud platziert sind – kleine Rechenoperationen, komplexe Datenanalysen oder intensive geschäftskritischer Anwendungen.

Das Niveau und die Art der Arbeitslasten beeinflussen die Leistung eines Systems. Wird die Workload zu groß, kann sie ohne wirksames Management zu Unterbrechungen oder Verlangsamungen der Systeme führen.

Diese Workloads sollten man im Auge haben:

  • Speicher-Workloads sind Dienste, die viel Datenspeicher benötigen, beispielsweise Content-Management-Systeme und Datenbanken.
  • Rechen-Workloads sind Anwendungen, die Rechenleistung und Speicher benötigen, um Funktionen auszuführen. Das können VMs, Container und serverlose Funktionen sein.
  • Netzwerk-Workloads, wie Video-Streaming und Online-Spiele, erfordern eine hohe Netzwerkbandbreite und geringe Latenzzeiten.
  • Big-Data-Workloads benötigen die Verarbeitung und Analyse großer Datenmengen, darunter maschinelles Lernen (ML) und künstliche Intelligenz.
  • Web-Workloads sind Anwendungen oder Dienste, auf die über das Internet zugegriffen wird. Hierzu gehören E-Commerce-Seiten, Social-Media-Plattformen und webbasierte Anwendungen.
  • High-Performance-Rechenlasten beziehen sich auf Dienste, die eine hohe Verarbeitungsleistung benötigen, Beispiele sind Wetter- und Finanzmodellierung.
  • Das Internet der Dinge (IoT) erfordert die Verarbeitung und Analyse von Daten aus Sensoren und anderen Geräten, wie etwa in Smart Homes, industrieller Automatisierung und vernetzten Fahrzeugen.

Ziel der Workload Security ist es, die Sicherheit und Verfügbarkeit in all diesen Bereichen zu gewährleisten und alle Operationen vor Cyber-Bedrohungen zu schützen.

Workload Security beinhaltet:

  • Zugriffskontrolle – soll sicherstellen, dass nur autorisierte Benutzer oder Prozesse mit Workloads und sensiblen Daten interagieren können.
  • Datenverschlüsselung – soll den unbefugten Zugriff auf sensible Informationen verhindern.
  • Schwachstellen-Management – soll durch regelmäßiges Scannen und Patchen von Schwachstellen vor Sicherheitslücken und Software-Fehlern schützen.
  • Intrusion Detection und Prevention – soll durch Überwachung und proaktive Maßnahmen Eindringlinge abwehren.
  • Logging und Auditierung – soll durch detaillierte Protokollierung und regelmäßiges Überprüfen helfen, Sicherheitsvorschriften einzuhalten und im Falle eines Falles sofortige Gegenmaßnahmen einzuleiten.
  • Endpunkt-Sicherheit – soll gewährleisten, dass die Endpunkte, auf denen sich Arbeitslasten wie Server, virtuelle Maschinen oder Container befinden, angemessen geschützt sind.
  • Cloud-Sicherheit – soll Workload-Sicherheitspraktiken auf Cloud-Umgebungen ausweiten, darunter Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS).
  • Automatisierung – soll Sicherheitsabläufe straffen und die Reaktion auf Sicherheitsvorfälle beschleunigen.

Eine wichtige Rolle bei der Workload-Sicherheit spielt Secure Access Service Edge (SASE), denn mithilfe dieser Cloud-basierten Sicherheitsarchitektur profitieren Unternehmen von einem umfassenden Rahmen für die Sicherung und Verwaltung von Zugriffen auf Workloads, Anwendungen und Daten unabhängig von ihrem Standort.

Was ist Secure Access Service Edge (SASE)?

SASE vereint Netzwerksicherheit und -konnektivität in einem einheitlichen Cloud-basierten Service und bietet einen ganzheitlichen Sicherheitsansatz, der die Dynamik moderner IT-Umgebungen adressiert. Das Secure Access Service Edge-Modell wurde als Konzept und Architektur von Gartner eingeführt, um Sicherheits- und Netzwerkfunktionen zu vereinen und als integrierten Service bereitzustellen. Ziel von SASE ist es, eine umfassende Cloud-native Plattform für die Sicherheit und Konnektivität bereitzustellen, die sich den Anforderungen moderner IT-Umgebungen anpasst. Die Komplexität herkömmlicher Sicherheits- und Netzwerkinfrastrukturen soll reduziert, die Leistungsfähigkeit verbessert und die Sicherheit für moderne, verteilte Arbeitsumgebungen gestärkt werden.

SASE bietet:

  1. Einheitliche Sicherheitsarchitektur: SASE integriert Sicherheitsfunktionen wie Secure Web Gateway (SWG), Cloud Access Security Broker (CASB), Firewall as a Service (FWaaS), Secure Web Access Service (SWA) und Zero-Trust Network Access (ZTNA) in eine einzige, zusammenhängende Architektur. Das gewährleistet konsistente Sicherheitsrichtlinien für alle Workloads.
  2. Zero-Trust: SASE basiert auf dem Zero-Trust-Modell. Durch kontinuierliche Authentifizierung, Autorisierung und Zugriffskontrollen stellt SASE sicher, dass nur autorisierte Benutzer und Geräte auf Workloads und vertrauliche Daten zugreifen können.
  3. Edge-to-Cloud-Schutz: SASE bietet Sicherheit und Konnektivität vom einzelnen mobilen Endgerät bis zur Cloud und unterstützt Remote-Arbeitsmodelle sowie den Zugriff von Mobilgeräten und Zweigstellen auf Unternehmensressourcen.
  4. Cloud-native Sicherheit: SASE nutzt Cloud-native Technologien und Architekturen für die Bereitstellung von Sicherheitsdiensten aus der Cloud, so dass sich Sicherheitsfunktionen dynamisch entsprechend den Anforderungen der Arbeitslasten skalieren lassen. Durch die Verlagerung von Sicherheitsfunktionen in die Cloud macht SASE herkömmliche, hardwarebasierte Sicherheits-Appliances überflüssig. Das reduziert die Komplexität und erhöht die Flexibilität.
  5. Integriertes Reporting: SASE punktet mit einem einheitlichen Management- und Reporting-Framework, mit dem es Sicherheits- und Netzwerkdienste zentral verwaltet, Richtlinien durchsetzt und Compliance-Audits durchführen kann.
  6. Dynamische Durchsetzung von Richtlinien: Es lassen sich granulare Sicherheitsrichtlinien definieren, die auf kontextbezogenen Aspekten wie Benutzeridentität, Gerätezustand oder Standort basieren. Diese Richtlinien können dynamisch und in Echtzeit für alle Workloads und Zugriffspunkte durchgesetzt werden.
  7. Skalierbarkeit und Flexibilität: SASE bietet skalierbare und flexible Sicherheitslösungen, die sich an wechselnde Workloads und Geschäftsanforderungen anpassen können.

SASE-Fallstricke und Herausforderungen

Soweit die Vorteile. Aber es gibt auch Fallstricke, die bei der SASE-Implementierung beachtet werden sollten: Es ist wichtig, den Bedarf und die Anforderungen zu Beginn des Projekts klar zu formulieren, sodass es keine Ungereimtheiten gibt. Außerdem muss die Unterscheidung, ob nur der Zugriff ins lokale Netzwerk oder auch die Absicherung von Zugriffen zu Cloud oder Internet abgesichert werden soll, berücksichtigt werden. Last but not least sollte bereits im Vorfeld festgelegt werden, welcher Traffic von der SASE-Lösung unterstützt und somit auch geschützt wird. So lassen sich beispielsweise offene Flanken bei MS-Cloud-Traffic abdecken und Sicherheitslücken schließen.

Weitere Herausforderungen: Workload Security wird im Zusammenspiel mit SASE oft vor dem Hintergrund von On-Premise-Infrastruktur betrachtet. Manchmal kommen Legacy-Technologien zum Einsatz, die mit modernen Lösungsansätzen oder Architekturen nur schwer vereinbar sind. Hierauf sollte unbedingt geachtet werden. Bewerten Sie die verschiedenen Signale und Informationen im Rahmen des SASE detailliert, denn nur dann ist ein angemessen sicherer Betrieb gewährleistet.

Die SASE-Umsetzung kann auch daran scheitern, dass die mit der Realisierung betraute Personengruppe falsch gewählt wurde, etwa lediglich die Netzwerkabteilung, obwohl mehrere Bereiche eingebunden werden müssen. Eine weitere Schwierigkeit ist, wenn die Umsetzung isoliert angegangen wird, obwohl SASE im Rahmen einer Zero-Trust-Architektur zu betrachten ist. Hierzu gehört immer auch Identity und Client Management, da bei SASE auch andere Informationen außer reine Credentials betrachtet werden. Beispielsweise muss Compliance zu Vorgaben für den Patch-Stand eines Geräts gegeben sein oder geklärt werden, welche Anmeldemethode, etwa starke Authentifizierung, verwendet wird. Es werden also zusätzliche Gerätesignale kontrolliert. Hinzukommen plattformspezifische Überprüfungen, wie der erzeugte Traffic, die genutzten Anwendungen und mehr.

Mit den erfahrenen Workload Security- und SASE-Experten der SITS umgehen Sie diese Hürden und erhalten 360-Grad-Absicherung aus einer Hand. Das CSIRT (Computer Security Incident Response)-Team der SITS bereitet Sie und Ihre Workloads auf den Ernstfall vor und sorgt bei Attacken für sofortige Absicherung und Wiederherstellung.