Skip to content

Was it in Software program-defined Perimeter?

Mithilfe von Mikrosegmentierung zwingt der Software program-defined Perimeter Benutzer, ihre Zugriffsberechtigung nachzuweisen, bevor sie in die verschiedenen Ebenen des Netzwerks vordringen dürfen.
Photograph: alphaspirit.it – ​​shutterstock.com

Immer mehr Organizationen ziehen einen unsichtbaren Zaun um alle IT-Ressourcen, die mit dem Web verbunden sind, um Angreifer fernzuhalten. Diese Grenze wird als Software program-defined Perimeter (SDP) bezeichnet und basiert auf der Idee, eine virtuelle Barriere um Server, Router, Drucker und andere Netzwerkkomponenten herum aufzubauen. “Zu den Vorteilen des SDP gehören eine höhere Sicherheit sowie eine größere Flexibilität und Konsistenz”, sagt Ron Howell, Principal SD-WAN- und SASE-Architekt beim IT-Beratungsunternehmen Capgemini.

Durch den vermehrten Einsatz von Anwendungen, die sich aus Microservices zusammensetzen und auf mehr als einem Server untergebracht sind, steigen die Sicherheitsanforderungen im Vergleich zu herkömmlichen, monolithischen Anwendungen, die sich meist auf einem dedizierten Sever befinden. “Anwendungen werden heute immer weiter modularisiert. Sie bestehen nun aus mehreren Workload-Typen und Microservices und befinden sich im Rechenzentrum des Unternehmens oder in der Public Cloud”, sagt Chad Skipper, globaler Sicherheitstechnologe für VMware. In solchen Szenarien können SDP helfen, die Anforderungen zu erfüllen.

“Ein SDP-Framework verschleiert Server oder Netzwerkknoten, damit unberechtigte Nutzer nicht darauf zugreifen können”, erklärt Chalan Aras, Managing Director, Cyber ​​and Strategic Threat bei der Unternehmensberatungsfirma Deloitte. “SDP verwendet verschiedene Authentifizierungsmethoden, um die Sichtbarkeit und Konnektivität von Netzwerkknoten und Servern nur für die Nutzer bereitzustellen, die für den Zugriff berechtigt sind. die sie wirklich benötigen.”

Aufgrund der strengen Authentifizierungsvorschriften und des streng eingeschränkten Netzwerkzugriffs ist SDP ein wichtiger Bestandteil von Zero Belief Community Entry (ZTNA). Diese Technologie basiert auf der Prämisse, dass keine Verbindung automatisch als vertrauenswürdig eingestuft wird und Zugriffe nur nach dem Erforderlichkeitsprinzip auf Foundation granularer Richtlinien gewährt werden. “Es gibt keinen sicheren Perimeter mehr. Microservice-Anwendungen, die Komponenten praktisch überall hin verteilen können, zunehmend verteilte und kollaborative Geschäftsprozesse sowie häufige Personalwechsel sind die Gründe dafür”, sagt VMware-Mann Skipper.

Der Software program-basierte Perimeter wurde entwickelt, um zu verhindern, dass Infrastrukturelemente von Unbefugten eingesehen und verändert werden können. Server, Netzwerk-Router, Drucker und eigentlich alle Geräte im Unternehmensnetzwerk sind vor nicht authentifizierten und nicht autorisierten Benutzern verborgen. Das funktioniert unabhängig davon, ob sich die Infrastruktur in der Cloud befindet oder lokal gehostet wird.

Im Vergleich zu klassischen Ansätzen mit “festem” Perimeter wie etwa Firewalls bietet SDP eine höhere Sicherheit. Die Technologie beschränkt den Zugriff authentifizierter Benutzer automatisch nur auf eng definierte Netzwerksegmente, man spricht hierbei von der Mikrosegmentierung. Wird eine autorisierte Identität von einem Angreifer kompromittiert, ist der Relaxation des Netzwerks geschützt. “Das bietet Schutz vor dem sogenannten Lateral Motion, bei dem es der Angreifer schafft, sich als legitimer Benutzer auszugeben und sich dann mit den gestohlenen Berechtigungen durch das Netzwerk seines Opfers bewegt”, sagt Skipper. John Henley, Principal Guide Cybersecurity, beim Analystenhaus ISG, ergänzt: “SDP authentifiziert nicht nur den Benutzer, sondern auch das verwendete Gerät.”

Da bei diesem Architekturmodell der Perimeter durch Software program und nicht durch {Hardware} konfiguriert wird, gilt er als besonders dynamisch. IT-Administratoren können den SDP schnell auf sich ändernde Anforderungen anpassen.

Im Mittelpunkt der SDP-Architektur steht der Controller, der um Zugriff bittende Benutzer und Geräte (initiierende Hosts) mit den gewünschten Ressourcen wie Apps und Servern (akzeptierende Hosts) verbindet. Der Controller authentifiziert den initiierenden Host und ordnet ihn dem akzeptierenden Host zu, mit dem er eine Verbindung herstellen darf. Der Controller weist die akzeptierenden Hosts an, Mitteilungen vom initiierenden Host zu akzeptieren. Die initiierenden Hosts können dann eine direkte VPN-Verbindungmit den akzeptierenden Hosts herstellen. In einigen Fällen ist der akzeptierende Host ein Gateway, das als Proxy zwischen dem initiierenden Host und mehreren Ressourcen fungiert, mit denen dieser eine Verbindung herstellen möchte. In anderen Fällen kann ein SDP zwischen zwei Servern eingerichtet werden.

Henley schätzt, dass es derzeit über 20 Hersteller von SDP-Produkten gibt, darunter Akamai (Enterprise Software Entry), Cisco (Duo Past), Ivanti (Neurons for Safe Entry), McAfee (MVision Non-public Entry), NetMotion (SDP), Verizon (Software program Outlined Perimeter) and Versa (Safe Entry).

Allerdings befreit SDP Unternehmen nicht von der Verantwortung, bestehende Sicherheitspraktiken aufrechtzuerhalten. Die Sicherheitsexperten verweisen darauf, dass es weiterhin wichtig sei zu wissen, wo die geschäftskritischen Daten liegen, damit sie ausreichend geschützt werden könnten. Transparenz sei besonders wichtig, unabhängig davon, welche Sicherheitstechnologien bereits implementiert wurden. Zudem sei die Bereitstellung von SDP kein einmaliges To-Do. Unternehmen müssen ihren SDP aktiv überwachen und regelmäßig aktualisieren. Darüber hinaus sollten CISOs die Software program fortlaufend auf Schwachstellen scannen. (ms)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Community World.

Leave a Reply

Your email address will not be published.