VPN vs. SDP
Etwas neuer ist das Konzept des Software Defined Perimeter (SDP), das ursprünglich 2013 unter der ursprünglichen Leitung der Cloud-Sicherheit Alliance (CSA) auf den Markt kam. Beim SDP-Modell wird nicht nur darauf vertraut, dass ein verschlüsselter Tunnel sicher ist, weil er Transport Layer Security (TLS) verwendet, sondern es wird auch nicht von Vertrauen ausgegangen – daher verwenden viele Anbieter im Zusammenhang mit SDP den Begriff „Zero Trust“.
In einer typischen SDP-Architektur gibt es mehrere Punkte, an denen jede einzelne Verbindung validiert und überprüft wird, um die Authentizität nachzuweisen und das Risiko zu begrenzen. Typischerweise gibt es im SDP-Modell einen Controller, der die Richtlinien definiert, mit denen Clients eine Verbindung herstellen und Zugriff auf verschiedene Ressourcen erhalten können. Die Gateway-Komponente hilft dabei, den Datenverkehr zum richtigen Rechenzentrum oder zu den richtigen Cloud-Ressourcen zu leiten. Schließlich nutzen Gerät und Dienste einen SDP-Client, der eine Verbindung zum Controller herstellt und den Zugriff auf Ressourcen anfordert. Einige SDP-Implementierungen sind agentenlos.
Die Grundvoraussetzung, unter der VPNs ursprünglich erstellt und bereitgestellt wurden, ist, dass es einen Unternehmensperimeter gibt, der angeblich durch Perimetersicherheitsgeräte wie IDS/IPS und Firewall geschützt ist. Ein VPN ermöglicht es einem Remote-Benutzer oder Geschäftspartner, durch den Perimeter zu tunneln, um Zugriff auf das Innere eines Unternehmens zu erhalten, und bietet so lokale Zugriffsrechte, selbst wenn er entfernt ist.
Die Realität moderner IT-Unternehmen sieht so aus, dass der Perimeter nicht mehr existiert und Mitarbeiter, Auftragnehmer und Partner an Standorten auf dem Campus, remote, in der Cloud und auf der ganzen Welt arbeiten. Das ist die Welt, in die SDP hineingeboren wurde und die es zu lösen gilt.
VPNs sind auch heute noch weit verbreitet und für bestimmte Arten des Fernzugriffs und die Anforderungen mobiler Mitarbeiter weiterhin nützlich, erfordern jedoch ein gewisses Maß an implizitem oder gewährtem Vertrauen. Das Unternehmensnetzwerk vertraut darauf, dass jemand, der über die richtigen VPN-Zugangsdaten verfügt, über diese Zugangsdaten verfügt und Zugang erhält. Wenn sich nun herausstellt, dass dieser VPN-Benutzer ein böswilliger Benutzer ist oder die Anmeldeinformationen von einer unbefugten Person gestohlen wurden, die jetzt Zugriff auf ein lokales Netzwerk hat, ist das eine Art Problem, und ein Problem, das VPNs von Natur aus nicht wirklich lösen können alles gut, wenn überhaupt.
Ein SDP- oder Zero-Trust- Modell kann in modernen, perimeterlosen Unternehmen verwendet werden, um Remote-, Mobil- und Cloud-Benutzer sowie Workloads zu schützen. Bei SDP geht es nicht nur um einen sicheren Tunnel, sondern auch um Validierung und Autorisierung. Anstatt nur darauf zu vertrauen, dass ein Tunnel sicher ist, gibt es Kontrollen zur Validierung des Status, robuste Richtlinien zur Gewährung des Zugriffs, Segmentierungsrichtlinien zur Einschränkung des Zugriffs und mehrere Kontrollpunkte.
SDP geht über die bloße Behauptung hinaus, dass die Fiktion eines harten Perimeters immer noch existiert
Die zunehmende Einführung von Zero-Trust-Sicherheitstechnologien durch Unternehmen jeder Größe ist ein sich entwickelnder Trend. Da Unternehmen versuchen, Risiken zu reduzieren und ihre potenzielle Angriffsfläche zu minimieren, ist es oft ein wichtiges Ziel, mehr Kontrollpunkte zu haben. Sicherheitsexperten empfehlen Unternehmen außerdem in der Regel, die Anzahl privilegierter Benutzer zu minimieren und den Zugriff nach dem Prinzip der geringsten Rechte zu gewähren. Anstatt einem VPN-Benutzer einfach nur vollen lokalen Zugriff zu gewähren, sollten Systemadministratoren den Zugriff auf der Grundlage von Richtlinien und Geräteautorisierung einschränken, was ein Kernmerkmal des Zero-Trust-Modells ist.
Eine gut strukturierte Zero-Trust-Lösung kann auch den potenziellen Vorteil eines geringeren Overheads bieten, ohne dass eine physische Appliance oder clientseitige Agenten erforderlich sind.
Anwendungsfälle
Für Geschäftsanwender sind VPNs ein vertrautes Konzept für den Fernzugriff, und daran wird sich in naher Zukunft wahrscheinlich nichts ändern. Für den Zugriff auf eine lokale Dateifreigabe innerhalb eines Unternehmens oder auch für so einfache Dinge wie den Zugriff auf einen Unternehmensdrucker wird ein VPN in den nächsten zwei bis drei Jahren eine sinnvolle Option bleiben. Da jedoch immer mehr Unternehmen auf SDP umsteigen, wird sogar der einfache Zugriff auf einen Drucker abgedeckt.
Innerhalb von Unternehmen sind interne Bedrohungen im perimeterlosen Unternehmen genauso wahrscheinlich wie externe. Ein Zero-Trust-Modell ist ein nützliches Modell, um Insider-Risiken zu begrenzen.
Für Entwickler und DevOps-Beteiligte ist Zero Trust ein eleganterer und kontrollierterer Ansatz zur Gewährung von Zugriff sowie zur Bereitstellung des Zugriffs auf lokale, Cloud- und Remote-Ressourcen. Die Entwicklung ist verteilt und das einfache Tunneln in ein Netzwerk ist nicht so leistungsstark wie das, was Zero Trust ermöglichen kann.
VPNs sind längst nicht mehr die versprochene Komplettlösung zur Zugriffssicherung.
Die Realität im modernen Internet sieht so aus, dass Bedrohungen von überall her kommen und dass jedes Gerät oder jeder kompromittierte Benutzerzugangsdaten als Dreh- und Angelpunkt für den Einbruch in ein Netzwerk missbraucht werden kann. Ein Zero-Trust-Ansatz kann über den bloßen Einsatz von Verschlüsselung und Anmeldeinformationen hinausgehen, um Risiken zu minimieren und die Sicherheit zu verbessern. SDP geht über die bloße Behauptung hinaus, dass die Fiktion eines harten Perimeters immer noch existiert.
Feedback