Leitfaden für einheitliche Sicherheit

Sicherer Zugriff: Eine zentrale und cloudbasierte Zero-Trust-Sicherheitslösung

Leitfaden für einheitliche Sicherheit – Kapitelübersicht

Vollständiger Sicherheitsleitfaden

Mit der Umstellung von Unternehmen auf hybride Arbeitsmodelle, bei denen Endbenutzer – darunter Mitarbeiter, Auftragnehmer und Partner – von überall aus arbeiten können, müssen sich IT-Teams entsprechend anpassen, um diesen Endbenutzern einfache, sichere und produktive digitale Arbeitsplätze bereitzustellen.

Zu diesem Zweck migrieren Unternehmen zunehmend Daten und Legacy-Anwendungen in die Cloud und entwickeln neue cloudbasierte Anwendungen – einschließlich SaaS-Anwendungen (Software as a Service). Viele IT-Teams ermöglichen es den Mitarbeitern auch, über ihre eigenen Geräte und Remote-Netzwerke auf diese Unternehmensressourcen zuzugreifen, da sie sich von dieser Flexibilität eine höhere Produktivität erhoffen.

Durch die Cloud-Umstellung und Einführung von BYOD-Richtlinien (Bring Your Own Device) zur Optimierung von Remote-Workflows werden anwendungsbasierte Sicherheitslösungen – wie Secure Web Gateways (SWGs), Web App Firewalls (WAFs) und Virtual Private Networks (VPNs) – jedoch hinfällig. Durch ihre starre Infrastruktur führen diese Lösungen zu suboptimalem Benutzerkomfort, Sicherheitslücken und mangelnder Skalierbarkeit.

Da immer mehr Mitarbeiter remote arbeiten und Anwendungen weiterhin in die Cloud verlagert werden, müssen IT-Teams über Appliance-basierte Sicherheitslösungen hinausgehen, um Assets und Endbenutzer weiterhin produktiv zu halten und zu schützen. Glücklicherweise bietet eine einheitliche Lösung für sicheren Zugriff von Citrix cloudbasierte Sicherheit auf Zero-Trust-Basis. Dank der SASE-Architektur können Unternehmen ihre IT schnell modernisieren, Sicherheitslücken gleichzeitig agiler sowie effektiver beheben und höchstmöglichen Benutzerkomfort bieten.

Bevor wir aufzeigen, welche Merkmale eine einheitliche Lösung für sicheren Zugriff genau umfasst, gehen wir näher auf die Probleme Appliance-basierter IT-Sicherheitssysteme ein.

Der zentralisierte sichere Zugriff über die Cloud von Citrix

Die Probleme Appliance-basierter IT-Sicherheitssysteme

Bestehende Appliance-basierte lokale Sicherheitslösungen wie SWGs, WAFs und VPNs können Daten oder Anwendungen in der Cloud einfach nicht effektiv schützen, da sie durch ihre physische Hardware und starren Sicherheitsrichtlinien eingeschränkt sind. Darüber hinaus erzwingen sie Backhauling des Benutzer- und Anwendungs-Traffic über ohnehin schon überlastete Netzwerke und sind schwer zu skalieren. Dies verursacht Latenz, die den Benutzerkomfort beeinträchtigt, und macht Anwendungen für moderne Angriffsmethoden verwundbar.

Bei der Cloud-Migration führt eine Mischung aus Zero Trust und cloudbasierten Zugriffslösungen ebenso zu mangelndem Benutzerkomfort. Zum Beispiel erfordert der Zugriff auf Anwendungen in Hybrid- oder Multi-Cloud-Umgebungen heute, dass Endbenutzer mehrere Zugriffsmechanismen verwenden. Darunter leidet nicht nur der Benutzerkomfort. Die IT ist zudem gezwungen, separate Sicherheitsrichtlinien und Monitoring-Tools zu definieren. Da diese isolierte Struktur Sicherheitslücken aufklaffen lässt, können Unternehmen modernen Angriffsvektoren ausgesetzt sein, die zu unbefugtem Zugriff führen, sowie verschiedenen Malware- und Zero-Day-Bedrohungen, die monatelang unentdeckt bleiben können.

Hinsichtlich der Nutzung von BYO- und privaten Endgeräten sowie öffentlichen Netzwerken zum Zugriff auf Unternehmensanwendungen in der Cloud fällt es vielen IT-Teams schwer, mit Appliance-basierten Lösungen für ausreichend Schutz vor Angriffen auf Anwendungsebene zu sorgen. Leider erkennen Lösungen wie VPNs nur schwer, ob bösartige Inhalte auf die Unternehmensanwendungsinfrastruktur übertragen werden.

Selbst von Unternehmen verwaltete Geräte geraten angesichts der Cloud-Migration ins Hintertreffen. Diese Geräte werden neben der offiziellen Arbeit häufig auch für privates Surfen verwendet. Da die IT nicht den Überblick über alle von Benutzern aufgerufenen Anwendungen und Inhalte hat, können personenbezogene Daten schnell offengelegt werden.

Herkömmlicher „Castle and Moat“-Ansatz

Herkömmliche Appliance-basierte Sicherheitslösungen wie VPNs und SWGs wurden entwickelt, um vor Ort gespeicherte Daten und Benutzer im Unternehmensnetzwerk zu schützen. Diese Lösungen folgen dem Prinzip eines Burggrabens, der die Burg und alles in ihrem Inneren schützt. Da jedoch die wertvollen Assets (d. h. Benutzer, Daten und Anwendungen) aus der Burg „ausgezogen“ sind, bietet der Burggraben keinen verlässlichen Schutz mehr. Weil Anwendungen und Daten in die Cloud verlagert werden und immer mehr Benutzer remote arbeiten, erzwingt dieser Ansatz einen Backhaul des gesamten Benutzer-Traffics in das Rechenzentrum, um dort Sicherheitskontrollen durchzusetzen. Für Remote-Benutzer von cloudbasierten Anwendungen führt dies zu Latenz und mangelndem Benutzerkomfort.

Herkömmliche Sicherheit

Eine herkömmliche Methode für Anwendungssicherheit ist das Prinzip, Bekanntem implizit zu vertrauen, zum Beispiel Mitarbeitern des Unternehmens oder URLs auf einer Whitelist. Das bedeutet, dass ein Mitarbeiter auf alle Anwendungen und Daten innerhalb dieses Netzwerks zugreifen kann, sobald er sich mit einem Unternehmensnetzwerk verbindet. Ob es sich um einen Endbenutzer, eine URL auf der Whitelist oder ein verwaltetes Gerät handelt, dieses „implizite Vertrauen“ wird von mehreren modernen Cyberangriffen ausgenutzt. Sie nutzen kompromittierte Anmeldedaten, um unbefugten Zugriff zu erhalten, zugelassene URLs mit bösartigen Inhalten zu infizieren – die sich dann auf die ganze IT-Infrastruktur ausbreiten – oder ein gestohlenes oder kompromittiertes Gerät verwenden, um auf Informationen zuzugreifen und geistiges Eigentum zu stehlen.

Komplexität bestehender Infrastrukturen

Die meisten modernen Unternehmen verfügen über hochkomplexe Infrastrukturen, die aus Anwendungen, Systemen und Netzwerken bestehen, die in mehreren IT-Umgebungen eingesetzt werden – einschließlich Rechenzentren vor Ort, Public Clouds und Private Clouds. Dies hat dazu geführt, dass Unternehmen einen komplizierten Cybersicherheits-Stack mit bis zu 75 Tools zur Bedrohungserkennung unterhalten.

Die Verwaltung dieser Tools zur Bedrohungserkennung kann schwierig, arbeitsintensiv und teuer sein, insbesondere wenn ein Unternehmen wächst. Es kann Tage (oder sogar Wochen und Monate) dauern, bis die IT diese Tools ordnungsgemäß konfiguriert hat und überwacht. Noch schlimmer ist, dass ein solcher isolierter Sicherheitsansatz zu inkonsistenten Konfigurationen und Informationen sowie allgemeiner Verwirrung für die Mitglieder des IT-Teams führen kann. Dies kann für ein Unternehmen enorm problematisch sein, da moderne Bedrohungen immer raffinierter werden und es länger dauert, bis sie in einer isolierten Architektur erkannt und abgewehrt werden.

Unzureichender Schutz vor modernen Angriffen

Mit der Cloud-Migration von Anwendungen und deren Bereitstellung an mehreren Standorten wird es immer wichtiger, sie vor modernen Angriffen auf Anwendungs- und API-Ebene zu schützen, zum Beispiel vor DDoS-Angriffen (Distributed Denial of Service), Bots, Cross Site Scripting (XSS), SQL-Injections und Anwendungsmissbrauch. Viele moderne und verbraucherorientierte Anwendungen speichern große Mengen an Verbraucher- und personenbezogenen Daten. Ihr Schutz wird somit wichtiger denn je.

Vorhandene lokale Lösungen können DDoS-Angriffe nicht immer vollständig abwehren, insbesondere wenn der Angriff in großem Umfang erfolgt – z. B. bei einem volumetrischen DDoS-Angriff. Da lokale Appliances in ihrer Skalierbarkeit eingeschränkt sind, können diese Angriffe eine Appliance-basierte Lösung schnell überfordern. Diese Arten von Angriffen müssen am Netzwerkrand gestoppt werden, bevor sie in das Netzwerk selbst eindringen können – insbesondere da immer mehr Anwendungen in der Cloud bereitgestellt werden.

Mangelnde Erkennbarkeit von Sicherheitsvorfällen

Sicherheitslösungen wie lokale SWGs leiten den gesamten Internet-Traffic durch das Rechenzentrum zurück, was bedeutet, dass die Sicherheitskontrollen für diesen Datenverkehr nicht in Echtzeit umgesetzt werden. Dies liegt daran, dass er zur weiteren Inspektion durch lokale DLP-Engines (Data Loss Prevention) in das Rechenzentrum geleitet werden muss. Im Falle eines Verstoßes kann die Bedrohung nicht am Netzwerkrand erkannt werden. Und da DLP-Kontrollen nicht näher an den Cloud-Anwendungen des Unternehmens liegen, werden Bedrohungen oder Sicherheitsverletzungen nicht in Echtzeit erkannt.

Mangel an IT-Kenntnissen

Ein Mangel an IT-Kenntnissen zwingt viele Unternehmen, ältere und isolierte anwendungsbasierte Sicherheitstechnologien weiterhin zu verwenden und zu verwalten. Auch in der IT gibt es eine Menge Fluktuation – insbesondere im Bereich Cybersicherheit. Dies liegt in erster Linie daran, dass IT-Teams ihre Kenntnisse diversifizieren möchten, aber in ihren Unternehmen nicht genügend Weiterbildungsmöglichkeiten haben.

Was ist eine einheitliche Lösung für sicheren Zugriff?

Im Gegensatz zu Sicherheitsstrategien mit mehreren Appliances oder Anbietern, die über mehrere IT-Umgebungen verteilt sind, bietet eine einheitliche Lösung für sicheren Zugriff cloudbasierte Zero-Trust-Sicherheit mit einem einzigen, vollständig verwalteten Sicherheits-Stack. Dies hilft nicht nur, Endbenutzer, Anwendungen, Geräte und die zugrunde liegende Infrastruktur eines Unternehmens zu schützen, sondern ermöglicht es IT-Administratoren auch, die Sicherheit für alle Anwendungen, Desktops und Daten auf Unternehmensebene von einer einzigen und einheitlichen Managementebene aus zu verwalten.

Eine einheitliche Lösung für sicheren Zugriff von Citrix bietet ganzheitliche Transparenz und Überwachungskontrollen für alle Anwendungen, Clouds und Geräte über ein konsolidiertes Monitoring-Dashboard. Die IT behält so in Echtzeit den Überblick und kann den höchstmöglichen Benutzerkomfort für eine sichere hybride Arbeitsumgebung gewährleisten.

3 Vorteile einer einheitlichen Lösung für sicheren Zugriff

1. Bereitstellung einer sicheren und produktiven hybriden Arbeitsumgebung

Mit einer einheitlichen Lösung für sicheren Zugriff können IT-Teams den Endbenutzerzugriff bei hybriden Arbeitsmodellen einfach schützen. Dank einheitlicher Sicherheit und adaptivem Zugriff auf alle Web-, virtuellen und SaaS-Anwendungen und -Desktops bietet diese Lösung eine sichere, einfache und produktive Arbeitsumgebung für Remote-Mitarbeiter mit der Flexibilität, jedes Gerät von jedem Standort aus zu verwenden. Dies ermöglicht nicht nur die kontinuierliche Überwachung und Evaluation der Benutzeraktivität sowie eine automatische Umsetzung von Sicherheitsrichtlinien, sondern schützt auch Daten auf genehmigten und ungenehmigten Geräte vor Diebstahl durch Missbrauch oder Benutzerfehler.

2. Modernere IT und einfachere digitale Transformation

Eine einheitliche Lösung für sicheren Zugriff stellt sicher, dass IT-Teams ihre Infrastruktur modernisieren und die digitale Transformation ihres Unternehmens über eine cloudbasierte Zero-Trust-Plattform fördern können. Eine einheitliche Lösung für sicheren Zugriff bietet adaptive und intelligente, vereinfachte Sicherheitsrichtlinien, mit denen die IT für konsistenten Benutzerkomfort sorgen und Benutzeraktivitäten über ein zentrales Dashboard über alle Anwendungen, Geräte und Standorte hinweg nachverfolgen kann.

Darüber hinaus bietet eine robuste, einheitliche Lösung für sicheren Zugriff auch ein umfangreiches Angebot an Technologieintegrationen, das aktuelle Investitionen in die Sicherheitsinfrastruktur schützt. So können Unternehmen auf eigenem Weg eine cloudbasierte SASE-Architektur (Secure Access Service Edge) implementieren. Außerdem entfallen die Betriebskosten, die für die Installation und Verwaltung physischer, Appliance-basierter Lösungen erforderlich sind.

3. Verhindert Cyberbedrohungen und mindert Risiken

Eine einheitliche Lösung für sicheren Zugriff reduziert nicht nur das Risiko für Remote-Mitarbeiter, sondern minimiert auch Bedrohungen für Geräte, Unternehmensdaten sowie Anwendungen und APIs.

Über den Austausch herkömmlicher VPN- und SWG-Sicherheitslösungen durch eine Cloud-Lösung auf Zero-Trust-Basis können Unternehmen bedingten Anwendungszugriff bereitstellen. Zudem werden Anmeldeinformationen und vertrauliche Daten vor Diebstahl durch Keylogger und Screenshot-Malware geschützt.

Dieser Schutz geht über die Endbenutzer hinaus. Geräte und Unternehmensdaten werden durch konsistente Always-On-Bedrohungsprävention mit Erkennungsmethoden geschützt, die KI (künstliche Intelligenz) und ML (maschinelles Lernen) nutzen. Dies vereitelt interne und externe Bedrohungen über alle Anwendungen, APIs, Daten und Geräte hinweg und reduziert gleichzeitig das Gesamtrisiko von Malware, Bots, DDoS und Zero-Day-Angriffen.

Darüber hinaus schützt eine einheitliche Lösung für sicheren Zugriff Anwendungen und APIs, indem sie sowohl DDoS-Angriffe vor Ort als auch volumetrische Angriffe und DDoS-Angriffe auf Anwendungsebene in der Cloud blockiert.

Was macht eine einheitliche Lösung für sicheren Zugriff aus?

Fünf Hauptmerkmale einer zuverlässigen Lösung für konsolidierten sicheren Zugriff:

  1. Konsolidiert den Zugriff auf alle internen und externen Anwendungen, unabhängig von der Genehmigung durch die IT. 
  2. Gewährleistet eine sichere und leistungsstarke Arbeitsumgebung für hybride Mitarbeiter 
  3. Verringert das Risiko von externen und internen Angriffen für alle Anwendungen, Anwendungs-APIs, Endgeräte und Daten. 
  4. Vereinheitlicht die digitale Architektur von Unternehmen und ermöglicht es ihnen, von konsolidierten Netzwerk- und Sicherheitsfunktionen zu profitieren, um eine Zero-Trust-/SASE-Sicherheitsumgebung zu schaffen.
  5. Es ist nicht länger notwendig, IT-Schulungen für mehrere Sicherheitsstrategien/-plattformen durchzuführen oder zusätzliche Cybersicherheitsexperten einzustellen, wodurch Sie einen höheren ROI erzielen.

Um diese Eigenschaften zu bieten, sollte eine einheitliche Lösung für sicheren Zugriff aus folgenden Komponenten bestehen:

Zero-Trust-Netzwerkzugriff (ZTNA)

Eine ZTNA-Lösung erweitert die herkömmlichen Sicherheitsgrenzen des Rechenzentrums und schützt Benutzer und Anwendungen direkter. Dies ermöglicht eine kontinuierliche Verifizierung und einen adaptiven Zugriff in Echtzeit, einschließlich der Analyse von Benutzer-, Geräte- und Standortdaten. Eine ZTNA-Architektur verwendet eine Reverse-Proxy-Verbindung, um eine sichere Verbindung zwischen Benutzern und Anwendungen herzustellen. Dies stellt sicher, dass Endbenutzer nur Zugriff auf die Unternehmens- oder Netzwerkressourcen haben, die sie für ihre Arbeit benötigen. Dabei werden ihre Aktivitäten kontinuierlich in Echtzeit evaluiert und ihre Identität gilt nie als vertrauenswürdig.

Anwendungssicherheit

Eine Anwendungssicherheitslösung muss Unternehmen umfassende Anwendungssicherheit gewähren und in jeder Infrastruktur optimierten Benutzerkomfort bieten. Im Herzen solcher Lösungen steht meist ein robuster Application Delivery Controller (ADC), während KI und Machine Learning konstanten Schutz vor bekannten und unbekannten Bedrohungen für die Anwendungssicherheit bieten. Wenn Sie ihre Lösung für Anwendungssicherheit von einem einzigen Anbieter beziehen, lassen sich alle Anwendungstypen unabhängig von der Bereitstellungsart über eine zentrale Oberfläche mit End-to-End-Visibilität kontrollieren.

Sicherheit über die Cloud

Mit einer konsolidierten cloudbasierten Sicherheitslösung wird das Management zentralisiert, während Kontrollpunkte dezentralisiert und verteilt werden. Dies ist eine effektive Möglichkeit, um Benutzer und Anwendungen unmittelbarer zu schützen. Für IT-Teams vereinfacht sich auch das Anbietermanagement, da sie sich bei der Implementierung mehrerer Sicherheitsrichtlinien im gesamten Netzwerk nur auf einen Anbieter konzentrieren müssen. Darüber hinaus können sich interne IT-Teams auf wertschöpfende Arbeiten konzentrieren, anstatt Sicherheitsrichtlinien unterschiedlicher Anbieter an mehreren Standorte unter Dach und Fach zu bringen.

API-Sicherheit

Moderne, Cloud-fokussierte API-Sicherheitslösungen setzen Autorisierung und Authentifizierung konsequent durch und gewährleisten einen umfassenden Schutz, der ein Always-On-Sicherheitsframework über Multi-Cloud-Setups hinweg unterstützt. Eine ganzheitliche Lösung für API-Sicherheit umfasst Sicherheitskomponenten wie DDoS-Abwehr, Bot-Management und WAFs. Mittels KI und maschinellem Lernen passt sie sich laufend an neue API-Bedrohungen an, insbesondere in Multi-Cloud-Umgebungen. Zusätzlich sollte eine solche Lösung einheitliches API-Management bieten, um einfache Skalierbarkeit sicherzustellen und ihr Unternehmen konstant und zentral zu schützen.

SASE

Eine SASE-Architektur erleichtert es Unternehmen, Netzwerk- und Sicherheitsrichtlinien für ihre gesamte Belegschaft zu konfigurieren, zu verwalten und zu skalieren, und dabei Transparenz sowie konsistenten Benutzerkomfort zu fördern. SASE kombiniert Lösungen wie cloudbasierte Sicherheit, softwaredefinierte Wide-Area-Netzwerke (SD-WAN), Cloud Access Security Broker (CASBs), Firewall-as-a-Service, SWGs, ZTNA und mehr zu einer einheitlichen Lösung und stellt sicher, dass Unternehmen über eine zentrale Oberfläche sicheren Remote-Zugriff auf Anwendungen und das Internet bereitstellen können. Im Kern sind sie auf die komplexen Anforderungen moderner dezentraler Belegschaften ausgelegt.

Bot-Management und -Abwehr

Eine zuverlässige Lösung für Bot-Management und -Abwehr folgt einem ganzheitlichen Ablauf: Bots werden erkannt, gutartige erhalten Zugriff auf Unternehmensressourcen, betrügerische werden blockiert, Art, Ursprung und Aktionen von Bot-Traffic werden gemeldet und protokolliert. Für diesen Ablauf können derartige Lösungen Sicherheitskontrollen wie Bot-Signaturdateien und -profile, Blockierlisten betrügerischer IP-Adressen und Gerätefingerabdrücke verwenden.

Diese Kontrollen stellen sicher, dass Angreifer API-Schwachstellen nicht ausnutzen können, um geistiges Eigentum zu stehlen, Netzwerk- oder Serverressourcen zu horten, Kontoübernahmen durchzuführen oder Business Intelligence zu gefährden.

Benutzer, Anwendungen und Endgeräte mit Citrix schützen

Angesichts der zunehmenden Cloud-Migration und wachsenden Remote-Belegschaften müssen IT-Teams die richtigen Sicherheitslösungen bereitstellen, um ihre Unternehmensinfrastruktur und ihre Mitarbeiter zu schützen und gleichzeitig eine produktive Arbeitsumgebung zu fördern. Mit einer einheitlichen Lösung für sicheren Zugriff von Citrix können Unternehmen die digitale Transformation beschleunigen und die IT mit einem cloudbasierten Sicherheits-Stack auf Zero-Trust-Grundlage modernisieren. Dies bietet nicht nur dauerhaften Schutz für alle Endbenutzer, Anwendungen, Geräte und die zugrunde liegende Infrastruktur eines Unternehmens, sondern auch höheren Benutzerkomfort, der die Produktivität und Zusammenarbeit steigert.

FAQs

Was ist eine einheitliche Lösung für sicheren Zugriff?

Im Gegensatz zu Sicherheitsstrategien mit mehreren Appliances oder Anbietern, die über mehrere IT-Umgebungen verteilt sind, bietet eine einheitliche Lösung für sicheren Zugriff cloudbasierte Zero-Trust-Sicherheit mit einem einzigen, vollständig verwalteten Sicherheits-Stack. Dies hilft nicht nur, Endbenutzer, Anwendungen, Geräte und die zugrunde liegende Infrastruktur eines Unternehmens zu schützen, sondern ermöglicht es IT-Administratoren auch, alle Anwendungen, Desktops und Daten auf Unternehmensebene über eine zentrale Oberfläche zu verwalten.

Was ist adaptiver Zugriff?

Adaptiver Zugriff gewährt oder verweigert den Anwendungs- oder Ressourcenzugriff basierend auf mehr Faktoren als der dem Benutzer zugewiesenen Rolle, einschließlich Standort, Gerät sowie Art und Zeitpunkt der Anfrage. Mit adaptivem Zugriff können IT-Teams die 5 W-Fragen des Zugriffs berücksichtigen – dazu gehören das Wer, Was, Wann, Wo und Warum aller Zugriffe und Transaktionen.

Wie lässt sich der Zugriff von Remote-Mitarbeitern schützen?

Der richtige Schutz des Remote-Zugriffs für Mitarbeiter beginnt mit der Implementierung einer cloudbasierten Lösung für einheitlichen sicheren Zugriff. Diese Art von Lösung bietet einen vollständigen Sicherheits-Stack für eine Architektur auf Basis von Secure Access Service Edge (SASE) und Zero Trust Network Access (ZTNA). Im Kern bietet eine einheitliche Lösung für sicheren Zugriff eine echte Anbieterkonsolidierung für alle Sicherheits- und Netzwerkanwendungsfälle, einschließlich ZTNA, Cloud Access Security Broker (CASB), Secure Web Gateway (SWG), Data Loss Prevention (DLP), Sandbox, Malware-Schutz, Firewall, Anwendungs- und API-Schutz und softwaredefiniertes Wide Area Network (SD-WAN).