Sechs Anforderungen an den performanten und sicheren Telearbeitsplatz
15. Juli 2020Die Verlagerung der Mitarbeiter an den heimischen Schreibtisch stand unter Zeitdruck, so dass viele Unternehmen zu einem schnellen und pragmatischen IT-Lösungsansatz für die Telearbeit griffen, der nicht immer unter den Gesichtspunkten der Performanz und Sicherheit erfolgte. Nach den ersten Erfahrungswerten kommt nun in einem zweiten Schritt die Phase der Bewertung und strategischen Planung, wie Unternehmen mit der neuen Agilität des mobilen Arbeitens fortfahren wollten.
Die Pandemie stellte sich als Katalysator von Cloud-Projekten heraus und auch im Nachgang werden nun Investitionen in die Transformation von IT-Infrastrukturen fließen. Dabei sollten neben der geforderten Leistungsfähigkeit beim Fernzugriff auf Daten im Rechenzentrum und Multicloud-Umgebungen auch Sicherheitsaspekte in den Mittelpunkt rücken.
Im Folgenden werden sechs Anforderungen an eine neue IT-Architektur formuliert, um die Telearbeit sicher, performant und anwenderfreundlich zu gestalten. Denn wenn Unternehmen ihre Transformation weiter vorantreiben möchten, sollte der Zugriff auf Anwendungen und Daten für Mitarbeiter unabhängig von deren Arbeitsort in den Fokus rücken.
Umsetzung einer nahtlosen Anwendererfahrung mit direktem Zugang zu internen und externen Anwendungen
Unternehmen sollten aufbauend auf ihren Erfahrungen die Sicherheit von traditionellen, auf Legacy-Appliances basierenden Remote Access Tools, wie VPNs, auf den Prüfstand stellen. Im Zuge der Agilität ist eine Lösung für den Fernzugriff auf Anwendungen und Daten gefordert, die den Remote Traffic unabhängig vom Standort des Benutzers oder der Zielanwendung sichert.
Zero-Trust-Ansätze ermöglichen Benutzern den direkten Zugriff auf Anwendungen an jedem beliebigen Standort aufbauend auf ihrer Identität. Dadurch entfällt das sogenannte Hair-Pinning (unter Hair-Pinning ist eine Kommunikation zwischen zwei Hosts hinter demselben NAT-Gerät unter Verwendung ihres zugeordneten Endpunkts gemeint), das durch das Backhauling (mit Backhauling wird die Anbindung eines vorgelagerten, meist hierarchisch untergeordneten Netzknotens an einen zentralen Netzknoten bezeichnet) von Datenverkehr durch ein VPN verursacht wird, der Datenverkehr wird reduziert und die Latenzzeit verringert – was letztlich zu einer Verbesserung des Zugriffsgeschwindigkeit führt. Zero Trust steht für erhöhte Sicherheit, da das Eindringen von unbefugten Benutzern in das Netzwerk verhindert wird.
Vorhalten eines kontextsensitiven Zugangs
Benutzer sollten nur Zugang zu den Daten und Anwendungen erhalten, die für ihre Arbeit und Aufgabenfelder notwendig sind. Unternehmen sollten dementsprechend klare Zugriffsrichtlinien und -regeln entwickeln, die durch ein Zero-Trust-Sicherheitsmodell umgesetzt werden, bei dem nur autorisierten Benutzern Zugriff auf ihre benötigten Anwendungen gewährt wird. Dies kann den lateralen Datenverkehr im Netzwerk einschränken, so dass User keine Anwendungen erreichen, für die sie nicht berechtigt sind.
Der kontextbezogene Zugriff bietet auch Vorteile in anderen Szenarien, die über die Heimarbeit hinausgehen, wie z.B. Fusionen und Übernahmen, Cloud-Migration, Zugriff durch Drittparteien. Zero Trust Network Access-Lösungen adressieren all diese Szenarien mit einfachen Richtlinien, die nicht netzwerkzentriert, sondern benutzerorientiert sind.
Flexible Implementierung der Lösung für eine reibungslose Erweiterung im Bedarfsfall
Ein Cloud-basierter Zero-Trust-Service kann eine skalierbare Umgebung bieten, ohne die IT-Abteilung erheblich zu belasten. Unternehmen können mit einem ersten Anwendungsfall zum Beispiel in einer Region beginnen und nach und nach von allgemeinen Richtlinien zu detaillierteren und spezifischeren Richtlinien übergehen.
Einige Elemente eines Zero-Trust-Ansatzes könnten bereits in der Infrastruktur vorhanden sein, wie z.B. Endpunktmanagement, kontinuierliche Diagnose und Eindämmung, ein Software-definiertes Netzwerk, Mikrosegmentierung und Cloud-Monitoring. Sobald der Zero-Trust-Access voll funktionsfähig ist, müssen Unternehmen den VPN-Zugang für diesen Anwenderbereich ausschalten und können sich die nächste Region vornehmen.
Umfassende Sichtbarkeit und Fehlerbehebung zur schnellen Lösung von Anwenderproblemen
Wenn die IT-Abteilung keinen Überblick über die Existenz von Assets hat, können diese auch nicht geschützt werden. Ein Nachteil von Legacy-Lösungen ist, dass die Daten über die gesamte Umgebung verteilt sind und die Unternehmen oft komplexe Tools mit mehreren Schnittstellen, Methoden und Terminologien zur Verwaltung verwenden.
Fehlt der Überblick, steigt die Wahrscheinlichkeit, dass sich Angreifer im Hintergrund verstecken und darauf bauen, übersehen zu werden. Zero Trust bietet IT-Administratoren eine einzige Plattform für die Verwaltung, Administration und Protokollierung von Benutzern, auf der alle nötigen Information bereitstehen. Administratoren haben somit die volle Transparenz und Kontrolle über die verteilte Umgebung.
Reduktion des Wartungsaufwands für die Sicherheits- und Fernzugriffsinfrastruktur
Appliance-basierte Fernzugriffslösungen benötigen ständig Aktualisierungen von Firmware, Software, Sicherheit und Richtlinien, um mit der Technologie und den sich stetig entwickelnden Sicherheitsrisiken Schritt zu halten.
Ein Cloud-basiertes Software-as-a-Service-Modell reduziert den Verwaltungs- und Wartungsaufwand erheblich, da Sicherheits-Updates automatisch und kontinuierlich in der Cloud erfolgen und somit keine Sicherheitslücken zwischen Patches entstehen. Dadurch können Unternehmen Zeit gewinnen, sich auf kritischere Anforderungen und die Verbesserung ihrer Richtlinien zu konzentrieren, anstatt Sicherheitslücken manuell zu schließen.
Skalierbarkeit für zukünftige Szenarien sicherstellen
Ältere Fernzugriffslösungen, wie Remote Access VPNs, erfordern möglicherweise Anpassungen der Bandbreite, des Durchsatzes oder die Einführung zusätzlicher Technologien, um den betrieblichen Anforderungen einer steigenden Home Office Belegschaft oder mobiler Mitarbeiter gerecht zu werden.
Die ersten Reaktionen vieler Unternehmen auf die aktuelle Krise waren Kapazitätserweiterungen durch die Implementierung neuer Infrastruktur oder das Hinzufügen neuer Geräte, was mit hohem Verwaltungsauswand verbunden war. Ein Cloud-nativer Ansatz für die Absicherung von Fernzugriff auf das Unternehmensnetz oder Cloud-Umgebungen bietet eine Lösung, die sich bei künftigen Szenarien problemlos nach Bedarf auf- und abwärts skalieren lässt.
Ausblick
Gartner hat mit seinem Secure Access Service Edge (SASE)-Konzept ein Rahmenwerk vorgestellt, das auch Netzwerk-, Connectivity und Sicherheitsanforderungen für mobile Arbeitsumgebungen umfasst und damit nicht nur den Bedarf von Telearbeit aus dem eigenen Büro abdeckt, sondern auch den Anforderungen von Road Warriors entspricht. Anstelle von netzwerkzentrierten Kontrollen und Remote Access-Verbindungen tritt in diesem Rahmenwerk Anwender-zentrierte Sicherheit. Damit erhalten hochgradig verteilte Teams und Mitarbeiter, die jenseits des traditionellen Netzwerkbereichs arbeiten, performanten und sicheren Zugriff auf Anwendungen und Daten.
Unternehmen haben in den letzten Monaten gelernt, dass ein systematischer Prozess zur Bewertung und gegebenenfalls Anpassung der Telearbeit benötigt wird. Diese Überprüfungsprozesse werden letztlich zu einer flexibleren und sicheren Infrastruktur führen, mit deren Hilfe Unternehmen jederzeit in der Lage sind, ihre Mitarbeiter produktiv zu halten, unabhängig von ihrem Arbeitsort.
Stan Lowe ist Global Chief Information Security Officer bei Zscaler.