:quality(80)/p7i.vogel.de/wcms/d5/e0/d5e0dfb1eb6e63c2afefe08e3ca29f76/0111467297.jpeg "Kingstons DC600M-SSDs sind für Systemintegratoren, Hyperscaler und Cloud-Service-Anbieter konzipiert. (Bild: Screenshot / Kingston)")
:quality(80)/p7i.vogel.de/wcms/70/1b/701b2f09237f7a68d1af1d08f1dd514b/0111566424.jpeg "(Bild: ISC)")
:quality(80)/p7i.vogel.de/wcms/bc/d2/bcd23ec7c420e5667e019642df7b3142/0111596876.jpeg "Das Patch Location Rack COMFORT von Rosenberger OSI optimiert unter anderem die Flächennutzung in Rechenzentrum. (Bild: Rosenberger OSI)")
:quality(80)/p7i.vogel.de/wcms/e3/09/e3096d6dce558738c51c5ca878041061/0107846251.jpeg "Am 20. Oktober 2022 konnten die Gewinner der diesjährigen Leserwahl zu den DataCenter-Insider-Awards ihre Preise bei einer Abendgala in Empfang nehmen. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/d0/4e/d04ed61cedb2e95dd4239fe7dc09da1c/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1953100/1953154/original.jpg "Die Leserwahl zum DataCenter-Insider-Award hat begonnen. (Vogel IT-Medien GmbH)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883458/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre DataCenter-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/00/34/0034811caf1b1e5a12ceb8602a6445e5/0111320016.jpeg "(Bild: frei lizenziert/David Mark)")
:quality(80)/p7i.vogel.de/wcms/34/78/34787097bbc94a744fd61f3b69868659/0111519907.jpeg "Im Podcast und im Artikel erörtern SAP-Berater Ingo Biermann von Mindsquare und Autor Jürgen Frisch, wie sich mithilfe einer Matrix das jeweils richtige SAP-Betriebsmodell für ein Unternehmen finden lässt. (Bild: frei lizenziert: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/3e/34/3e34e067ca4ef47e08a284da91891506/0111697475.jpeg "3D-Visualisierung des geplanten Rechenzentrums der Data Center Group für DATA CASTLE. (Bild: Data Center Group)")
:quality(80)/p7i.vogel.de/wcms/02/1e/021e7b913bdc1580f04f4f52fb0a26aa/0111697730.jpeg "Durchdachte Planung und regelmäßige Wartung können das Brandrisiko in Rechenzentren deutlich reduzieren. (Bild: High Knowledge)")
:quality(80)/p7i.vogel.de/wcms/92/6b/926b64a983bacda2999b1a18bf3885ff/0112100939.jpeg "Da in Rechenzentren kritische Daten im Wert von Milliarden von Euro verarbeitet und gespeichert werden, müssen stromhungrige Server unter idealen Temperatur- und Feuchtigkeitsbedingungen gehalten werden, um Ausfallzeiten zu vermeiden und die Energie-Effizienz zu verbessern, insbesondere angesichts hoher Energiekosten und steigendem Bedarfs. (Bild: Vaisala)")
:quality(80)/p7i.vogel.de/wcms/69/a4/69a4a8b54af07e4d9260cf736b8d43c0/0112020780.jpeg "Red Hat OpenShift AI bietet nun zusätzliche Funktionen rund um generative KI. (Bild: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/88/18/88189a799a4c2340bbb7da0b44bc8331/0111672406.jpeg "Typischer ereignisgesteuerter IT-Automatisierungsprozess (Bild: Red Hat)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b43c1d39bd184857a2d757cabc077a/0111528829.jpeg "Im Rahmen ihrer neuen Partnerschaft bieten Pure Storage und MongoDB Anwenderunternehmen die Möglichkeit, MongoDB Enterprise Advanced in Portworx zu integrieren. (Bild: vladimircaribb - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/99/5a99a90b8c5b7d910e6e1fd96d12afca/0111440931.jpeg "Im Zuge des aktuellen Updates erhält die Appian-Plattform zahlreiche Erweiterungen. (Bild: Appian)")
:quality(80)/p7i.vogel.de/wcms/af/de/afdef92cdcfb7b8f16d182106f11c8ba/0111347047.jpeg "enexion berät Unternehmen rund um die Herausforderungen der kommenden ESG-Pflichten. (Bild: AndreasAux)")
:quality(80)/p7i.vogel.de/wcms/2c/44/2c44122aa037f937cda109ca4da17366/0111238449.jpeg "Mehr eine schwankende Boje als ein Rettungsanker und schon erst recht kein fester, festgefügter Untergrund: Versicherungen für IT und Rechenzentren (Bild: frei lizenziert: harmonies Pix )")
:quality(80)/p7i.vogel.de/wcms/d6/25/d625bf1a1112a0857040d98976980a3f/0111134881.jpeg "In welchen Fällen ist der Einsatz von „ChatGPT-4“ ein echter Gewinn, so dass ein Unternehmen dafür zahlen sollte? (Bild: frei lizenziert: Hans)")
:quality(80)/p7i.vogel.de/wcms/97/bf/97bf2ea5b0bc3c04fe4622db7e3c1729/0111597829.jpeg "Mit Microsoft Azure Stack HCI sowie zerifizierter Infrastruktur und Services von Dell vereint die Hybrid Cloud das Beste aus zwei Welten. (Bild: iconimage - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/ce/abceed83fe3230a26fd08ac7ad2b819c/0112002448.jpeg "Das Tier-II-Rechenzentrum von Euclyde in Straßburg mit 720 Quadratmeter Whitespace wurde im September 2022 eröffnet. (Bild: Euclyde Data Centers)")
:quality(80)/p7i.vogel.de/wcms/d1/44/d144571fde746d773ab85834f446300f/0111538207.jpeg "„Ein Lippenbekenntnis reicht hier nicht aus“, sagt Daniel Fratte, Lead Software Engineer & Green Tech Lead bei Thoughtworks. Die Unternehmen müssen eine umfassende und verpflichtende Nachhaltigkeitsstrategie entwickeln. (Bild: frei lizenziert: Colin Behrens )")
:quality(80)/p7i.vogel.de/wcms/6f/86/6f863dc3af201032635925105d9f964d/0111291252.jpeg "Das VMware Multi-Cloud-Betriebsmodell stellt Unternehmen ein Framework zur Verfügung, das Geschäfts- und IT-Strategie verbindet. (Bild: VMware)")
:quality(80)/p7i.vogel.de/wcms/66/8e/668e2f389536c6ac0adb50ef7fe2f080/0111352366.jpeg "(Bild: Dell)")
:quality(80)/p7i.vogel.de/wcms/cb/b1/cbb1af25ae1228a2de767bdab153e70f/0111406875.jpeg "Experten rechnen damit, dass innerhalb dieses Jahrzehnts ein Quantencomputer gebaut wird, der ECDSA oder vergleichbare auf dem diskreten Logarithmus basierende Kryptosysteme für öffentliche Schlüssel kompromittieren kann. (Bild: phive2015 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5d/d1/5dd15087c4d8d95a7415dcd9466256ef/0111538685.jpeg "(Bild: Technogroup)")
:quality(80)/p7i.vogel.de/wcms/a4/99/a4996a612479676b2439dd918e189ac4/0111337926.jpeg "Zur DSGVO gehört das Recht auf Vergessenwerden - Mit der Einführung der Entfernung von Personensuch-Websites ist Incogni einer der umfassendsten Dienste zur Entfernung persönlicher Informationen auf dem Markt, der rund 180 Datenbroker abdeckt. (Bild: frei lizenziert: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/2a/73/2a73d990c617a0d61059a9123a75142f/0111183876.jpeg "Geeignet für geheime Botschaften mit 2x 40 Gbit/s IPsec und <20 μs Latenz: Die VPN-Appliance von der Genua GmbH (Bild: frei lizenziert: Tayeb MEZAHDIA )")
:quality(80)/p7i.vogel.de/wcms/da/45/da456fc54723e72276bc2cd5e4097ff9/0111649607.jpeg "Dr. Ing. Stefan Hengesbach (CEO QuiX Quantum) und Markus Pflitsch (CEO QMware) bringen in Enschede ein neuartiges Quantencomputing-Rechenzentrum an den Start. (Bild: QMware)")
:quality(80)/p7i.vogel.de/wcms/f2/7b/f27b03986fc1d0efff2f101de79d8f16/0111412471.jpeg "Das Systemmodell „H2“ baut auf den Grundlagen der H-Serie von Quantinuum auf und verfügt über zahlreiche Merkmale, die es von anderen Quantencomputern abheben: All-to-All-Konnektivität, Wiederverwendung von Qubits, Messung in der Mitte des Schaltkreises mit bedingter Logik, branchenweit führende High-Fidelity-Qubit-Operationen und lange Kohärenzzeiten.“ (Bild: Quantinuum)")
:quality(80)/p7i.vogel.de/wcms/cc/74/cc746eeff777e50c1ad92e67cb98cf6a/0110796599.jpeg "Ziel von Classiq und KPMG ist es, Unternehmen mit vereinten Expertise zu helfen, Quantenanwendungsfälle zu erforschen und die Entwicklung der technologischen Fähigkeiten, die es hierfür braucht, voranzutreiben. (Bild: frei lizenziert: Garik Barseghyan )")
:quality(80)/p7i.vogel.de/wcms/0f/09/0f097990002b7600075e43c92af4a3fd/0110524571.jpeg "(Bild: frei lizenziert/Krystsina Radzewich)")
:quality(80)/p7i.vogel.de/wcms/66/ae/66ae9e32738784b57e2ad8c1a4b0986f/0109756744.jpeg "Eines der in Deutschland befindlichen NTT-Datacenter - in Hattersheim - und das PeerDC-Logo. (Bild: NTT Global Data Centers )")
:quality(80)/p7i.vogel.de/wcms/bd/26/bd26cd1fc2fcdb4b82100d1a0e24ba9a/0109064470.jpeg "Viele habe zur Überarbeitung des 'Blauen Engels' für Rechenzentren beigetragen. Stößt das Umweltzeichen damit nun auf breitere Akzeptanz? (Bild: nadtytok28 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/7a/fd7a3f27c1905255d03a7d0410626a7d/0106490349.jpeg "(Bild: EMC - Home of Data)")
:quality(80)/p7i.vogel.de/wcms/bb/80/bb80be0c5bd76440174fa8736c0fc68a/0109079523.jpeg "(Bild: Amazon)")
:quality(80)/p7i.vogel.de/wcms/90/40/904072c10c6cfb25aa589ccdc2b731a0/0105957803.jpeg "Diese bunten Rohrleitungen befinden sich nicht in London, sondern im Kühlraum des Google-Rechenzentrums in Singapur. (Bild: Google)")
:quality(80)/p7i.vogel.de/wcms/28/91/2891191f43d783185e01b7838e3ae6cd/0105726161.jpeg "Aufnahme aus dem islandischen Rechenzentrum „ICE01 DC“ von Atnorth (Bild: Atnorth)")
:quality(80)/p7i.vogel.de/wcms/53/46/5346a50e5bca503a89be890d8ccafb2f/0105679922.jpeg "2020 hat Envia Tel bereits das dritte Rechenzentrum am Standort Taucha in Betrieb genommen; jetzt wurde noch einmal erweitert. (Bild: Envia Tel)")
Sicherheit aus dem Rechenzentrum für Cloud und Edge Fünf Schritte zum erfolgreichen Umstieg auf SASE
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/125000/125044/65.jpg "Rosenberger.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/102100/102109/65.png "VMW_09Q3_LOGO_Corp_K.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
Wenn IT-Services in die Cloud transformiert werden, brauchen Unternehmen neue, ganzheitliche Sicherheitskonzepte. Denn die klassische Perimetersicherheit greift ins Leere, wenn Daten und Anwendungen aus dem Rechenzentrum in Multicloud-Umgebungen wandern und mobile Mitarbeiter außerhalb des abgesicherten Netzwerks arbeiten.
Der Versuch, moderne Arbeitsumgebungen mit traditionellen Sicherheitskonzepten zum Schutz von Netzwerken abzusichern, geht an den Bedürfnissen der Nutzer und ihrem mobilen Arbeitsalltag vorbei. Zusätzlich ändert sich die Gefahrenlandschaft durch zielgerichtete Angriffe, die es auf den einzelnen Anwender abgesehen haben.
Befindet sich dieser nicht mehr innerhalb des abgesicherten Netzwerks und greift mit mobilen Geräten auf Daten und Anwendungen in der Cloud und zeitgleich im Netzwerk zu, benötigen Unternehmen ein neues Sicherheitskonzept. Dieses sollte vor fremden Zugriffen und Malware schützen. Da Unternehmen abhängiger von der Cloud, als Ersatz für ihr Unternehmensnetz und ihre digitalen Geschäftsmodelle werden und darauf aufbauen, muss sich auch das Sicherheitskonzept den neuen Anforderungen anpassen.
Das Framework des Secure Access Service Edge (SASE) wurde von Gartner auf dem Fundament der neuen Anforderungen an den Geschäftsalltag entwickelt und erhält zukünftig durch leistungsfähigen Always-on Internet-Zugang Vorschub. Die Analysten bauen das Rahmenwerk auf der Prämisse auf, dass Sicherheit für die Cloud aufgrund der Flexibilität auch aus der Cloud kommen sollte.
Die Idee hinter dem Rahmenwerk ist, dass der Datenverkehr während des gesamten Weges von einem Anwender zu seiner Anwendung abgesichert wird – unabhängig davon, wo sich der Benutzer gerade aufhält, oder wo die Anwendung vorgehalten wird. Damit wird vom netzwerkzentrierten Ansatz Abstand genommen und zugunsten eines User-zentrierten Sicherheitskonzepts umgeschwenkt. Ein solches Modell ist auf die Absicherung der mobilen Anwender und Datenvorhaltung in der Cloud ausgerichtet, so dass der kostentreibende Umweg des Datenverkehrs über das MPLS-Netzwerk zum abgeschirmten Rechenzentrum wegfällt.
Gartner trägt der sich wandelnden Anwendungslandschaft mit diesem Konzept zusätzlich Rechnung. Die Vorhaltung der Anwendungen, auf die ein Mitarbeiter Zugriff benötigt, bei unterschiedlichsten Cloud-Anbietern führt zu steigender Infrastruktur-Komplexität. Hinzu kommt, dass Anwender die Erwartungshaltung haben, von jedem Standort und mit jedem Gerät auf ihre für den Geschäftsalltag benötigten Applikationen ohne manuelle Interaktion oder Latenz zugreifen zu können. Dementsprechend setzt Gartner mit dem Secure Service Access Edge auf der Anforderung an, dass der Datenverkehr während des gesamten Wegs vom User-Gerät bis zum Ziel gesichert ist – und nicht nur die Destination abgesichert wird.
SASE richtig interpretieren
Unternehmen, die das SASE-Rahmenwerk für ihr Sicherheitskonzept anwenden wollen, müssen zuerst einige Interpretationshürden nehmen. Die Begrifflichkeit des „Edge“ zu definieren fällt nicht leicht, denn damit ist in diesem Konzept nicht die Begrenzung eines physischen Netzwerks gemeint.
Es gilt sich von der Vorstellung zu verabschieden, dass es sich beim „Edge“ um einen singulären Ort handelt. Darüber hinaus müssen sich die Verantwortlichen frei machen von dem Gedankengang, ein Netzwerk absichern zu wollen. Vielmehr gilt es, einen Ansatz zu wählen, der jederzeit und überall zur Verfügung steht.
Ein echtes SASE-Modell sollte als Durchgangsservice anstelle eines auf eine Destination ausgerichteten Service betrachtet werden. Das Rahmenwerk umfasst die Absicherung jeglicher Kommunikation des Anwenders zwischen einem Ausgangs- und Endpunkt. Diese darf den Anwender nicht beeinträchtigen, sondern muss ihn befähigen, sicher auf seine benötigten Anwendungen und Daten zuzugreifen. SASE kann dabei nicht mit einem einzigen Service gleichgesetzt werden, sondern als Rahmenwerk, dass unterschiedliche Elemente beinhaltet, wie SD-WAN, einen Software-definierten Perimeter und IAM-Dienste.
Um ein SASE-basiertes Sicherheitssystem aufzubauen, müssen Unternehmen die folgenden fünf Schritte berücksichtigen:
Schritt 1: Anwenderbasis kennen
In einem ersten Schritt müssen die Unternehmen die Identität ihrer Anwender kennen. „Wer benötigt Zugriff auf welche Services?“ ist die Frage, die sich die Verantwortlichen stellen müssen. Wie kann diese User-Basis hinsichtlich ihrer benötigten Zugriffsberechtigungen kategorisiert werden, so dass unterschiedliche Policies für User-Typologien aufgestellt werden können? Erst wenn Unternehmen ihre Hausaufgaben gemacht haben und wissen, von wem aus einer Verbindung zu einem Service aufgebaut werden muss, ist der Grundstock für ein SASE-Modell gelegt. Beim Erstellen der Anwenderbasis hilft in aller Regel ein Identity Provider wie Azure AD, Okta oder Ping.
Schritt 2: Vorstellung von der Destination des Anwenders haben
Neben dem Anwender als Ausgangspunkt des Verbindungsaufbaus muss die andere Seite der Gleichung betrachtet werden: Worauf benötigt der Anwender Zugriff und wo wird die Applikation vorgehalten? Dieser Punkt ist angesichts der modernen Multicloud-Infrastrukturen bedeutsam. Längst werden nicht mehr alle Anwendungen im Rechenzentrum vorgehalten, sondern sind zusätzlich auf unterschiedliche Cloud Provider verteilt sowie in private und Public-Cloud-Umgebungen vorgehalten. Auf den beiden Grundpfeilern des Ausgangspunkts der Anwender und der Destination kann ein SASE-basierter Lösungsansatz aufgebaut werden.
Schritt 3: Service-Kategorien gruppieren und deren Topologie kennen
Es gilt für Unternehmen nicht nur zu erfassen, warum ein Anwender Zugang zu einem Service erhält, sondern auch, wo dieser Service zu finden ist. Darüber hinaus muss auch klar sein, wie der Anwender auf dem kürzesten Weg dorthin geroutet werden kann. Da sich die Anwendungen heute ihre Cloud aussuchen, müssen Unternehmen den Überblick behalten, wo in ihren Multicloud-Umgebungen welche Anwendung vorgehalten wird.
Die Diversifikation der Cloud Service Provider wird sich weiter fortsetzen, so dass neben den Hauptakteuren AWS, Azure und Google immer weitere Nischenanbieter auf den Plan treten werden. Unternehmen wollen einen Vendor-Lock-in vermeiden, deshalb werden sie sich die jeweils passende Cloud-Umgebung pro Applikation aussuchen und Unternehmen müssen eine Architektur entwickeln, wo welche Anwendung angesiedelt ist. Darüber hinaus ist es für eine vereinfachte Richtlinien- und Zugriffskontrolle wichtig, dass sich Unternehmen Gedanken machen, wie ihre Applikationen zu Service-Kategorien gruppiert werden können.
Schritt 4: Richtlinien festlegen
Jetzt kommt der schwierigste Teil des SASE-Konzepts: Angesichts der unterschiedlichsten Destinationen der User müssen sich die Verantwortlichen Gedanken darüber machen, welche Zugangsrichtlinien für die verschiedenen Szenarien greifen sollen. Die Verantwortung liegt dabei zwischen der Personalabteilung und der Fachabteilung, wo aufbauend auf der Job-Funktion die Rolle eines neuen Mitarbeiters definiert wird, und darauf aufbauend die Zugriffsrechte auf benötigte Anwendungen festgelegt werden.
Da ein SASE-Service nicht nur in schwarz und weiß beziehungsweise Zugriff oder kein Zugriff aufteilt, sondern ein adaptiver Dienst nötig ist, müssen auch unterschiedliche Richtlinien in Abhängigkeit der Umstände definiert werden. Ein mobiler Anwender arbeitet von unterschiedlichen Standorten aus, so dass der Service zwischen Zugriff, Blockieren oder Routen variieren können muss.
Zum Ausgangspunkt und der Destination kommt also noch die Zugangskontrollinstanz hinzu, die entscheidet, wie oder ob eine Verbindung vom Anwender zu seiner Applikation hergestellt wird. Um die Erwartungshaltung nach schnellem und reibungslosem Zugriff zu erfüllen, sollte der User auf dem kürzesten Weg ohne Latenz zu seiner Anwendung verbunden werden. Hierbei kommen Zero Trust Network Access-Lösungsansätze zum Tragen, die den Anwender richtlinien- und kontextbasiert zu seinen Applikationen lenken.
Schritt 5: Der optimierte Pfad zur Anwendung
Zu guter Letzt gilt es den Traffic des Anwenders auf dem kürzesten Weg zu seiner Anwendung zu steuern. Beachten sollten Unternehmen bei diesem Punkt, dass eine statische Definition des Pfads aus Anwendersicht nicht unbedingt der effektivste ist. Hier muss erneut die Mobilität des modernen Road Warriors berücksichtigt werden, der von unterschiedlichsten Standorten dynamisch zu seinen benötigten Anwendungen geroutet werden muss.
Ein weiteres Kriterium, das unter diesem Punkt zu berücksichtigen ist,besteht in der Bandbreitenoptimierung, so dass geschäftskritische Anwendungen priorisiert behandelt werden. Lokale Internet-Übergänge mit Hilfe von SD-WAN Modellen sowie Bandbreiten-Management, sowie die Überwachung der Service-Qualität kommen hier zum Tragen.
Sobald die Organisationen diese Punkte umgesetzt haben, sind sie gut beraten, eine einzelne Anwendung oder eine Gruppe von Nutzern auszuwählen und den Implementierungsprozess von dort aus zu starten. Letzten Endes soll das Ziel der digitalen Transformation sein, die Innovationen zu beschleunigen, statt die Geschäftsprozesse zu bremsen. Das SASE-Rahmenwerk kann genau dabei helfen, eine ganzheitliche IT Architektur unter Berücksichtigung der Applikations-, Netzwerk und Sicherheitsanforderungen aufzubauen.
* Nathan Howe ist Director Transformation Strategy bei Zscaler.
Artikelfiles und Artikellinks
(ID:46721641)
:quality(80)/images.vogel.de/vogelonline/bdb/1920900/1920902/original.jpg "Verschiedene VMware-Manager erläutern, welche Trends sich 2022 warum durchsetzen. (Pete Linforth auf Pixabay)")
:quality(80)/images.vogel.de/vogelonline/bdb/1923800/1923856/original.jpg "Dell Technolgies setzt mit „Apex“ auf Services; jetzt stehen Erweiterungen für Deutschland und bezüglich Storage an. (© KostaKostov /Adobestock)")