Zscaler Blog
Erhalten Sie die neuesten Zscaler Blog-Updates in Ihrem Posteingang
AbonnierenZero Trust für Ihre Zweigstellen
In den letzten fünf Jahren hat sich die Technologiebranche stark gewandelt. Unter den unzähligen Veränderungen hinsichtlich des Umgangs von Unternehmen mit Technologie, um sich einen Wettbewerbsvorteil zu verschaffen, hatten drei wesentliche Entwicklungen tiefgreifende Auswirkungen:
- Migration von Anwendungen aus herkömmlichen Rechenzentren in die Cloud (der Durchbruch von SaaS)
- Hybride Arbeitsmodelle, bei denen Mitarbeiter sowohl in regionalen Büros als auch an Remote-Standorten arbeiten
- Zunehmende Nutzung von IoT-/OT-Geräten in Fabriken und Zweigstellen
Viele Unternehmen stellen fest, dass sie aufgrund von Einschränkungen in ihrer WAN-Infrastruktur und Lücken in der Netzwerksicherheit nicht in der Lage sind, mit diesen drei Entwicklungen umzugehen.
Herkömmliche SD-WANs vergrößern die Angriffsfläche und begünstigen die laterale Ausbreitung von Bedrohungen. Sie verbinden verschiedene Standorte über Site-to-Site-VPNs oder Routing-Overlays und etablieren so implizites Vertrauen, das selbst kompromittierten Entitäten uneingeschränkten Zugriff auf wichtige Geschäftsressourcen gewährt. Darüber hinaus sorgen grobmaschige Segmentierungsrichtlinien dafür, dass sich Bedrohungen problemlos innerhalb des Netzwerks bewegen können. Angesichts der steigenden Zahl von Bedrohungen und der zunehmenden Nutzung von IoT-/OT-Geräten, die für das Netzwerk oft unsichtbar sind, müssen Unternehmen sicherstellen, dass ihre WAN-Infrastruktur den Zero-Trust-Prinzipien entspricht.
Herkömmliche WAN-Infrastrukturen bestehen aus mehreren Einzelprodukten wie Routern, Firewalls und VPNs, was erhebliche Verwaltungsprobleme mit sich bringen kann. Daher benötigen Unternehmen, die eine Umstrukturierung ihrer Zweigstellen vornehmen, eine Lösung, die auf schlanke Zweigstellen und eine leistungsfähige Cloud setzt, um den Verwaltungsaufwand zu reduzieren.
Zscaler Zero Trust SD-WAN verbindet Zweigstellen, Fabriken und Rechenzentren sicher und unkompliziert ganz ohne VPNs und stellt Usern, IoT-/OT-Geräten und Servern Zero-Trust-Zugriff bereit. Mit Zero Trust SD-WAN können Unternehmen eine schlanke Zweigstelle einrichten, in der unnötige Geräte durch eine einfache Plug-and-Play-Appliance ersetzt werden, die ganz einfach über eine Internetverbindung bereitgestellt werden kann.
Abbildung 1: Herkömmliches SD-WAN und Zero Trust SD-WAN im Vergleich
Zero Trust SD-WAN beseitigt Geschäftsrisiken
Im Gegensatz zu herkömmlichen SD-WANs, die das Netzwerk auf Remote-Standorte, Clouds und externe User ausdehnen, verbindet Zero Trust SD-WAN User, IoT-/OT-Geräte und Anwendungen mit Ressourcen, auf die sie zugreifen dürfen, ohne Routing-Overlays zu benötigen. Auf diese Weise entsteht ein Zero-Trust-Netzwerk, das die Angriffsfläche minimiert und die laterale Ausbreitung von Bedrohungen unterbindet. Da der gesamte Traffic über die Zscaler Zero Trust Exchange geleitet wird, gibt es keine öffentlich zugänglichen IP-Adressen oder VPN-Ports, die Hacker angreifen könnten.
Ein aktueller Report von Zscaler ThreatLabz zeigt, dass die Zahl der IoT- und OT-basierten Malware-Angriffe seit 2022 um 400 % gestiegen ist. Dies verdeutlicht, wie wichtig es für Unternehmen ist, die Transparenz und Sicherheit der in ihren Netzwerken eingesetzten IoT-/OT-Geräte zu erhöhen. Leider werden diese oft außer Acht gelassen, wenn Administratoren Sicherheitsrichtlinien für User in Zweigstellen entwickeln. Wie der ThreatLabz-Report jedoch darlegt, stellen diese Geräte einen entscheidenden Bedrohungsvektor dar.
Zero Trust SD-WAN bietet vollständigen Einblick in die Geräte, sodass Unternehmen einen detaillierten Überblick über alle IoT-/OT-Geräte sowie Informationen über die Anwendungen, mit denen sie kommunizieren, erhalten. Außerdem müssen Administratoren keine separaten Richtlinien für User und Geräte mehr erstellen, da dieselben Richtlinien konsistent auf beide Entitäten angewendet werden können.
Abbildung 2: Erkennung und Klassifizierung von IoT-Geräten
Viele Unternehmen nutzen Server-zu-Client-Kommunikation. So muss beispielsweise ein Druckserver in einem Rechenzentrum einen Druckbefehl an einen Remote-Drucker in einer Zweigstelle senden. Dank Zero Trust SD-WAN müssen sich Unternehmen keine Sorgen über ungeschützte Services-Ports machen, die ein Hacker ausnutzen könnte, um in das Netzwerk einzudringen. Die gesamte Zweigstellenkommunikation wird über die Zero Trust Exchange abgewickelt, die die Verbindung zwischen dem Druckserver und dem Remote-Drucker herstellt. Durch die Ausweitung der Zero-Trust-Sicherheit auf alle Entitäten wie User, IoT-/OT-Geräte und Server wird die gesamte Sicherheit erhöht.
Zero Trust SD-WAN ersetzt Site-to-Site-VPNs
Herkömmliche SD-WANs verbinden Standorte (z. B. Zweigstellen, Fabriken und Rechenzentren) über IPsec-VPN-Tunnel. Durch Routing-Overlays kann jedes Gerät mit allen anderen Geräten, Servern oder Anwendungen kommunizieren, wodurch die Erreichbarkeit zwischen Usern, Geräten und Anwendungen sichergestellt wird — ein Umstand, den Hacker ausnutzen können, um einfach auf andere Ressourcen im Netzwerk zuzugreifen.
Mit Zero Trust SD-WAN wird der Traffic von Zweigstellen direkt an die Zero Trust Exchange weitergeleitet, wo Richtlinien von Zscaler Internet Access (ZIA) oder Zscaler Private Access (ZPA) für eine vollständige Sicherheitsüberprüfung und identitätsbasierte Zugriffskontrolle angewendet werden können. Zero Trust SD-WAN vereinfacht die Kommunikation in Zweigstellen mit einem Zero-Trust-Netzwerk-Overlay, das flexible Weiterleitung und einfache Richtlinienverwaltung gewährleistet, erheblich.
Abbildung 3: Ersatz für Site-to-Site-VPNs
Zero Trust SD-WAN vereinfacht Fusionen und Übernahmen
Die Zusammenführung von zwei getrennten Unternehmen kann zu einer höheren Effizienz, einer verstärkten Marktpräsenz und anderen Vorteilen führen. Allerdings ist die Integration neuer Systeme und Routing-Domains in die bestehende Umgebung manchmal ein langsamer, mühsamer Prozess, der sich über mehrere Monate hinziehen kann. Mit Zscaler kann der gesamte Integrationsprozess nach einer Fusion oder Übernahme viel einfacher und schneller ablaufen.
Zero Trust SD-WAN kommuniziert nur mit der Zero Trust Exchange, sodass die Routing-Domains zwischen bestehenden und übernommenen Standorten nicht zusammengeführt werden müssen. Durch den Einsatz von Zero Trust SD-WAN an einem übernommenen Standort können Unternehmen den Traffic an die Zero Trust Exchange leiten, die die Verbindung vermittelt und die Kommunikation absichert. Das Ergebnis: Schon am ersten Tag funktionieren alle Abläufe problemlos und neue Standorte werden innerhalb weniger Wochen oder sogar Tage eingebunden.
Abbildung 4: Integration nach Fusionen und Übernahmen
Wie funktioniert das alles?
- Den im ZPA-Portal definierten Anwendungen wird eine synthetische IP-Adresse zugewiesen.
- Sobald ein User über die synthetische IP eine Verbindung zu der neuen Anwendung initiiert, sendet Zero Trust SD-WAN in dieser Zweigstelle Traffic an die Zero Trust Exchange.
- Am übernommenen Standort, an dem die Anwendung gehostet wird, initiiert der App Connector (in Zero Trust SD-WAN integriert) eine Inside-Out-Verbindung zur Zero Trust Exchange.
- Die Zero Trust Exchange vermittelt daraufhin die Verbindung zwischen User und Anwendung.
Fazit
Unternehmen benötigen eine Networking-Lösung, die sie vor den heutzutage immer häufiger auftretenden Cyberbedrohungen schützt. Herkömmliche SD-WANs erhöhen jedoch das Sicherheitsrisiko und die Komplexität des Netzwerks. Im Gegensatz dazu überträgt Zero Trust SD-WAN die Zero-Trust-Prinzipien auf WANs, indem User, IoT-/OT-Geräte und Server sicher miteinander verbunden werden. Um die Sicherheit von Zweigstellen, Fabriken und Rechenzentren zu verbessern, müssen Unternehmen von herkömmlichen flachen Netzwerken mit implizitem Vertrauen auf Zero-Trust-Netzwerke umsteigen. Die Implementierung von Zero Trust SD-WAN bietet zahlreiche Vorteile, wie z. B. die Minimierung von Cyberrisiken, die Verringerung von Kosten und Komplexität, die Verbesserung der geschäftlichen Agilität und die Bereitstellung einer SASE-Lösung aus einer Hand.
Weitere Informationen finden Sie auf der Webseite zu Zscaler Zero Trust SD-WAN.
War dieser Beitrag nützlich?
Erhalten Sie die neuesten Zscaler Blog-Updates in Ihrem Posteingang
Mit dem Absenden des Formulars stimmen Sie unserer Datenschutzrichtlinie zu.