Dieser Beitrag erschien ursprünglich auf LinkedIn.
Die Zeiten, in denen Mitarbeiter ausschließlich in einem Büro sitzen und über das Unternehmensnetzwerk auf Anwendungen zugreifen, die in einem Rechenzentrum gehostet werden, sind vorbei. Heute spielt sich ein Großteil der Alltagsarbeit außerhalb der Sichtweite traditioneller Überwachungstools ab. Unternehmen setzen zunehmend auf Cloud-native und Mobil-Anwendungen. Entsprechend ist eine traditionelle „Hub and Spoke“-Netzwerkarchitektur mit Sicherheitsperimeter nach dem Castle and Moat-Prinzip schlichtweg nicht mehr zeitgemäß.
SASE-Architektur (Secure Access Service Edge) setzt neue Maßstäbe für die Zukunft der Sicherheit am Netzwerkrand: Erforderlich wird eine Cloud-zentrische „Thin branch“-Architektur, die Sicherheitsfunktionen in der Cloud nutzt. Die SASE-Architektur definiert Sicherheit über identitäts- und kontextbasierte Richtlinien und verlagert entsprechende Maßnahmen vom Netzwerk zum End-User. Für Unternehmensnetzwerke, die auf Agilität, Performance und Sicherheit angewiesen sind, gewährleisten die Grundsätze von SASE umfassenden Schutz bei zuverlässiger Leistung und hochgradiger Skalierbarkeit.
Im Zuge der SASE-Transformation werden Unternehmen feststellen, dass herkömmliche Überwachungstools zur Sicherung von Cloud-Deployments, mobilen Verbindungen und Remote-Usern unzureichend sind. Der Versuch, Leistungsprobleme mit herkömmlichen Monitoring-Stacks im Rechenzentrum zu erkennen, zu beheben und zu diagnostizieren, führt zu Transparenzlücken. Instrumentierung – die Fähigkeit zum Erfassen von Netzwerk-, Anwendungs- oder Systemdaten – stellt Sicherheitsexperten vor große Herausforderungen, sobald Anwendungen in der Cloud platziert werden und User sich außerhalb des Netzwerkperimeters befinden. Wenn das Internet als Unternehmensnetzwerk und die Cloud als Rechenzentrum fungiert, verlieren Legacy-Überwachungstools leicht den Überblick.
Legacy-Überwachungstools verlieren den Überblick
Herkömmliche Überwachung fällt in drei Kategorien:
- IT Infrastructure Monitoring (ITIM). ITIM-Tools beurteilen Zustand und Verfügbarkeit von Netzwerk- und System-Infrastrukturelementen anhand von Abfragen.
- Application Performance Monitoring (APM). APM-Tools setzen Agents auf Hosts zur Erfassung und Analyse schichtübergreifender Traces auf Code-Ebene ein.
- Network Performance Monitoring (NPM). NPM-Tools erfassen mithilfe von Hardware-Appliances oder Software-Kollektoren Informationen zu Netzwerk-Paketen und Datenströmen.
Bei der Überwachung von Cloud- und mobilitätsbasierten Aktivitäten stoßen alle drei Typen von Monitoring-Tools an die Grenzen ihrer jeweiligen Leistungsfähigkeit:
- ITIM-Tools können keine Systeme im Rechenzentrum eines SaaS-Anbieters abfragen.
- APM-Tools können Agents nicht auf die betreffenden Hosts des SaaS-Anbieters übertragen.
- NPM-Tools können keinen Traffic analysieren, der verschlüsselt ist oder nicht über einen zentralen Aggregationspunkt (z. B. ein Rechenzentrum) läuft.
Der Wechsel zur SASE-Architektur fordert IT-Teams ein Umdenken ab: Während der Schwerpunkt bisher auf dem Sicherheitsperimeter lag, muss er nun auf die Erstellung von Richtlinien unter Berücksichtigung von User-Identität und Kontext verlagert werden. Statt Rechenzentren, Hosts oder Netzwerkverbindungen zu überwachen, steht nun die Überwachung des End-Users als Monitoring-Perimeter im Vordergrund – ein Ansatz, für den Gartner den Begriff des Digital Experience Monitoring (DEM) geprägt hat. DEM umfasst eine Reihe von Überwachungstechniken, die unabhängig vom Standort des Users, vom Host der Anwendung und vom Netzwerk, über das die Verbindung hergestellt wird, Instrumentierungsdaten liefern. DEM-Tools sind nicht als Ersatz für herkömmliche Monitoring-Tools zu verstehen – vielmehr schließen sie die Transparenzlücken, die beim Zugriff mobiler User auf Cloud-Applikationen entstehen.
Digital Experience Monitoring ist für die SASE-Transformation unverzichtbar
DEM-Tools analysieren die Anwendererfahrung von End-Usern mithilfe einer Kombination aus User-Monitoring und Überwachung von synthetischen Transaktionen, Netzwerken und Endgeräten. Zur Instrumentierung dieser Messungen werden Lightweight-Agents auf dem Gerät des Endanwenders eingesetzt. Bei der Evaluierung von DEM-Lösungen ist unbedingt zu berücksichtigen, welche Kombination dieser Techniken die Transparenzlücken der vorhandenen Tools schließt.
Eine gute DEM-Lösung sollte allerdings mehr sein als ein bloßer Lückenbüßer. Statt die erforderlichen Funktionen auf einer Checkliste abzuhaken, sollten CIOs und CISOs den jeweiligen strategischen Kontext bedenken und evaluieren, welche Rolle die DEM-Lösung im Rahmen der digitalen Unternehmenstransformation spielt. Bei der Auswahl der richtigen DEM-Lösung sollten Unternehmen folgende Fragen stellen:
- Werden Identität und Kontext des End-Users erfasst? Allzu viele DEM-Lösungen kennen nur die IP-Adresse des End-Users. DEM-Lösungen, die den Bürostandort, den physischen Standort, die Abteilung und andere kontextbezogene Daten erfassen, liefern bei der Überwachung von Workflows weitaus aussagekräftigere Informationen. Durch Integration mit einem Identitätsanbieter wie Okta oder Azure AD können kontextbezogene Daten zur User-Identität erfasst werden.
- Verfügt die Lösung über einen integrierten Multi-Purpose-Agent? Ein gutes DEM-Tool dient nicht nur zur Überwachung. DEM-Lösungen, die in die Sicherheitsarchitektur eines SASE-Anbieters integriert sind, ersparen dem Unternehmen das leidige Laden und Implementieren zusätzlicher Agents. Neben Monitoring-Funktionen werden über den integrierten Lightweight-Agent auch Advanced Threat Protection und Zero-Trust-Zugriff auf das Netzwerk bereitgestellt.
- Wird eine gemeinsame Dashboard-Ansicht für Netzwerk- und Sicherheitsteams bereitgestellt? Bei der Verbesserung der User Experience ziehen Netzwerk- und Sicherheitsteams an einem Strang, arbeiten jedoch zumeist unabhängig voneinander. DEM-Lösungen, die ein gemeinsames Dashboard für beide Teams bieten, sorgen für mehr Effizienz bei der Prüfung und Diagnose von Performance-Problemen.
- Fungiert die Lösung als Erweiterung der SASE-Architektur? DEM-Tools sollten ebenfalls Cloud-zentrisch aufgebaut sein und Lightweight-Agents zur Erfassung von Daten am Endgerät einsetzen, aus denen mithilfe einer flexibel skalierbaren, Cloud-basierten Analyse-Engine Erkenntnisse zur Performance und Sicherheit gewonnen werden.
Hervorragende Anwendererfahrungen durch SASE und Digital Experience Monitoring
Unternehmen benötigen transparenten Einblick in den gesamten Traffic zu sämtlichen Ressourcen in ihren dezentralen Netzwerken. Herkömmliche Überwachungsmodelle setzen auf Perimeter-basierte Sicherheit zum Monitoring von Verbindungen zwischen Zweigstellen und Rechenzentren. Den neuen Herausforderungen internetbasierter Netzwerke, Cloud-basierter Anwendungen und mobiler User sind sie nicht gewachsen. Ähnlich wie das SASE-Konzept für die Anforderungen des neuen Netzwerk- und Sicherheitsparadigmas konzipiert wurde, ist Digital Experience Monitoring darauf ausgelegt, unter heutigen Arbeitsbedingungen mehr Transparenz zu gewährleisten.
DEM-Lösungen schließen die Transparenzlücken herkömmlicher Überwachungstools und unterstützen Netzwerk- und Sicherheitsteams durch Bereitstellen von Daten zur gemeinsamen Nutzung bei der Optimierung der User Experience für Endanwender.
Als führender Anbieter von SASE-Netzwerksicherheit hat Zscaler kürzlich mit Zscaler Digital Experience (ZDX) eine eigene DEM-Lösung vorgestellt, die eng in seine Sicherheitsplattform eingebunden ist (weitere Informationen auf unserer Website).