Überlegungen zur Absicherung einer Work-from-Anywhere-Welt
Fortinet
Während der Pandemie erforderte die Umstellung auf ein Modell für die Arbeit von zu Hause aus, dass Unternehmen wichtige Ressourcen in die Cloud verlagern, sicherstellen, dass die Mitarbeiter Zugang zu wichtigen Geschäftsanwendungen haben, und die Kommunikation zwischen dem Heimbüro und dem Unternehmensnetzwerk sichern. Anstatt nun alle Mitarbeiter wieder in die Unternehmenszentrale zu verlegen, gehen viele Unternehmen zu einem Work-from-anywhere (WFA)-Ansatz über, bei dem einige Mitarbeiter von zu Hause aus arbeiten, andere vor Ort, und wieder andere einen Teil ihrer Zeit an jedem Standort verbringen.
Dieser neue Ansatz bietet den Mitarbeitern die gewünschte Flexibilität und eine bessere Vereinbarkeit von Beruf und Privatleben, was die Produktivität und Arbeitszufriedenheit erhöht. Die Unternehmen profitieren auch von den logistischen und finanziellen Vorteilen, die sich aus der Verringerung des Büroaufwands ergeben. Die Anpassung an diese hybride Belegschaft erfordert jedoch auch hybride Netzwerke, die ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit herstellen.
Qualität der Erfahrung und WFA
Die Erlebnisqualität (Quality of Experience, QoE) misst, wie zufrieden die Mitarbeiter mit ihrer gesamten Arbeitserfahrung sind. Dazu gehören Dinge wie der einfache und schnelle Zugriff auf wichtige Ressourcen, die konsistente Verfügbarkeit von geschäftskritischen Anwendungen und die Servicequalität für Dinge wie Sprach- und Videokonferenzen.
Die Aufrechterhaltung der QoE für eine WFA-Belegschaft ist jedoch eine Herausforderung. Sie erfordert einen nahtlosen Zugriff auf geschäftskritische Anwendungen und Daten sowohl vor Ort als auch in der Cloud, unabhängig davon, von wo aus der Benutzer auf sie zugreift. Außerdem muss dies alles ohne Beeinträchtigung der Netzwerksicherheit geschehen, was eine besondere Herausforderung darstellt, wenn man bedenkt, dass Heimnetzwerke und Remote-Geräte notorisch unzureichend abgesichert sind.
Drei wichtige IT-Schmerzpunkte in WFA-Modellen
Im Idealfall sollte der Zugriff auf Unternehmensanwendungen und -daten von jedem Ort aus nahtlos erfolgen, doch die Remote-Konnektivität wirkt sich häufig auf die Benutzererfahrung und die Sicherheitslage aus. Um diese Probleme zu lösen, müssen drei wichtige IT-Problembereiche angegangen werden.
1. Unvorhersehbare Erfahrung
Ein gängiger Ansatz zur Aufrechterhaltung der Sicherheit bei der Abwicklung des Remote-Datenverkehrs besteht darin, den gesamten Anwendungs- und Internet-Datenverkehr durch das Rechenzentrum des Unternehmens zu leiten und zu überprüfen, bevor er sein Ziel erreicht. Dies erhöht jedoch die Latenzzeit und verschwendet Bandbreite im Vergleich zu einer direkten Verbindung. Solche Architekturen können auch komplex und teuer im Betrieb sein, da die IT-Abteilung die Router in den Zweigstellen individuell konfigurieren und verwalten sowie Firewall-Richtlinien einrichten muss.
Für die Endbenutzer in den Zweigstellen wird die QoE inkonsistent, da das Backhauling des Anwendungsverkehrs die Zuverlässigkeit der Anwendungen beeinträchtigen kann. Heimanwender sind gezwungen, über einen VPN-Tunnel zum Unternehmensnetzwerk auf Anwendungen zuzugreifen, was zu noch mehr Unvorhersehbarkeit aufgrund von Schwankungen der Bandbreitenkapazitäten zu Hause führt.
Selbst wenn Unternehmen den direkten Zugriff auf Cloud-Anwendungen erlauben, bleiben Herausforderungen bestehen, da die verbesserte Anwendungserfahrung auf Kosten der Sicherheit geht. Heimanwender müssen außerdem immer noch ein VPN verwenden, um auf interne Ressourcen zuzugreifen, was zu einem inkonsistenten Gesamterlebnis führt.
2. Inkonsistente Richtlinien
Für IT-Teams ist es schwierig, eine einheitliche Durchsetzung von Richtlinien im gesamten Netzwerk zu gewährleisten, wenn vor Ort, in der Zweigstelle, in der Cloud und an den Heimarbeitsplätzen unterschiedliche Sicherheitssysteme eingesetzt werden. Der Grund dafür ist, dass ein allgemeiner Mangel an Transparenz und Kontrolle eine Landschaft schafft, die für Bedrohungen geradezu prädestiniert ist, durchzusickern. Tatsächlich haben Bedrohungsforscher in letzter Zeit eine Verschiebung im Verhalten von Bedrohungsakteuren festgestellt, die darauf abzielen, Richtlinieninkonsistenzen auszunutzen, indem sie Heim- oder kleinere Zweigstellen ins Visier nehmen, anstatt traditionelle Netzwerkgeräte anzugreifen. Diese bösartigen Akteure können auf ein Gerät zugreifen, das in einem nicht ausreichend gesicherten Netzwerk eingesetzt wird, und es nutzen, um eine VPN-Verbindung zurück zu den Unternehmensressourcen zu kapern, anstatt sich einen Weg durch die kommerziellen Sicherheitsmaßnahmen bahnen zu müssen.
3. Implizites Vertrauen
Viele Unternehmen verwenden ein implizites Vertrauensmodell, wenn sie Zugang zu Anwendungen gewähren. Diejenigen, die eine VPN-Verbindung nutzen, werden in der Regel mit einem allgemeinen Verfahren authentifiziert, das den Zugriff auf das gesamte Netzwerk ermöglicht, wobei davon ausgegangen wird, dass jedem Gerät, das sich über einen sicheren VPN-Tunnel verbindet, vertraut wird. Ein Angreifer braucht jedoch nur den Rechner, die Identität oder die Anmeldeinformationen eines Remote-Benutzers zu kompromittieren, um über diese vertrauenswürdige VPN-Verbindung Zugriff auf das gesamte Netzwerk zu erhalten.
WFA-Herausforderungen mit SD-WAN und ZTNA meistern
Bei der Implementierung eines WFA-Modells müssen Unternehmen ihre bestehenden Infrastrukturen und Sicherheitsmodelle anpassen - herkömmliche Sicherheits- und Konnektivitätslösungen sind der Aufgabe einfach nicht gewachsen. Die gute Nachricht ist, dass die oben beschriebenen Herausforderungen durch den Einsatz von Secure SD-WAN- und Zero Trust Network Access (ZTNA)-Lösungen bewältigt werden können.
SD-WAN ist zwar hervorragend geeignet, um zuverlässige Verbindungen zu Cloud-basierten Anwendungen bereitzustellen, aber den meisten SD-WAN-Lösungen fehlt es an integrierter Sicherheit. Im Gegensatz dazu verbindet Secure SD-WAN auf einer speziell entwickelten Sicherheitsplattform fortschrittliche Konnektivität mit Sicherheit auf Unternehmensniveau und ermöglicht eine Verwaltung über eine einzige Konsole, die eine einheitliche Erstellung, Bereitstellung und Durchsetzung von Richtlinien ermöglicht. Darüber hinaus bietet ZTNA einen benutzerspezifischen Zugriff auf bestimmte Anwendungen und übertrifft damit das implizite Vertrauen in puncto Sicherheit bei weitem. Jedes Gerät, jeder Benutzer und jede Anwendung kann gesehen und kontrolliert werden, unabhängig davon, von wo aus die Verbindung hergestellt wird. Gemeinsam helfen Lösungen wie Secure SD-WAN und ZTNA Unternehmen, die Herausforderungen zu meistern und die Chancen zu nutzen, die WFA bietet.