Absicherung der softwaredefinierten Filiale mit Aryaka Zones und Partnerlösungen

Letzte Woche habe ich über Aryaka HybridWAN und seinen innovativen Ansatz zur Bereitstellung von Internetkonnektivität mit SLAs der Unternehmensklasse für Zweigstellen gebloggt. Sobald Sie Zweigstellen für das Internet öffnen, ist die Sicherheit natürlich ein wichtiges Thema.

Wenn es um die Sicherheit im SD-WAN geht, gibt es in unserer Branche zwei generische Ansätze:

• Die Haltung der integrierten Lösung, d.h. „Sie sollten sich mein SD-WAN zulegen, weil es zufällig auch mit meiner integrierten Sicherheitslösung integriert ist, was Ihnen erspart, die Sicherheit von jemand anderem zu beziehen. Vertrauen Sie mir, es entspricht Ihren Bedürfnissen.“
  Diese Haltung ist in der SD-WAN-Welt weit verbreitet, aber sie stellt ganz klar eine Lock-in-Strategie dar und kann den besonderen Sicherheitsvorlieben und -bedürfnissen von Unternehmen durchaus abträglich sein.
• Die Haltung der offenen Lösung, d.h. „Wir als SD-WAN-Unternehmen verstehen, dass die meisten Unternehmen den mehrschichtigen Sicherheitsansatz auf ihre speziellen Bedürfnisse zuschneiden müssen. Daher werden wir einige grundlegende Sicherheitsfunktionen bereitstellen – aber wir werden sicherstellen, dass wir eine offene Haltung beibehalten und auch mit einer Reihe von führenden Sicherheitsunternehmen zusammenarbeiten, damit unsere Kunden ihre Sicherheitslösung wirklich maßgeschneidert gestalten können.“

Aryaka ist ein SD-WAN-Unternehmen, das sich der Haltung von Open Security Solution verschrieben hat.
Die Gründe dafür?
In erster Linie sind wir ein Unternehmen, bei dem der Kunde im Mittelpunkt steht.
Unser State Of The WAN 2019 Report hat gezeigt, dass die Sicherheit zwar für jedes Unternehmen, das SD-WAN einsetzt, ein Hauptanliegen ist, dass aber die Mehrheit der Unternehmen die Möglichkeit der Wahl haben möchte.
Aus einer Vielzahl von Gründen, die von Bedenken hinsichtlich der Unternehmensarchitektur bis hin zu regulatorischen Anforderungen reichen, kann eine einzige Sicherheitslösung nur selten alle Anforderungen eines Unternehmens abdecken.
Mehrere Branchenanalysten haben außerdem wiederholt festgestellt, dass ein mehrschichtiger Ansatz für die Sicherheit erforderlich ist.
Der Sicherheitsansatz von Aryaka ist offen und geradlinig: Zunächst einmal gibt es den grundlegenden Aspekt der Sicherheit.
In einer Zweigstelle benötigen Sie eine grundlegende Stateful-Firewall und eine richtlinienbasierte Segmentierung.
Wir integrieren beide Funktionen in unser Zweigstellengerät, den ANAP (Aryaka Network Access Point).
Wir nennen diese Funktion Aryaka Zones und bieten sie in unserem ANAP als kostenlose Basisfunktion an.
Zones bietet eine Stateful-Firewall für die grundlegende Zugriffssicherheit und schottet die Zweigstelle von der Außenwelt ab.
Darüber hinaus erstellen wir in Zones eine strenge interne Segmentierung des Datenverkehrs auf der Grundlage von Richtlinien, was in der Regel eine strikte Trennung von öffentlichem Internet (Gast-WiFi, Verbraucher-Apps usw.), Cloud-Sicherheit, DMZ und Unternehmensdatenverkehr bedeutet.
Unsere Richtlinien sind flexibel und können bis zu 32 Zonen in einer Zweigstelle einrichten.
Sie können Aryaka Zones nicht nur für die Ost-West-Segmentierung nutzen, sondern auch für die Durchsetzung einer eingeschränkten und sicheren Kommunikation zwischen den Segmenten – innerhalb der Niederlassung oder zwischen den Niederlassungen. Zweitens arbeitet Aryaka mit führenden Cloud-Sicherheitsanbietern wie Zscaler, Palo Alto Networks, Symantec und anderen zusammen, um eine große Auswahl und einfache Integration zu ermöglichen.
Aber zurück zur architektonischen Befähigung: VLAN-basierte Segmentierung ist großartig, aber es gibt viele Anwendungsfälle, die eine Segmentierung auf Layer 3 erfordern, was als VRF (Virtual Routing and Forwarding) bezeichnet wird.
Ein klassischer Anwendungsfall für Layer 3-Segmentierung mit VRF ist die Mandantenfähigkeit.
Es wird Sie nicht überraschen, wenn ich Ihnen sage, dass wir diese Funktion ebenfalls anbieten: Sie ist auch in unserem ANAP enthalten.
Architektonisch gesehen unterstützen Sie eine Mikrosegmentierungsarchitektur, wenn Sie eine mehrschichtige Segmentierung implementieren und einen übergreifenden Richtlinienrahmen unterstützen.
Aber hören Sie mir zu: Aryaka stellt nicht den gesamten Stack für eine Mikrosegmentierungslösung bereit, die einen sogenannten Zero Trust-Ansatz für die Sicherheit unterstützt.
Wir bieten die architektonischen Voraussetzungen auf L2 und L3.
Es gibt übergeordnete, branchenübliche Identitäts- und Richtlinien-Frameworks, die die L2/3-Mikrosegmentierungs-Funktionen mit einem übergreifenden Framework verbinden, um eine so genannte Zero-Trust-Position zu erreichen.
Mikrosegmentierung und Zero Trust sind untrennbar miteinander verbunden. Sobald Sie das eine erwähnen, werden Sie von Branchenkennern nach dem anderen gefragt.
Was also ist Zero Trust?
Wie bei vielen Dingen heutzutage gibt es keinen Industriestandard, also werde ich es vereinfachen: Zero Trust Es ist eine Sicherheitshaltung, die nichts und niemanden in das Unternehmen lässt, solange dessen Identität nicht bestätigt ist, und wenn ihm der Zugang gewährt wird, wird er über eine Richtlinie einigen wenigen ausgewählten Mikrosegmenten im Netzwerk zugeordnet.
Man könnte sagen, dass Zero Trust die Gegenbewegung zur universellen Konnektivitätsprämisse ist, die IP-Netzwerke ermöglicht haben.
Der universelle Konnektivitäts-Stack von IP ermöglichte eine industrielle Revolution, aber diese universelle Konnektivität wurde zu einer Belastung.
Folglich begannen wir, die universelle Konnektivität zu bekämpfen.
Firewalls kamen zuerst.
Es folgte die Intrusion Detection.
Unified Threat Management war die nächste Station.
Aber wenn Sie darüber nachdenken, sind das alles passive Verteidigungsmaßnahmen.
Zero Trust stellt einen disruptiven, offensiven Schritt in der Sicherheitsarchitektur von Unternehmen dar.
Noch etwas zu einer Zero Trust-Architektur: Sie erfordert natürlich einen sehr offenen Ansatz von allen beteiligten Technologieanbietern, denn kein einzelner Anbieter wird alle Unternehmensbereiche und alle Technologieebenen abdecken.
SD-WAN-Anbieter, die für eine einzige, unternehmensinterne Sicherheitslösung plädieren, haben eindeutig nicht verstanden, wohin die Reise bei der Unternehmenssicherheit geht.
Um die Dinge zusammenzufassen: Aryakas offener Ansatz für mehrschichtige Sicherheit bietet die Wahlmöglichkeiten, die Unternehmen bevorzugen und die aufkommende Zero-Trust-Sicherheitspositionen als Grundlage benötigen.