Gemeinsame Prozesse für Sicherheitstechnologien auf Paketebene
Netzwerk- und Sicherheitstechnologien auf Paketebene, wie z.B. Stateful Inspection Firewalls, IPSEC und Lastausgleich, stellen geringere Anforderungen an die Anzahl der für jedes Paket erforderlichen CPU-Zyklen.
Außerdem ist die Verarbeitung pro Paket sehr konsistent, was die Leistungsvorhersage vereinfacht.
In der heutigen Landschaft werden Sicherheitsfunktionen (z.B. FWaaS) als Services von Dienstanbietern bereitgestellt, die diese Funktionen in der Cloud/Points of Presence (PoPs) einsetzen.
Um mehrere Mieter zu bedienen, nutzen die zugrunde liegenden Sicherheitstechnologie-Implementierungen ein Virtual Routing and Forwarding (VRF)-Mietmodell.
Bei diesem Modell durchläuft der Datenverkehr von mehreren Mietern dasselbe Sicherheitsgerät oder denselben Container/Prozess, wodurch die Probleme im Zusammenhang mit sich überschneidenden IP-Adressen zwischen den Mietern effektiv gelöst werden.
Der Datenverkehr der Mieter wird entweder über Tunnelschnittstellen oder andere Mechanismen identifiziert, und auf jeden Mieter zugeschnittene Konfigurationen, wie z.B. mieterspezifische Sicherheitsrichtlinien, werden dann entsprechend angewendet.
Um potenzielle Probleme mit „lärmenden Nachbarn“ zu vermeiden, wird die Paketrate am Eingang für jeden einzelnen Mieter begrenzt.
Diese Strategie garantiert, dass die Sicherheitsleistung jedes einzelnen Mieters nicht durch die Aktivitäten anderer potenziell problematischer Mieter beeinträchtigt wird.
Angesichts der konsistenten Verarbeitung pro Paket erweist sich die Ratenbegrenzung als effektiv, um eine gerechte Verarbeitung für alle Mandanten zu gewährleisten.
Eine weitere große Sorge für Unternehmen ist der potenzielle Verlust sensibler Daten durch die Ausnutzung von Schwachstellen in gemeinsam genutzten Prozessen oder Containern durch böswillige Pakete von anderen Tenants.
Ein Argument, das häufig von Anbietern von Sicherheitsdiensten vorgebracht wird, ist, dass die Verarbeitung auf Paketbasis einfach ist und die Wahrscheinlichkeit von Schwachstellen und deren Ausnutzung verringert.
Es ist in der Tat so, dass Sicherheitstechnologien auf Paketebene einfacher sind, und dieses Argument hat eine gewisse Berechtigung.
Die beiden bereits erwähnten Herausforderungen, nämlich das Problem der „verrauschten Nachbarn“ und die „Schwachstellen bei gemeinsam genutzten Ressourcen“, stellen für Sicherheitstechnologien auf Paketebene, die gemeinsam genutzte Prozesse verwenden, möglicherweise kein großes Problem dar.
Wir glauben jedoch, dass diese Herausforderungen bei SASE- (Secure Access Service Edge) oder SSE- (Secure Service Edge) Sicherheitstechnologien ausgeprägter und wesentlicher sein können.
Unterscheidung zwischen SASE/SSE-Sicherheit und Sicherheitstechnologien auf Paketebene und Herausforderungen
Die Sicherheitstechnologien von SASE/SSE (Secure Access Service Edge/Secure Service Edge) gehen über die herkömmliche Sicherheit auf Paketebene hinaus und bieten eine umfassende Palette von Funktionen:
- Umfassende Sicherheitsfunktionen: SASE/SSE umfasst ein breites Spektrum an Sicherheitsfunktionen, darunter IDPS (Intrusion Detection and Prevention), DNS-Sicherheit, SWG (Secure Web Gateway), ZTNA (Zero Trust Network Access), CASB (Cloud Access Security Broker) mit IP/URL/Domain/File Reputation Firewall, Zugriffskontrolle mit tiefgreifenden Attributen auf Verkehrsebene wie URI, Request Header, Response Header, Anti-Malware und DLP (Data Leak Prevention). Zero Trust Networking (ZTN) in SASE/SSE ist von grundlegender Bedeutung. Es stellt sicher, dass der Zugriff nur nach Benutzerauthentifizierung und -autorisierung erfolgt, wobei eine granulare Kontrolle der Anwendungsressourcen unter Berücksichtigung der Identität und des Gerätekontexts möglich ist.
- Tiefgreifende Inhaltsüberprüfung: Der Kern der SASE/SSE-Sicherheit liegt in der tiefen Inhaltskontrolle.
Mit Hilfe von Proxys, die Client-Verbindungen verwalten, Server-Verbindungen initiieren, Streams entschlüsseln, relevante Daten aus dem Datenverkehr extrahieren, Sicherheitsfunktionen ausführen und die Übertragung bösartiger Inhalte verhindern.
Lassen Sie uns nun die Unterschiede in der Ausführung zwischen SASE/SSE und Sicherheitstechnologien auf Paketebene näher betrachten:
- Wechsel von paketweiser zu sitzungsweiser Verarbeitung: Im Kontext von SASE/SSE erfolgt die Sicherheitsausführung nicht mehr auf der Ebene der einzelnen Pakete, sondern auf der Ebene der Verkehrssitzungsströme.
Im Gegensatz zu paketbasierten Technologien variiert die Anzahl der Rechenzyklen, die bei der SASE/SSE-Sicherheitsverarbeitung verwendet werden, aus folgenden Gründen je nach Mieter:- Die Sicherheitsfunktionen, die auf den Datenstrom angewendet werden, können von Mieter zu Mieter unterschiedlich sein.
- Selbst wenn ähnliche Sicherheitsfunktionen angewendet werden, kann die Art der ausgetauschten Daten eine intensivere Verarbeitung erfordern.
Denken Sie zum Beispiel an Szenarien mit Anti-Malware und DLP, bei denen Text aus verschiedenen Dateitypen extrahiert, übertragene Dateien dekomprimiert, Dateisammlungen entarrt werden müssen und vieles mehr.
Einige Mandanten übertragen möglicherweise komprimierte Dateien, was zu einer umfangreichen Verarbeitung führt und sich auf den Durchsatz und die Latenzzeiten anderer Mandanten auswirkt.
Das von einem bestimmten Mieter erzeugte Rauschen, sei es aufgrund einer Infektion oder eines hohen Geschäftsverkehrs während eines wichtigen Ereignisses, kann die Verkehrsleistung anderer Mieter beeinträchtigen.
- Komplexe Sicherheitsverarbeitung: Die Sicherheitsverarbeitung von SASE/SSE ist von Natur aus kompliziert und umfasst oft verschiedene Bibliotheken, einschließlich Komponenten von Drittanbietern und Open-Source-Komponenten.
Dazu gehören Funktionen wie OIDC (OpenID Connect)-Clients, Kerberos-Clients, SAMLv2-Clients für die Authentifizierung, komplexe Richtlinien-Engines für die Durchsetzung, SDKs von Threat Intelligence-Anbietern, Datenextraktion, JSON/XML-Dekodierung, base64-Dekodierung, Daten-Dekomprimierungs-Engines und Textextraktion über Open-Source-Projekte wie Tika und andere für die Sicherheit auf Datenebene wie Anti-Malware und DLP.
Diese Komplexität vergrößert die Angriffsfläche für potenzielle Angriffe.
Obwohl SASE/SSE-Anbieter der raschen Behebung von Schwachstellen Priorität einräumen, kann zwischen der Ausnutzung und der Behebung eine Zeitspanne liegen.
Wenn gemeinsame Prozesse für mehrere Mandanten eingesetzt werden, können Angreifer potenziell Schwachstellen ausnutzen und auf sensible Informationen nicht nur des beabsichtigten Mandanten, sondern auch aller Mandanten zugreifen, die diesen Ausführungskontext gemeinsam nutzen. - Bringen Sie Ihre eigene Sicherheitsfunktion mit: SASE/SSE-Dienste bieten zwar umfassende Sicherheitsfunktionen, aber sie bieten Unternehmen auch die Flexibilität, eigene Sicherheitsfunktionen mit Lua- oder WebAssembly (WASM)-Modulen einzuführen.
In solchen Fällen stellen gemeinsam genutzte Prozesse jedoch eine große Herausforderung dar, da sie potenziell zu einer Datenexfiltration aus anderen Tenants führen können, wenn sie nicht sorgfältig verwaltet werden.
Die Bewältigung dieses Problems wird komplexer, wenn gemeinsam genutzte Prozesse eingesetzt werden, und es kann immer Möglichkeiten geben, diese Kontrollen zu umgehen.
Zusammenfassend lässt sich sagen, dass die SASE/SSE-Sicherheit einen umfassenden Sicherheitsrahmen bietet, der über die Sicherheit auf Paketebene hinausgeht, aber Komplexität und Herausforderungen im Zusammenhang mit variabler Rechennutzung, komplizierter Verarbeitung und gemeinsam genutzten Ressourcen mit sich bringt.
Die Aufrechterhaltung einer robusten Sicherheit in solchen Umgebungen ist entscheidend für den Schutz vor Leistungsproblemen UND Datenverletzungen und Verstößen gegen den Datenschutz.
Suchen Sie nach SASE/SSE-Lösungen, die Ausführungsisolierung bieten
Unternehmen schätzen zweifellos den Grundgedanken von SASE/SSE-Anbietern, die gemeinsame Prozesse für mehrere Mandanten einsetzen.
Dieser Ansatz nutzt die Rechenressourcen der verschiedenen Mieter effizient und trägt so zu Nachhaltigkeit und Kosteneffizienz bei.
Service Provider können diese Kosteneinsparungen wiederum an ihre Kunden weitergeben.
Bestimmte Branchensegmente zögern jedoch, die mit einer mandantenfähigen Architektur und gemeinsamen Prozessen verbundenen Sicherheitsrisiken zu akzeptieren.
Einige Unternehmen könnten in Zukunft einen risikoaverseren Ansatz benötigen.
In solchen Fällen sollten Unternehmen nach SASE/SSE-Diensten suchen, die Flexibilität bieten und Optionen sowohl für gemeinsam genutzte Prozesse als auch für dedizierte Prozesse/Container bereitstellen.
Dedizierte Ausführungskontexte mit dedizierten Prozessen/Containern für die Verarbeitung des Datenverkehrs können die im vorigen Abschnitt beschriebenen Herausforderungen wirksam angehen:
- Leistungsisolierung: Die Erzielung einer deterministischen Leistung wird möglich, ohne dass Sie sich Sorgen über störende „laute Mieter“ machen müssen.
Mit einem dedizierten Ausführungskontext ist es relativ einfach, einzelnen Tenants dedizierte Rechenressourcen zuzuweisen.
Sie können auch Ressourcenobergrenzen konfigurieren, um zu verhindern, dass laute Nachbarn alle Ressourcen in den Rechenknoten verbrauchen. - Sicherheitsisolierung: Ein dedizierter Ausführungskontext stellt sicher, dass böswillige Absichten oder Insider-Bedrohungen, die versuchen, SASE/SSE-Dienste eines Tenants auszunutzen, nicht zu Datenverlusten bei Tenants führen, die sich für dedizierte Ausführungskontexte entscheiden.
- Sorgenfreie ‚Bring your own security function‘: Ein dedizierter Ausführungskontext stellt zweifelsohne sicher, dass Lua-Skripte/WASM-Module ausschließlich innerhalb dedizierter Prozesse ausgeführt werden.
Folglich beschränken sich die Herausforderungen bei der Verarbeitung oder der Datenexfiltration auf den Mieter, der seine eigenen Sicherheitsfunktionen mitbringt, so dass andere Mieter in dieser Hinsicht beruhigt sein können, wenn Service Provider diese Funktion nur für dedizierte Prozesse aktivieren.
Künftige Bedürfnisse vorhersehen: Die Bedeutung der vertraulichen Datenverarbeitung
Mit Blick auf die Zukunft werden sich einige Organisationen zunehmend der wachsenden Bedeutung vertraulicher Datenverarbeitung bewusst.
Dieses Bewusstsein ist insbesondere im Zusammenhang mit der TLS-Überprüfung und der Verwaltung zahlreicher sensibler Daten, einschließlich Geheimnissen und Passwörtern, innerhalb von SASE/SSE-Diensten von Bedeutung.
Eine immer wiederkehrende Sorge dreht sich um die Möglichkeit, dass Mitarbeiter mit Zugriff auf die Serverinfrastruktur, einschließlich der Mitarbeiter von Dienstanbietern, unbefugten Zugriff auf den Speicher von Prozessen und Containern erhalten könnten.
Darüber hinaus können auch Angreifer, denen es gelingt, Server-Betriebssysteme auszunutzen, potenziell in den Speicher dieser Container und Prozesse eindringen.
Dieses Problem wird noch deutlicher, wenn die Dienste an mehreren Points of Presence (POPs) in verschiedenen Ländern mit unterschiedlichen rechtlichen Definitionen und Implementierungen verfügbar sind.
Moderne Prozessoren, wie die mit Intel Trust Domain Extensions (TDx) ausgestatteten, bieten fortschrittliche Funktionen für eine vertrauenswürdige Ausführung.
Diese Technologien tragen entscheidend dazu bei, dass selbst Infrastrukturadministratoren oder Angreifer mit erhöhten Privilegien den Speicherinhalt nicht entschlüsseln können, da er durch TDx-Hardware sicher verschlüsselt bleibt.
SASE/SSE-Anbieter, die dedizierte Ausführungskontexte anbieten, sind im Vergleich zu anderen besser positioniert, um diese wichtige Vertraulichkeitsfunktion zu bieten.
Daher wird Unternehmen dringend empfohlen, Anbieter in Betracht zu ziehen, die die Flexibilität sowohl gemeinsamer Prozesse als auch dedizierter Ausführungskontexte bieten.
Diese Flexibilität trägt dazu bei, ihre Strategien zur Risikominderung zukunftssicher zu machen und ein Höchstmaß an Datensicherheit in sich entwickelnden Landschaften zu gewährleisten.
-
CTO Insights Blog
Die Blogserie Aryaka CTO Insights bietet Denkanstöße zu Netzwerk-, Sicherheits- und SASE-Themen.
Aryaka Produktspezifikationen finden Sie in den Aryaka Datenblättern.