Optimieren Sie Die SASE-Sicherheitsrichtlinien Für Besseren Schutz

Der Dienst Secure Access Service Edge (SASE) und die dazugehörige Architektur umfassen eine leistungsstarke Kombination aus mehreren Sicherheitskomponenten. Dazu gehören eine Stateful Inspection Firewall, ein Intrusion Detection and Prevention System (IDPS), DNS-Sicherheit, DoS/DDoS-Schutz, Secure Web Gateway (SWG), Zero Trust Network Architecture (ZTNA), Cloud Access Security Broker (CASB) und viele mehr. Diese Komponenten können von Administratoren über Richtlinien konfiguriert werden und bieten einen robusten Schutzschild, um die Ressourcen eines Unternehmens vor Bedrohungen zu schützen und gleichzeitig bestimmte Zugriffsanforderungen einzuhalten.

Die Rolle der Richtlinienkonfiguration

Die Richtlinienkonfiguration spielt eine unverzichtbare Rolle bei der Durchsetzung der Sicherheit innerhalb des SASE-Rahmens. Die Auswirkungen schlecht konfigurierter Richtlinien können von der Bedrohung von Ressourcen und Datenlecks bis hin zu unbeabsichtigtem, allzu freizügigem Zugriff reichen. In der heutigen Industrielandschaft haben Unternehmen mit zwei vorherrschenden Ansätzen für die Verwaltung von Sicherheitsrichtlinien zu kämpfen:

Der Ansatz der einzigen Tabelle: Eine konsolidierte Richtlinientabelle mit einer Vielzahl von Richtlinien, die das Bedrohungsmanagement und verschiedene Zugriffskontrollszenarien über alle SASE-Komponenten hinweg umfassen.
Der Multi-Tabellen-Ansatz: Mehrere Richtlinientabellen, die jeweils spezifische Aspekte wie Schutz vor Bedrohungen, Zugriffskontrolle, verschiedene Anwendungen und Benutzergruppen behandeln.

Ein Gleichgewicht in der Politikverwaltung

Die Erwartung an SASE ist klar: Es sollte leicht zu verwaltende Sicherheitsrichtlinien und vereinfachte Verfahren zur Fehlerbehebung bieten. Um dies zu erreichen, ist ein ausgewogener Ansatz erforderlich. Eine effektive Strategie, um die Komplexität von Richtlinien auf der Grundlage der Anforderungen des Unternehmens zu verringern. Größere Unternehmen benötigen möglicherweise eine Unterteilung mit einem Multi-Tabellen-Ansatz, bei dem die Granularität der Richtlinientabelle auf der Grundlage von Sicherheitsfunktionen, Anwendungsressourcen und Subjekten (Benutzern/Gruppen) definiert wird. Kleinere Unternehmen bevorzugen möglicherweise eine Kompartimentierung mit einer geringeren Anzahl von Richtlinientabellen, die mehrere Arten von Zugriffskontrollen kombinieren oder sogar den Schutz vor Bedrohungen mit der Zugriffskontrolle kombinieren. Durch diesen flexiblen Ansatz wird die Anzahl der Richtlinien, die gleichzeitig verwaltet werden müssen, auf ein Minimum reduziert, so dass sie besser verwaltet werden können. Es ist jedoch wichtig, Vorsicht walten zu lassen, um eine übermäßige Abschottung zu vermeiden, die eine Reihe von Herausforderungen mit sich bringen kann. Administratoren müssen möglicherweise durch mehrere Richtlinientabellen navigieren, um Probleme zu identifizieren und zu beheben, was zu Verzögerungen bei der Lösung führen kann.

Verstehen der wichtigsten Anforderungen

Bevor Sie sich näher mit den Feinheiten der Richtlinienverwaltung befassen, sollten Sie die spezifischen Anforderungen verstehen, die Unternehmen im Rahmen von SASE erfüllen müssen. Zu den wichtigsten Bereichen gehören:

Notwendigkeit einer rollenbasierten Verwaltung der Sicherheitskonfiguration in SASE-Umgebungen

Die Komponenten von Secure Access Service Edge (SASE) bieten umfassende Sicherheit, die den Schutz vor Bedrohungen und die Zugangskontrolle für eine Vielzahl von Ressourcen in verschiedenen Unternehmen, einschließlich ihrer Mitarbeiter, Partner und Gäste, umfasst. Innerhalb dieses Sicherheitsrahmens haben Unternehmen oft verschiedene Kategorien von Administratoren, die für unterschiedliche Sicherheitsaspekte zuständig sind. In einem Unternehmen kann es beispielsweise eine Gruppe von Administratoren geben, die sich um den Schutz vor Bedrohungen kümmert, während sich eine andere Gruppe auf die Zugriffskontrolle konzentriert. Innerhalb dieser allgemeinen Kategorien ist es üblich, dass Unternehmen verschiedene administrative Rollen einrichten, die auf bestimmte Arten des Schutzes vor Bedrohungen und der Zugriffskontrolle zugeschnitten sind. Lassen Sie uns einige praktische Beispiele betrachten:

Rollen zum Schutz vor Bedrohungen:

Intrusion Detection und Firewall-Konfiguration: Administratoren mit der Rolle „threat-protection-ngfw-role“ erhalten Zugriff auf die Konfiguration von Intrusion Detection und Firewall-Einstellungen innerhalb der SASE-Umgebung.
Reputationskontrollen: Administratoren mit der Rolle „Bedrohungsschutz-Reputation“ können Einstellungen für IP-Reputationskontrollen, URL-basierte Reputationskontrollen, domänenbasierte Reputationskontrollen, Dateireputationskontrollen sowie Reputationskontrollen für Cloud-Dienste und Cloud-Organisationen verwalten.
Schutz vor Malware: Administratoren mit der Rolle „Threat-Protection-Malware-Protection“ haben die Berechtigung, Einstellungen zu konfigurieren, die sich speziell auf den Schutz vor Malware beziehen.

Rollen für die Zugriffskontrolle:

SWG-Konfiguration: Administratoren mit der Rolle „Zugangskontrolle-Internet“ sind für die Verwaltung von Secure Web Gateway (SWG) Konfigurationen zuständig.
SaaS-Anwendungsspezifische Zugriffskontrolle: Rollen wie „access-control-saas1app-role“ und „access-control-saasNapp-role“ konzentrieren sich auf die Konfiguration von Zugriffskontrollrichtlinien für bestimmte Anwendungen (SaaS Service 1 und SaaS Service N) und gewährleisten eine feinkörnige Kontrolle.
Verwaltung von Unternehmensanwendungen: Rollen wie „access-control-hostedapp1-role“ und „access-control-hostedappM-role“ sind für die Verwaltung von Zugriffskontrollkonfigurationen für Anwendungen auf Unternehmensebene, app1 und appM, vorgesehen.

In Fällen, in denen ein Unternehmen mandantenfähige Anwendungen verwendet, können zusätzliche Rollen eingeführt werden, um Sicherheitskonfigurationen effektiv zu verwalten. So lassen sich beispielsweise Rollen einrichten, um Richtlinien für die Mitarbeiter des Unternehmens, die Mitarbeiter pro Mieter und sogar für Gäste zu konfigurieren. Betrachten Sie eine Anwendung „X“ mit Sicherheitskonfigurationen, die von verschiedenen Administratoren verwaltet werden:

Sicherheit für die Belegschaft des Eigentümers: Administratoren mit den Rollen „access-control-hostedappX-role“ und „access-control-owner-workforce-role“ arbeiten zusammen, um die Zugriffskontrollkonfigurationen für Anwendung „X“ für die Mitarbeiter des Eigentümers zu verwalten.
Anwendung Tenant-spezifische Belegschaft für Tenant: Rollen wie „access-control-hostedAppX-role“ und „access-control-owner-tenantA-workforce-role“ ermöglichen es Administratoren, Zugriffskontrolleinstellungen für die Belegschaft von Mieter A zu konfigurieren.
Anwendung Tenant-spezifische Arbeitskräfte für Tenant B: Für eine Multi-Tenant-Anwendung „X“ erleichtern verschiedene Rollen wie „access-control-hostedAppX-role“ und „access-control-owner-tenantB-workforce-role“ die Verwaltung der Zugriffskontrollkonfigurationen für die Belegschaft von Mieter B.

Darüber hinaus können auch nicht mandantenfähige Unternehmensanwendungen separate Administratoren für verschiedene Mitarbeitersegmente erfordern. Zum Beispiel:

Technische Abteilung: Administratoren mit der Rolle „access-control-hostedappY-role“ und der Rolle „access-control-eng-role“ konzentrieren sich auf die Verwaltung der Zugriffskontrollkonfigurationen für die Anwendung „Y“ innerhalb der technischen Abteilung.
Vertrieb & Marketing: Rollen wie „access-control-hostedappY-role“ und „access-control-sales-role“ sind für die Konfiguration von Zugriffskontrolleinstellungen für Vertriebs- und Marketingteams vorgesehen.
IT-Abteilung: Administratoren mit den Rollen „access-control-hostedappY-role“ und „access-control-it-role“ sind für die Konfiguration der Zugriffskontrolle in der IT-Abteilung zuständig.

Ein wesentlicher Vorteil des rollenbasierten Sicherheitskonfigurationsmanagements besteht darin, dass es eine granulare, auf spezifische Verantwortlichkeiten zugeschnittene Kontrolle ermöglicht. Vergleichen Sie diesen Ansatz mit den Herausforderungen, die bei der Verwendung einer einzigen, allumfassenden Richtlinientabelle auftreten können:

Fehleranfällig: Mehrere Administratoren, die mit derselben Richtlinientabelle und überlappenden Berechtigungen arbeiten, können beim Hinzufügen, Löschen oder Ändern von Richtlinien versehentlich Fehler verursachen.
Komplexe Fehlersuche: Die Lösung von Problemen innerhalb einer monolithischen Richtlinientabelle kann zeitaufwändig und schwierig sein.
Überlastung durch Richtlinien: Die Konsolidierung aller Richtlinien in einer einzigen Tabelle, die verschiedene Anwendungen und Szenarien zum Schutz vor Bedrohungen abdeckt, kann zu einer schwerfälligen und unhandlichen Richtlinienverwaltung sowie zu potenziellen Leistungsproblemen bei der Richtlinienbewertung führen.

Zusammenfassend lässt sich sagen, dass die Einführung eines rollenbasierten Sicherheitskonfigurationsmanagements in SASE-Umgebungen Unternehmen in die Lage versetzt, Zuständigkeiten effizient zu delegieren, die Sicherheit zu verbessern und die Richtlinienverwaltung zu rationalisieren, während gleichzeitig die mit Einzeltabellen-Ansätzen verbundenen Komplexitäten vermieden werden.

Zusammenarbeit mit Configuration Change Control Management

Unternehmen setzen zunehmend auf das Change Control Management für alle Konfigurationen, einschließlich der SASE-Konfiguration, um Konfigurationsfehler proaktiv zu erkennen und zu beheben, bevor sie implementiert werden. Diese Praxis dient nicht nur als Schutz, sondern führt auch eine zweite Kontrollebene ein, die es einer zweiten Instanz ermöglicht, Konfigurationen zu überprüfen und zu genehmigen, bevor sie in Kraft treten. Sicherheitsrichtlinienkonfigurationen werden direkt im Verkehrsfluss angewandt, so dass Fehler in den Richtlinien möglicherweise zu einer Unterbrechung der Dienste führen und direkte finanzielle Konsequenzen nach sich ziehen. Um die inhärente Komplexität der Sicherheitsrichtlinienkonfiguration zu bewältigen, ist es gängige Praxis, Änderungen zu serialisieren. Das bedeutet, dass bei der Änderung eines Konfigurationstyps keine weiteren Konfigurationssitzungen desselben Typs initiiert werden, bis die vorherige entweder angewendet oder widerrufen wird. Wenn Sie jedoch eine einzige Richtlinientabelle verwenden, die alle Bedrohungs- und Zugriffskontrollfunktionen umfasst, kann die Serialisierung von Änderungen zu Verzögerungen bei Konfigurationsanpassungen führen, die von anderen Administratoren vorgenommen werden. Im Gegensatz dazu kann ein Multi-Tabellen-Ansatz dieses Szenario effektiv angehen, da er es verschiedenen Administratoren ermöglicht, gleichzeitig an verschiedenen Tabellen zu arbeiten und so den Prozess der Konfigurationsänderung zu rationalisieren.

Nicht alle Organisationen haben die gleichen Anforderungen:

SASE wird in der Regel als Dienstleistung angeboten, und SASE-Anbieter können mehrere Organisationen als Kunden haben. Diese Organisationen können sich in Bezug auf Größe, regulatorische Anforderungen und die Vielfalt der Rollen innerhalb ihrer Strukturen erheblich unterscheiden. Manche Unternehmen hosten mehrere Anwendungen entweder vor Ort oder in der Cloud, andere verlassen sich ausschließlich auf Dienste von SaaS-Anbietern und wieder andere nutzen eine Kombination aus beidem. Darüber hinaus gibt es Organisationen, die keinen Bedarf an verschiedenen administrativen Rollen oder mehreren administrativen Benutzern haben. In Szenarien, in denen Unternehmen nur über eine begrenzte Anzahl von Anwendungen verfügen und nicht die Komplexität mehrerer administrativer Rollen haben, kann es sinnvoll sein, weniger Richtlinientabellen zu verwenden. SASE soll die nötige Flexibilität bieten, um diesen unterschiedlichen Anforderungen gerecht zu werden, einschließlich der Möglichkeit, konsolidierte Richtlinientabellen für mehrere relevante Sicherheitsfunktionen und -anwendungen zu verwenden.

Vermeiden Sie verwirrende Konfigurationen:

Bestimmte SASE-Lösungen entscheiden sich in ihrem Streben nach Vereinfachung, wie bereits erwähnt, für eine einzige, allumfassende Richtlinientabelle, in der Richtlinien mit Werten für verschiedene übereinstimmende Attribute konfiguriert werden können. Während der Verarbeitung des Datenverkehrs basiert die Auswahl der Richtlinien auf dem Abgleich der Werte aus dem eingehenden Datenverkehr und anderen Kontextinformationen mit den in den Richtlinien angegebenen Attributwerten. Es ist jedoch wichtig zu wissen, dass während der Verarbeitung des Datenverkehrs nicht alle Attribute des Datenverkehrs ohne weiteres bekannt sind. Bei Stateful-Inspection-Firewalls kann beispielsweise nur eine begrenzte Anzahl von Verkehrswerten extrahiert werden, wie die 5-Tupel-Informationen (Quell-IP, Ziel-IP, Quell-Port, Ziel-Port und IP-Protokoll). Bei proxy-basierten Sicherheitskomponenten wie SWG, ZTNA und CASB hingegen kann die Extraktion von Attributwerten variieren und verschiedene Phasen umfassen, insbesondere die Phasen der Pre-TLS-Inspektion und der Post-TLS-Inspektion. Vor der TLS-Prüfung/Entschlüsselung bleiben viele HTTP-Attribute unbekannt. Erst nach der TLS-Entschlüsselung stehen zusätzliche Attribute wie der URI-Zugangspfad, die HTTP-Methode und die Anfrage-Header für die Auswertung zur Verfügung. Für Administratoren, die für die Konfiguration von Sicherheitsrichtlinien verantwortlich sind, ist es unpraktisch, von ihnen zu erwarten, dass sie bei der Definition von Richtlinien den Überblick darüber behalten, welche Attribute in den verschiedenen Phasen der Paketverarbeitung gültig sind. Einige Sicherheitslösungen behaupten zwar, dass irrelevante Attribute bei der Bewertung von Richtlinien nicht berücksichtigt werden, aber die Bestimmung, welche Attribute relevant sind und welche nicht, kann bei der Prüfung komplexer Richtlinien eine Herausforderung darstellen. Wir sind der festen Überzeugung, dass die Zusammenführung von Richtlinientabellen über mehrere Stufen hinweg in einer einzigen Tabelle zu Komplexität und Verwirrung bei den Administratoren führt. Ein solcher Ansatz kann schwierig zu verstehen sein und zu potenziell verwirrenden Konfigurationen führen. Um Klarheit zu schaffen, ist es ratsam, innerhalb einer bestimmten Tabelle Richtlinien zu erstellen, die nur relevante Attribute für konsistente und unkomplizierte Bewertungen enthalten.

Optimierung der Deny- und Allow-Richtlinien-Tabellen:

Bestimmte Sicherheitslösungen verwenden eine Struktur, bei der sie getrennte Richtlinientabellen für „Verweigern“ und „Zulassen“ führen. Bei dieser Einstellung haben die in der Liste „Ablehnen“ definierten Richtlinien Vorrang und werden zuerst ausgewertet. Wenn in der Tabelle „Verweigern“ keine passende Richtlinie gefunden wird, wird die Auswertung mit der Tabelle „Zulassen“ fortgesetzt. Diese Aufteilung der Richtlinien in zwei verschiedene Tabellen kann jedoch für Administratoren eine Herausforderung darstellen. Wir plädieren nachdrücklich für einen gestrafften Ansatz, bei dem jede beliebige Politiktabelle als geordnete Liste von Politiken präsentiert wird. In dieser Anordnung gibt jede Richtlinie explizit ihre Aktion an – ob es sich um „Verweigern“, „Zulassen“ oder eine andere gewünschte Aktion handelt. Während der Verarbeitung des Datenverkehrs folgt die Bewertung der Richtlinien einer logischen Abfolge von der Richtlinie mit der höchsten Priorität zur Richtlinie mit der niedrigsten Priorität, bis eine Übereinstimmung gefunden wird. Sobald eine passende Richtlinie identifiziert ist, wird die entsprechende Aktion auf den Datenverkehr angewendet. In Fällen, in denen keine passende Richtlinie gefunden wird, wird eine Standardaktion, wie z.B. „fail open“ oder „fail close“, entsprechend der Sicherheitsrichtlinie des Unternehmens ausgelöst. Dieser Ansatz vereinfacht die Richtlinienverwaltung und erhöht die Übersichtlichkeit für Administratoren, indem er die Richtlinien unabhängig von den Werten der Richtlinienaktion in einer einzigen, geordneten Liste zusammenfasst und so die Komplexität minimiert und den Prozess der Richtlinienbewertung rationalisiert. Der Verzicht auf die Trennung von Richtlinientabellen auf der Grundlage von Aktionswerten ermöglichte es den Anbietern von SASE-Lösungen auch, in Zukunft relativ einfach neue Aktionswerte einzuführen.

Flexible und ausdrucksstarke Politiken schaffen:

Wie Sie gesehen haben, erstellen Administratoren Richtlinien, indem sie Werte für passende Attribute festlegen. Traditionell gibt es ein gemeinsames Verständnis davon, wie der Richtlinienabgleich bei der Verkehrsauswertung funktioniert: Eine Richtlinie wird nur dann als übereinstimmend angesehen, wenn alle in der Richtlinie angegebenen Attributwerte perfekt mit den Werten der eingehenden Verkehrssitzung übereinstimmen. Diese Werte können entweder direkt aus dem Datenverkehr extrahiert oder aus Kontextinformationen abgeleitet werden, wie z. B. dem authentifizierten Benutzerkontext und dem Gerätekontext, der für die Initiierung des Datenverkehrs verantwortlich ist. Im Wesentlichen handelt es sich bei diesem Abgleich um eine ‚UND‘-Verknüpfung über alle Attribute der Police. Mit der Weiterentwicklung der Sicherheitstechnologien haben viele Sicherheitsgeräte jedoch einen flexibleren Ansatz eingeführt, der es den Administratoren ermöglicht, den Attributen mehrere Werte zuzuweisen. In diesem weiterentwickelten Paradigma wird eine Übereinstimmung festgestellt, wenn die Laufzeitkontextinformationen mit einem der für die Richtlinienattribute angegebenen Werte übereinstimmen. Im Wesentlichen kombiniert der Abgleichsprozess nun eine ‚UND‘-Verknüpfung über die Attribute mit einer ‚ODER‘-Verknüpfung über die mit diesen Attributen verbundenen Werte. Unternehmen können von dieser Flexibilität bei der Erstellung umfassender Richtlinien erheblich profitieren. Es reduziert die Gesamtzahl der erforderlichen Richtlinien, ohne die Lesbarkeit zu beeinträchtigen. Diese mehrwertigen Attribute sind jedoch nur ein Schritt in die richtige Richtung, und oft sind weitere Verbesserungen erforderlich, um die speziellen Anforderungen von Unternehmen zu erfüllen: Unterstützung für die „NOT“-Dekoration: Administratoren benötigen die Möglichkeit, Werte für Richtlinienattribute mit einer „NOT“-Dekoration zu definieren.
So sollte es beispielsweise möglich sein, für das Attribut ‚Quell-IP‘ den Wert ‚NOT 10.1.5.0/24‘ festzulegen, was bedeutet, dass die Richtlinie erfolgreich angewendet wird, wenn die Quell-IP der Datenverkehrssitzung nicht zum Subnetz 10.1.5.0/24 gehört. Unterstützung für mehrere Instanzen eines Attributs: Viele herkömmliche Sicherheitsgeräte unterstützen nur eine Instanz eines bestimmten Attributs innerhalb einer Richtlinie. Um umfassende Richtlinien zu erstellen, ist die Möglichkeit, mehrere Instanzen desselben Attributs in eine einzige Richtlinie aufzunehmen, unerlässlich. So kann ein Administrator beispielsweise Sitzungen von jeder IP-Adresse im Teilnetz 10.0.0.0/8 zulassen und gleichzeitig Verkehrssitzungen aus dem Teilnetz 10.1.5.0/24 verweigern. Dies sollte innerhalb einer einzigen Richtlinie möglich sein, vielleicht indem Sie die Werte für die ‚Quell-IP‘ zweimal angeben: „Quell-IP == 10.0.0.0/8“ und „Quell-IP == NICHT 10.1.5.0/24“. Dies verhindert die Notwendigkeit, zwei separate Richtlinien zu erstellen und ermöglicht eine intuitivere Richtlinienverwaltung. Unterstützung für Dekorationen für Werte vom Typ String: Attribute, die String-Werte akzeptieren, wie URI-Pfade, Domain-Namen und viele HTTP-Anfrage-Header, profitieren von Dekorationen wie ‚exact‘, ’starts_with‘ und ‚ends_with‘.
Diese Dekorationen erleichtern die Erstellung aussagekräftiger Richtlinien. Unterstützung für Muster mit regulären Ausdrücken: In manchen Fällen erfordern Richtlinien den Abgleich von Mustern innerhalb von Verkehrswerten. So kann eine Richtlinie beispielsweise vorschreiben, dass eine Datenverkehrssitzung nur dann zulässig ist, wenn ein bestimmtes Muster irgendwo im Header-Wert der ‚User Agent‘-Anfrage enthalten ist. Die Unterstützung von Mustern für reguläre Ausdrücke ist in solchen Szenarien unerlässlich. Unterstützung für dynamische Attribute: Während traditionelle Attribute in Richtlinien fest und vordefiniert sind, erfordern SASE-Umgebungen manchmal dynamische Attribute. Denken Sie an Anfrage- und Antwort-Header oder JWT-Ansprüche, wo Standards mit zahlreichen benutzerdefinierten Headern und Ansprüchen koexistieren. SASE sollte Administratoren die Möglichkeit geben, Richtlinien zu erstellen, die benutzerdefinierte Kopfzeilen und Ansprüche berücksichtigen. SASE sollte zum Beispiel die Erstellung von Richtlinien mit dem Request-Header ‚X-custom-header‘ als Attribut und dem Wert ‚matchme‘ erlauben. Zum Zeitpunkt des Datenverkehrs sollten alle HTTP-Sitzungen mit ‚X-custom-header‘ als einem der Anfrage-Header und ‚matchme‘ als Wert der Richtlinie entsprechen. Unterstützung von Objekten: Diese Funktion ermöglicht die Erstellung verschiedener Arten von Objekten mit Werten, die als Attributwerte in Richtlinien verwendet werden können, anstatt unmittelbare Werte anzugeben. Objekte können in mehreren Richtlinien referenziert werden, und alle zukünftigen Wertänderungen können auf Objektebene vorgenommen werden, was Änderungen an Richtlinien vereinfacht und Konsistenz gewährleistet. Diese Erweiterungen tragen zur Erstellung flexibler, aussagekräftiger und effizienter Sicherheitsrichtlinien bei und ermöglichen es Unternehmen, ihre Richtlinien effektiv an individuelle Sicherheitsanforderungen und -szenarien anzupassen.

Verbesserte Richtlinienintegration mit Verkehrsänderungen

Bestimmte Sicherheitsfunktionen erfordern Änderungen am Datenverkehr, wobei die häufigsten Anwendungsfälle das Hinzufügen, Löschen oder Ändern von HTTP-Anfrage-/Antwort-Headern und deren Werten, Abfrageparametern und deren Werten und sogar des Anfrage-/Antwort-Bodys umfassen. Diese Änderungen können je nach Konfiguration des Administrators stark variieren. Oft hängen die spezifischen Änderungen von Verkehrswerten ab, wie z.B. der Zielanwendung/dem Zieldienst, sowie von Kontextinformationen, die während der Laufzeit des Verkehrs verfügbar sind. Anstatt eine separate Richtlinientabelle für Verkehrsänderungen zu führen, ist es oft effizienter, diese Änderungsobjekte in die Zugriffsrichtlinien selbst aufzunehmen. Dieser Ansatz vereinfacht die Richtlinienverwaltung und stellt sicher, dass Änderungen direkt mit den Richtlinien für das Verkehrsverhalten abgestimmt sind. Ein bekanntes Szenario, in dem die Modifizierung des Datenverkehrs von entscheidender Bedeutung ist, ist der Cloud Access Security Broker (CASB), insbesondere dann, wenn Unternehmen Einschränkungen für mehrere Mandanten benötigen. Diese Einschränkungen beinhalten oft das Hinzufügen von spezifischen Anfrage-Headern und Werten, um kollaborationsspezifische Richtlinien durchzusetzen. Darüber hinaus gibt es andere Fälle, wie z.B. das Hinzufügen von benutzerdefinierten Headern zur End-to-End-Fehlersuche und Leistungsanalyse, in denen Modifikationen des Datenverkehrs eine entscheidende Rolle spielen. Daher erwarten Unternehmen von SASE-Lösungen, dass sie Richtlinien unterstützen, die sich nahtlos in Änderungsobjekte integrieren lassen. Während der Verarbeitung des Datenverkehrs werden Änderungen am Datenverkehr vorgenommen, wenn die entsprechende Richtlinie mit den entsprechenden Änderungsobjekten verknüpft ist. Dies ermöglicht einen einheitlichen und effizienten Ansatz für die Verwaltung des Datenverkehrs und die Durchsetzung von Richtlinien.

Verbessern Sie die Beobachtbarkeit:

Es ist gängige Praxis, jede Verkehrssitzung am Ende der Sitzung zu protokollieren, um eine Beobachtung zu ermöglichen. In Fällen, in denen es sich um umfangreiche oder „Elefanten“-Sitzungen handelt, ist es auch üblich, die Zugriffsinformationen regelmäßig zu protokollieren. Diese Sitzungsprotokolle enthalten in der Regel wertvolle Daten, darunter Metadaten zum Datenverkehr, während der Sitzung durchgeführte Aktionen und Details zu den zwischen Client und Server übertragenen Paketen und Bytes. Ein bedeutender Fortschritt, den SASE bietet, ist die Konsolidierung der Sicherheitsfunktionen und die Einführung von Single-Pass-Architekturen zur Laufzeitvervollständigung, was zu einem einheitlichen Sitzungsprotokoll führt. Im Gegensatz dazu erzeugt jede einzelne Sicherheitskomponente ihr eigenes Sitzungsprotokoll, das häufig Informationen über die übereinstimmende Richtlinie und die beim Abgleich verwendeten kritischen Attributwerte enthält. Wichtig ist, dass SASE zwar ein einziges Protokoll erstellt, aber dennoch keine Kompromisse bei der Aufnahme wichtiger Informationen eingehen sollte. Wenn eine Datenverkehrssitzung aufgrund mehrerer Richtlinienauswertungen über verschiedene Sicherheitsfunktionen und Richtlinientabellen hinweg zugelassen wird, sollte das resultierende Protokoll Informationen über jede übereinstimmende Richtlinie enthalten. Wenn eine Richtlinie aufgrund der Werte bestimmter Verkehrs- oder Kontextattribute übereinstimmt, sollte das Protokoll außerdem genaue Angaben zu den Attributwerten enthalten, die zur Übereinstimmung mit der Richtlinie geführt haben. Da Unternehmen für eine effektive Beobachtung auf umfassende Protokolle angewiesen sind, wird von SASE-Lösungen erwartet, dass sie umfassende Informationen in den Protokollen bereitstellen und so sicherstellen, dass Administratoren Zugang zu den Daten haben, die sie für eine effektive Überwachung und Analyse des Netzwerkverkehrs benötigen.

SASE-Ansatz zur Verwaltung der Politik:

Es ist wichtig zu wissen, dass nicht alle SASE-Lösungen gleich sind. Unternehmen sollten sorgfältig prüfen, ob eine bestimmte SASE-Lösung ihren spezifischen organisatorischen Anforderungen entspricht, ohne die Benutzerfreundlichkeit zu beeinträchtigen. Auch wenn Unternehmen anfangs vielleicht noch nicht über alle der oben genannten Anforderungen verfügen, ist es nur eine Frage der Zeit, bis diese Anforderungen immer relevanter und wichtiger für ihren Betrieb werden. Unternehmen, die alle oben genannten Anforderungen erfüllen, haben den Vorteil, dass sie ihre SASE-Richtlinien völlig flexibel an ihre spezifischen Bedürfnisse anpassen können. Auf der anderen Seite suchen Unternehmen, die derzeit nicht alle diese Anforderungen erfüllen, oft nach einer einfacheren Benutzererfahrung und behalten dabei die Einführung zusätzlicher Funktionen im Auge, wenn sich ihre Anforderungen weiterentwickeln. Mit diesem Ansatz können Unternehmen ein Gleichgewicht zwischen ihrem aktuellen Bedarf und künftigem Wachstum herstellen und sicherstellen, dass ihre SASE-Lösung anpassungsfähig bleibt und auf veränderte Umstände reagieren kann. Wenn SASE-Lösungen keine volle Flexibilität bieten, wird die Anpassung zu einer Herausforderung. Daher sind wir der Meinung, dass SASE-Lösungen die folgenden Kernfunktionen bieten sollten:

Modulare Richtlinienverwaltung: SASE-Lösungen umfassen mehrere Sicherheitsfunktionen, jede mit einer eigenen Reihe von Richtlinienkonfigurationen. Diese Konfigurationen sollten Optionen zum Aktivieren/Deaktivieren, zum Festlegen einer Standardaktion für den Fall, dass keine Richtlinie übereinstimmt, zum Verwalten der Sammlung mehrerer Richtlinientabellen, zum Definieren mehrerer Richtlinien innerhalb jeder Richtlinientabelle, zum Erstellen einer geordneten Liste von Richtlinien und zum Festlegen von Aktionseinstellungen, Änderungsobjekten, übereinstimmenden Attributen und Werten für jede Richtlinie enthalten.
Richtlinienverkettung: Um spezifischere und granularere Richtlinien zu ermöglichen, sollten SASE-Lösungen die Verkettung von Richtlinien unterstützen. Dies bedeutet, dass die Anordnung von Richtlinien über mehrere Richtlinientabellen in einer Sammlung möglich ist. Unternehmen können beispielsweise separate Richtlinientabellen für verschiedene Anwendungen haben, wobei die Richtlinien der Haupttabelle Anwendungs-/Domänennamen als Abgleichskriterien verwenden, um die entsprechenden Richtlinientabellen auszuwählen. Dies wird in der Regel durch die Verwendung von Richtlinien erreicht, die eine Aktion namens „Jump“ enthalten, die die Auswertung der Richtlinie auf die referenzierte Richtlinientabelle umleitet. Das Konzept der Richtlinienverkettung wurde mit Linux IPTables populär, und viele Sicherheitslösungen haben diese Funktion später integriert.

Der Umfang der Sicherheitsfunktionen innerhalb von SASE kann sehr groß sein und kann Folgendes beinhalten:

NGFW (Firewall der nächsten Generation): Bietet L3/L4-Zugangskontrolle, DDoS-Schutz, IP-Reputation, Domain-Reputation und ein Intrusion Detection and Prevention System (IDPS)
SWG (Sicheres Web-Gateway): Bietet TLS-Inspektion, Web-Zugangskontrolle vor TLS, Web-Zugangskontrolle nach TLS, URL-Reputation, Datei-Reputation und Schutz vor Malware.
ZTNA (Zero Trust Network Access): Ähnlich wie SWG, aber mit Schwerpunkt auf der Sicherung gehosteter Anwendungen.
CASB (Cloud Access Security Broker): Umfasst die Reputation von Cloud-Diensten und die Zugriffskontrolle auf Cloud-Dienste.
DLP (Data Loss Prevention): Implementierung einer Zugriffskontrolle auf der Grundlage von personenbezogenen Daten (PII), vertraulichen Standarddokumenten und unternehmensspezifischen sensiblen Dokumenten.

Die Flexibilität der Richtlinienverwaltung für jede Sicherheitsfunktion sowie die Möglichkeit, Richtlinien innerhalb jeder Funktion über mehrere Richtlinientabellen mit Richtlinienverkettung zu verwalten, ist eine leistungsstarke Funktion. Geografisch verteilte Organisationen mit unterschiedlichen gesetzlichen Anforderungen können von dieser Flexibilität besonders profitieren. Kleinere Organisationen bevorzugen jedoch möglicherweise eine Art der Konsolidierung von Policy-Tabellen. In solchen Fällen sollte es möglich sein, die Konfiguration anzupassen, indem:

Konsolidierung aller Konfigurationen der Sicherheitsfunktionen vor TLS in einer einzigen Sammlung von Richtlinientabellen für mehrere SWG/ZTNA-Komponenten.
Konsolidierung aller Konfigurationen der Post-TLS-Sicherheitsfunktionen in einer weiteren Sammlung von Richtlinientabellen über mehrere SWG/ZTNA-Komponenten hinweg.
Beibehaltung der CASB-, Malware- und DLP-Funktionen als separate Einheiten, da diese komplexe Richtliniendefinitionen erfordern.
Sie entscheiden sich für eine einzige Richtlinientabelle innerhalb der Richtlinientabellensammlung und vermeiden so die Verkettung von Richtlinien.

Daher sollten Unternehmen nach SASE-Services suchen, die volle Flexibilität bieten und gleichzeitig benutzerdefinierte Kontrollen zur Konsolidierung von Konfigurationen für relevante Sicherheitsfunktionen bereitstellen. Dieser Ansatz stellt sicher, dass die SASE-Richtlinien auf die spezifischen Bedürfnisse eines Unternehmens zugeschnitten sind und gleichzeitig eine einfache Verwaltung und Skalierbarkeit bei sich ändernden Anforderungen gewährleisten.

Gleichgewicht zwischen Benutzerfreundlichkeit und zukunftssicherer Flexibilität

Die Verwaltung von Sicherheitsrichtlinien ist seit jeher ein komplexes Unterfangen. Viele Produkte sind auf die Verwaltung von Richtlinien für bestimmte Sicherheitsanwendungen spezialisiert, was zu einer fragmentierten Landschaft führt. SASE begegnet dieser Komplexität, indem es mehrere Sicherheits-Appliances in einer einheitlichen Lösung konsolidiert. Diese Konsolidierung bietet zwar Vorteile, bringt aber auch eigene Komplexitäten mit sich. Herkömmliche Ansätze zur Richtlinienverwaltung, wie z. B. eine einzige Richtlinientabelle, mögen zunächst verlockend erscheinen. Sie sind jedoch mit zahlreichen Herausforderungen verbunden und erfüllen oft nicht die in diesem Artikel beschriebenen Anforderungen. Umgekehrt kann eine übermäßige Anzahl von Policy Engines auch zu Komplexität führen. Das richtige Gleichgewicht zwischen Flexibilität und Einfachheit ist von entscheidender Bedeutung. Eine große Herausforderung für die Branche ist die Vielzahl von Policen. Eine übermäßige Anzahl von Richtlinien verschlechtert nicht nur die Benutzerfreundlichkeit und die Fehlerbehebung, sondern hat auch Auswirkungen auf die Leistung. Der Multi-Tabellen-Ansatz und die Ausdrucksfähigkeit von Richtlinien sind, wie bereits beschrieben, wesentliche Strategien, um den Umfang der Richtlinien in den Tabellen zu reduzieren. SASE-Lösungen gehen zunehmend auf diese Komplexität ein, indem sie eine ausgefeiltere Richtlinienverwaltung bieten. Wir sind davon überzeugt, dass sich die SASE-Lösungen weiterentwickeln werden und viele der in diesem Artikel beschriebenen Anforderungen in naher Zukunft umsetzen werden. Diese Entwicklung wird Unternehmen in die Lage versetzen, ein optimales Gleichgewicht zwischen Benutzerfreundlichkeit, Flexibilität und Leistung zu finden und sicherzustellen, dass ihre Sicherheitsrichtlinien in einer sich schnell verändernden Bedrohungslandschaft effektiv und anpassungsfähig bleiben.

CTO Insights Blog

Die Blogserie Aryaka CTO Insights bietet Denkanstöße zu Netzwerk-, Sicherheits- und SASE-Themen.
Aryaka Produktspezifikationen finden Sie in den Aryaka Datenblättern.

Machen Sie Sicherheit einfach: Optimieren Sie Richtlinien in Unified SASE

Balancing Configuration and Control is critical for reducing security risks and management complexity