Wolke: Zentralisierung der Sicherheit für dezentrale Umgebungen

Alles läuft auf eine Art wiederkehrenden Zyklus hinaus (oder so scheint es zumindest im Nachhinein), bei dem Änderungen in der App-Architektur und -Nutzung den Bedarf an neuen Technologien im Netzwerk ankurbeln. Technologien, die zur Bewältigung jener Herausforderungen konzipiert sind, die den Erfolg von Anwendungen behindern, unabhängig davon, ob er anhand von Verbraucher- oder Unternehmenskennzahlen (Gewinn und Produktivität) gemessen wird.

Verfügbarkeit und Leistung sind normalerweise die ersten dieser Herausforderungen, die bewältigt werden müssen. Und immer (so scheint es zumindest) kommt die Sicherheit an letzter Stelle. Alle drei Bedenken, die nahezu perfekt mit den Komponenten des operationellen Risikos übereinstimmen, werden tendenziell mit individuellen, gezielten (wir nennen sie „Punkt-“)Lösungen beantwortet.

An einem bestimmten Punkt im Zyklus erkennen Unternehmen, dass sie viel zu viele Lösungen implementiert haben und damit zur Aufblähung beitragen, die die Betriebsbudgets auffrisst. Das ist „Lösungsausbreitung“. Daher streben sie natürlich eine Konsolidierung bzw. Zentralisierung an, um die betriebliche Belastung ihrer Budgets und zunehmend auch ihrer Mitarbeiter zu reduzieren.

Die Cloud ist eine dieser Änderungen in der App-Architektur, da sie eine weitere Umgebung bereitstellt, die sowohl betrieblich als auch finanziell als Option attraktiv ist. Organisationen haben sich dies zweifellos zunutze gemacht und tun dies auch heute noch. Während SaaS den größten Anteil der „Cloud“-Anwendungslandschaft einnimmt, sind öffentliche IaaS- und PaaS-Angebote bei der Gewinnung von Unternehmen zunehmend erfolgreich.

Diese Entwicklung hat nicht nur zu operativ unzusammenhängenden Umgebungen geführt, sondern auch zu einer dramatischen Verschiebung dessen geführt, was wir traditionell als den zu sichernden „Perimeter“ betrachteten. Der Perimeterschutz befindet sich nicht mehr am Rand des Netzwerks, wo Unternehmensrouter und Firewalls die Verantwortung für den Datenverkehr an Provider und das Internet weitergeben. Es gibt vielmehr mehrere Perimeter, von denen jeder (entsprechend, würde ich sagen) auf eine Anwendung ausgerichtet ist.

Der Schutz jeder einzelnen Anwendung hat höchste Priorität. Das steht außer Frage. Anwendungen sind das Tor zum Datentresor von Unternehmen, egal ob es sich um Unternehmens- oder Privatdaten handelt. Anwendungen können ohne entsprechende Sicherheit einfach nicht eingesetzt werden, da die Gefahr besteht, dass sie ausgenutzt werden und die Daten, die sie übermitteln, verarbeiten und manipulieren sollen, offengelegt werden.

Es besteht kaum ein Unterschied zwischen der Ausbreitung von Lösungen vor Ort im Rechenzentrum und der Ausbreitung von Lösungen in Cloud-Umgebungen.

Allerdings ist „Zentralisierung“ nicht so einfach wie die Konsolidierung von Lösungen in einer Lösung.

Oder vielleicht ist es das.

Die Ursache für die Ausbreitung von Lösungen – die Cloud – erweist sich als perfekte Lösung, um dem Bedarf nach einer Zentralisierung zumindest der Sicherheitslösungen gerecht zu werden, und zwar in einer Weise, die mit dem Konzept vereinbar ist, dass jede Anwendung ihren eigenen Perimeter darstellt.

Durch die Zentralisierung des Schutzes kritischer Anwendungen – Sicherheit auf Netzwerk- und Anwendungsebene – in der Cloud haben Unternehmen die Möglichkeit, die Ausbreitung von Lösungen einzudämmen. Auf diese Weise wird nicht nur eine einheitlichere Sicherheit für alle Anwendungen unabhängig von ihrem Bereitstellungsort erreicht, sondern auch die Belastung von Sicherheitsexperten und -prozessen wird verringert, da die Protokollausbreitung ebenfalls reduziert und die Ereigniskorrelation einfacher wird.

Durch die Entscheidung für eine zentralisierte Lösung, die sowohl volumetrische Angriffe auf Netzwerk- als auch auf Anwendungsebene erkennt und verhindert, wird die Belastung der Netzwerk- und Sicherheitsexperten weiter reduziert und dem Bedarf der Unternehmen nach Einblick in Anwendungsbedrohungen Rechnung getragen.

Eine von Fortinet in Auftrag gegebene Forrester-Studie ergab, dass die Transparenz sowohl der Anwendungs- als auch der Netzwerkeigenschaften für Netzwerk- und Sicherheitsexperten wichtig ist. In der heutigen Cloud-basierten Landschaft ist es zwingend erforderlich, beides in einer einzigen, Cloud-basierten Lösung abdecken zu können, die als Sicherheitswächter für viele Anwendungen an unterschiedlichen Standorten dienen kann.

Im heutigen, risikoreichen und umsatzstarken Spiel „Schützen Sie die Anwendung“ sind sowohl DDoS- als auch Web-Anwendungssicherheit wichtig. Durch die Zusammenführung beider Funktionen in einer einzigen, Cloud-basierten Lösung wird die Notwendigkeit berücksichtigt, die Sicherheit zu zentralisieren und gleichzeitig geeignete app-zentrierte Perimeter einzurichten, unabhängig davon, wo die App bereitgestellt wird.

Es ist nicht machbar, diese app-zentrierten Perimeter vor Ort einzurichten. Die architektonischen Nachteile überwiegen die betrieblichen Vorteile. Die Übertragung desselben Konzepts in die Cloud als Cloud-basierter Dienst bietet jedoch nicht nur dieselben betrieblichen Vorteile einer Zentralisierung, sondern stellt auch ein architektonisch sinnvolles Prinzip dar. Eine Cloud-basierte Lösung hat Zugriff auf eine größere Bandbreite und kann daher einer Flut von Netzwerk- und Anwendungsangriffen standhalten. Eine Cloud-basierte Lösung hat Zugriff auf schnellere Leitungen, was bedeutet, dass der zusätzliche „Hop“, der erforderlich ist, um die Sicherheit auf Anwendungsebene für jede Anwendung zu aktivieren, relativ keine Auswirkungen hat. Umgekehrt kann der Versuch, alle Cloud-basierten App-Anfragen über einen lokalen Web-App-Sicherheitsdienst zu leiten, übermäßige Latenzzeiten verursachen, ganz zu schweigen von einem erhöhten internen Skalierungsbedarf und einer potenziell erhöhten verfügbaren Uplink-Bandbreite.

Die Zentralisierung des DDoS-Schutzes zusammen mit der Sicherheit von Webanwendungen ist aus betrieblicher und architektonischer Sicht sinnvoll.

Weitere Informationen zu einer konvergenten Cloud-basierten Lösung für DDoS-Schutz und Web-Anwendungssicherheit finden Sie unter F5 Silverline . Und um noch tiefer in die Materie einzutauchen , nehmen Sie am 25. Mai mit uns und Equinix an einem Live-Webinar zum hybriden DDoS-Schutz teil .