VPN ist tot – lang lebe der Fernzugriff!

Autor
Reinhold Zurfluh
Veröffentlicht
16. Juni 2020

VPNs sind so sehr zur Standardlösung für den sicheren Fernzugriff auf Unternehmensnetzwerke geworden, dass viele die Begriffe «Fernzugriff» und «VPN» als Synonyme verwenden. Doch mit der zunehmenden Nutzung von Cloud-Anwendungen ändern sich die Anforderungen an Netzwerke und die Netzwerk-Sicherheit. Unternehmen müssen sich deshalb mit der Frage beschäftigen: Lassen sich diese neuen Anforderungen mit VPNs erfüllen oder ist es an der Zeit, den Fernzugriff völlig neu zu durchdenken und zu einer moderneren Lösung zu wechseln? Wir zeigen Ihnen in diesem Beitrag Ansatzpunkte, wie Sie die Anforderungen einfach erfüllen können.

Ihre Benutzer und Anwendungen verlassen das Gelände

Viele Ihrer Mitarbeitenden arbeiten ständig, auch wenn sie sich nicht im Unternehmen befinden – sei es beim Kunden, im Home Office oder im Zug. Damit ist klar, dass der Zugriff auf alle Daten und Anwendungen möglich sein muss. Gleichzeitig müssen Bedrohungen konsequent abgewehrt und Datenschutzrichtlinien umgesetzt werden. Hinzu kommt: Die weltweite Ausdehnung der Geschäftstätigkeit, die steigende Zahl mobiler Mitarbeitenden und die zunehmende Nutzung von Cloud Computing verändern die Art und Weise, wie Unternehmen Anwendungen implementieren und bereitstellen.

Die Grenzen des traditionellen Fernzugriffs

VPNs wurden für einen ganz bestimmten Zweck entwickelt: als Gateway für legitime Nutzer, die sich ausserhalb des Firewall-Perimeters befinden und Zugang zu den zentralen Ressourcen benötigen. Die Situation ändert sich jedoch grundlegend, sobald Cloud-Anwendungen Teil der Infrastruktur sind. Denn der Datenverkehr wird immer zuerst zum VPN-Gateway geleitet, auch wenn dieser für eine in der Cloud gehostete Anwendung bestimmt ist. Aus Sicht der Sicherheit ist das durchaus sinnvoll, doch aus dem Blickwinkel der Netzwerkoptimierung ist es nicht zielführend.

Zudem kann der Umweg die Nutzererfahrung von Cloud-Anwendungen so stark beeinträchtigen, dass viele Mitarbeitende das VPN nur verwenden werden, wenn es unbedingt erforderlich ist, beispielsweise wenn sie Zugang zum unternehmensinternen Rechenzentrum benötigen, und melden dann wieder ab. Sobald die Nutzer nicht über das VPN angemeldet sind, hat das Unternehmen jedoch keinen Überblick über die genutzten Anwendungen. Infolgedessen kann es weder den Zugriff auf nicht genehmigte Anwendungen unterbinden noch sonstige Sicherheitsrichtlinien konsequent durchsetzen.

Vom Fernzugriff zur ersten Generation der Cloud-Sicherheit

Bestimmt sind auch Sie zu der Schlussfolgerung gelangt, angesichts der steigenden Zahl der mobilen Mitarbeitenden und der cloudbasierten Anwendungen, dass der traditionelle Fernzugriff weder Schritt halten noch das erforderliche Mass an Sicherheit bieten kann. Deshalb ist ein neuer Ansatz erforderlich – und der ruft förmlich nach Cloud-Sicherheit! Da sich aber viele Produkte der «Cloud-Sicherheit 1.0» nur auf die Probleme von gestern konzentrieren, greifen diese bei den Anforderungen von heute zu kurz. Denn die Sicherheit sollte überall, wo sich Ihre Mitarbeitenden aufhalten und wo Geschäftsdaten verwendet werden, gleich hoch und genauso umfassend sein. Dies ist aber nicht der Fall, wenn der Schutz je nach Standort von Anwendungen und Benutzern variiert.

Die erste Generation der Cloud-Sicherheit bestand aus Punktlösungen mit bestimmten Funktionen, sah jedoch keine Möglichkeit für einen koordinierten Schutz vor. So entstehen schnell Schwachstellen, durch die Daten verloren gehen oder gestohlen werden können. Gleichzeitig wird es schwierig die subtilen, hochintelligenten Methoden der Angreifer zu durchschauen. Folglich führt der Einsatz von Proxys, sicheren Web Gateways, Remote Access VPN, DNS-Filtering-Diensten und Proxys für Cloud Access Security Broker (CASB) zu Sicherheitsproblemen, die nur schwer zu überwinden sind.

Verstehen Sie mich richtig: All diese Sicherheitslösungen haben noch immer ihre Berechtigung – aber nicht in erster Linie für Ihre Mitarbeitenden «on the road». Das Paradigma für Cloud-Sicherheit muss neu erfunden werden. Der nächste Evolutionsschritt erfordert neue Strategien für einen besseren Schutz aller Anwendungen, Benutzer und Zweigstellen. Doch wie würde ein besseres Konzept aussehen? Hier ein möglicher Ansatz:

Cloud-Sicherheit der nächsten Generation

Ihre Mitarbeitenden benötigen Zugang zum Rechenzentrum, zum Internet und zu Anwendungen in öffentlichen, privaten und Hybrid Clouds. Mit anderen Worten: Der neue Ansatz muss den Benutzern an allen Standorten stets optimalen Zugang zu sämtlichen Anwendungen bieten.

Cloud-Sicherheit braucht eine moderne Architektur für mobile Mitarbeitende

Dies setzt voraus, dass sich die Sicherheitsinfrastruktur nicht nur am Perimeter auftürmt, sondern auch in die Cloud wandert. Nur so ist sichergestellt, dass sich die Nutzer jederzeit sicher mit einem nahegelegenen Cloud Gateway verbinden können. Damit unterstützt dieser Cloud-Service nicht nur den sicheren Zugriff auf alle Anwendungen, sondern auch die Überprüfung und Überwachung des gesamten Datenverkehrs; unabhängig vom genutzten Port und Protokoll. Genau dies bietet Ihnen Prisma™ Access, ein Secure Access Service Edge (SASE) von Palo Alto Networks.

Cloud-Sicherheit für verwaltete Mobilgeräte

Hierzu empfehlen wir die App «GlobalProtect», die Sie auf allen von Ihnen verwalteten Geräte (Laptops, Handys oder Tablets) installieren können, welche Ihre Mitarbeitenden nutzen. Die App stellt automatisch eine Verbindung zu Prisma Access her, sobald das Gerät mit dem Internet verbunden ist. Prisma Access seinerseits verbindet Anwendungen an verschiedenen Standorten über seine Konnektivitätsschicht miteinander. So haben Ihre Mitarbeitenden Zugang zu allen Anwendungen – unabhängig davon, ob diese in der Cloud oder im Rechenzentrum gehostet werden. Zudem stellt Prisma Access die erforderlichen Sicherheitsmassnahmen zur Erkennung von bekannter und neuer Malware, Exploits, Kommunikation mit Command-and-Control-Servern und Angriffen mit gestohlenen Anmeldedaten bereit.

Cloud-Sicherheit für nicht verwaltete Geräte resp. BYOD

In Kombination mit der MDM-Integration (Mobile Device Management) kann Prisma Access zur Durchsetzung von BYOD-Richtlinien eingesetzt werden. Dadurch erhalten auch Mitarbeitende von externen Auftragnehmern und Vertragspartnern, andere Nutzer mit nicht verwalteten Geräten sowie Ihre Mitarbeitenden mit BYOD-Geräten einen clientlosen VPN-Fernzugriff zum Rechenzentrum. Mit diesem Ansatz kann jenen Nutzern dank Inline-Sicherheitsmassnahmen ein sicherer Zugang zu SaaS-Anwendungen geboten werden.

Für eine zukunftssichere Cloud-Sicherheit

Prisma Access wurde entwickelt, um Cyberangriffe wirksam zu verhindern. Dazu reicht es nicht aus, Bedrohungen aus dem Internet zu blockieren. Der gesamte ein- und ausgehende Datenverkehr muss inspiziert werden. Jeder Kompromiss kann zu gefährlichen Sicherheitslücken führen. Mit Prisma Access eliminieren Sie «Engpässe» am Perimeter, die mit VPN-basiertem Fernzugriff einhergehen und bieten Ihren Nutzern einen sicheren Zugang zu allen Anwendungen – egal wo sie gerade darauf zugreifen wollen.

Artikel teilen