Was Sie von der nächsten Generation von sicheren Web-Gateways erwarten können

Von Michael Schneider - Sr. Manager, Produktmanagement, Skyhigh Security

April 29, 2022 5 Minute gelesen

Nach mehr als einem Jahrhundert technologischer Innovation, seit die ersten Fahrzeuge von Henry Fords Fließband gerollt sind, haben Autos und Transportmittel nur noch wenig mit der Ära des Model T gemein. Diese Entwicklung wird sich fortsetzen, da die Gesellschaft immer bessere Wege findet, um Menschen von A nach B zu befördern.

Während Secure Web Gateways (SWGs) mit einem weitaus komprimierteren Zeitplan gearbeitet haben, hat eine ähnlich drastische Entwicklung stattgefunden. SWGs sind immer noch weitgehend darauf ausgerichtet, die Benutzer vor unsicheren oder nicht konformen Bereichen des Internets zu schützen, aber der Übergang zu einer Cloud- und Remote-Arbeitswelt hat neue Sicherheitsherausforderungen geschaffen, für die die traditionellen SWGs nicht mehr gerüstet sind. Es ist Zeit für die nächste Generation von SWGs, die es den Nutzern ermöglichen, sich in einer zunehmend dezentralisierten und gefährlichen Welt sicher zu bewegen.

Wie wir hierher kamen

Die SWG war ursprünglich eine URL-Filterlösung, mit der Unternehmen sicherstellen konnten, dass das Surfen ihrer Mitarbeiter im Internet mit den Unternehmensrichtlinien für den Internetzugang übereinstimmt.

Die URL-Filterung ging dann zu Proxy-Servern über, die hinter den Firewalls der Unternehmen sitzen. Da Proxys den von Benutzern kommenden Datenverkehr beenden und die Verbindung zu den gewünschten Websites herstellen, erkannten Sicherheitsexperten schnell das Potenzial für eine gründlichere Prüfung als nur den Vergleich von URLs mit bestehenden Blacklists. Durch die Integration von Antiviren- und anderen Sicherheitsfunktionen wurde die "Secure Web Gateway" zu einem wichtigen Bestandteil moderner Sicherheitsarchitekturen. Der traditionelle SWG konnte diese Rolle jedoch nur spielen, wenn er der Chokepoint für den gesamten Internetverkehr war. Er saß am Rande jedes Unternehmensnetzwerks und ließ Remote-Benutzer über VPN- oder MPLS-Verbindungen durch das Netzwerk zurückschleusen.

SWG der nächsten Generation

Der Übergang zu einer Cloud- und Remote-Arbeitswelt hat der traditionellen, perimeterbasierten SWG neue Belastungen auferlegt. Benutzer können jetzt von praktisch jedem Ort aus mit einer Vielzahl von Geräten direkt auf die IT-Infrastruktur und die damit verbundenen Ressourcen zugreifen, und viele dieser Ressourcen befinden sich nicht mehr innerhalb des Netzwerks auf den Unternehmensservern.

Dieser bemerkenswerte Wandel erweitert auch die Anforderungen an den Schutz von Daten und Bedrohungen, so dass sich Sicherheitsteams mit einer Reihe neuer, ausgefeilter Bedrohungen und Compliance-Herausforderungen auseinandersetzen müssen. Leider konnten die traditionellen SWGs mit dieser sich entwickelnden Bedrohungslandschaft nicht Schritt halten. Das Ergebnis ist eine ineffiziente Architektur, die das Potenzial der verteilten Mitarbeiter nicht ausschöpft.

So gut wie jeder größere Einbruch beinhaltet heute ausgeklügelte mehrstufige Webkomponenten, die von einer statischen Engine nicht gestoppt werden können. Der traditionelle SWG-Ansatz bestand darin, sich mit anderen Teilen der Sicherheitsinfrastruktur abzustimmen, einschließlich Malware-Sandboxen. Da die Bedrohungen jedoch immer fortschrittlicher und komplexer wurden, führte dies zu einer Verlangsamung der Leistung oder dazu, dass die Bedrohungen durchkamen. An dieser Stelle bringt Remote Browser Isolation (RBI) einen Paradigmenwechsel beim Schutz vor fortgeschrittenen Bedrohungen. Wenn RBI als integraler Bestandteil der SWG-Datenverkehrsprüfung implementiert wird, kann es einen Zero-Day-Schutz in Echtzeit gegen Ransomware, Phishing-Angriffe und andere fortschrittliche Malware bieten, so dass selbst die raffiniertesten Bedrohungen nicht durchdringen können, ohne das Surferlebnis zu beeinträchtigen.

Ein weiteres Problem bei den meisten herkömmlichen SWGs ist, dass sie nicht in der Lage sind, Daten ausreichend zu schützen, wenn sie von verteilten Benutzern zu Cloud-Apps fließen, da es ihnen an fortschrittlichem Datenschutz und Cloud-App-Intelligenz mangelt. Ohne Data Loss Prevention (DLP)-Technologie, die fortschrittlich genug ist, um die Natur von Cloud-Apps zu verstehen und mit den weiterentwickelten Sicherheitsanforderungen Schritt zu halten, können Unternehmen Datenschutzlücken in ihren SWG-Lösungen finden, die sie anfällig für Risiken machen.

Schließlich ist da noch die Frage der Cloud-Anwendungen. Cloud-Anwendungen werden zwar im selben Internet betrieben wie herkömmliche Websites, funktionieren aber auf eine grundlegend andere Weise, die herkömmliche SWGs einfach nicht verstehen können. Cloud Access Security Brokers (CASBs) wurden entwickelt, um Transparenz und Kontrolle über Cloud-Anwendungen zu bieten. Wenn die SWG keinen Zugriff auf eine umfassende CASB-Anwendungsdatenbank und ausgefeilte CASB-Kontrollen hat, ist sie für die Cloud praktisch blind. Nur eine Cloud-fähige SWG mit integrierter CASB-Funktionalität kann den Datenschutz auf alle Websites und Cloud-Anwendungen ausdehnen, so dass Unternehmen und ihre Benutzer besser vor fortschrittlichen Bedrohungen geschützt sind.

Was wir von SWGs der nächsten Generation brauchen

Eine SWG der nächsten Generation sollte dazu beitragen, die Implementierung der Security Service Edge Architektur zu vereinfachen und die Einführung einer sicheren Cloud zu beschleunigen. Gleichzeitig muss sie einen fortschrittlichen Schutz vor Bedrohungen und eine einheitliche Datenkontrolle bieten und eine entfernte und verteilte Belegschaft effizient unterstützen.

Hier sind einige der Anwendungsfälle:

• Ermöglichen Sie Mitarbeitern an entfernten Standorten eine Direct-to-Cloud-Architektur mit einer Verfügbarkeit von 99,999%. Als die Länder und Staaten langsam aus den Schutzmaßnahmen herauskamen, wiesen viele Organisationen darauf hin, dass die Unterstützung von dezentralen und verteilten Mitarbeitern wahrscheinlich die neue Norm sein wird. Die Produktivität von Mitarbeitern an entfernten Standorten, die Sicherheit der Daten und den Schutz der Endgeräte zu gewährleisten, kann mitunter eine große Herausforderung sein. Eine SWG der nächsten Generation sollte den Unternehmen die Skalierbarkeit und Sicherheit bieten, die sie benötigen, um die dezentralen Mitarbeiter und das verteilte digitale Ökosystem von heute zu unterstützen. Eine Cloud-native Architektur trägt dazu bei, die Verfügbarkeit zu gewährleisten, die Latenz zu senken und die Produktivität der Benutzer aufrechtzuerhalten, egal wo Ihr Team arbeitet. Ein echter Cloud-Service sollte durchgängig eine Verfügbarkeit von fünf Neunen (99,999%) bieten.
• Reduzieren Sie den Verwaltungsaufwand und senken Sie die Kosten - Mit der zunehmenden Nutzung der Cloud sind heute mehr als 80% des Datenverkehrs für das Internet bestimmt. Das Backhauling des Internetverkehrs auf eine traditionelle "Hub and Spoke"-Architektur, die teure MPLS-Verbindungen erfordert, kann sehr kostspielig sein. Das Netzwerk kommt zum Stillstand, wenn der Datenverkehr in die Höhe schießt, und VPN für Remote-Mitarbeiter haben sich als unwirksam erwiesen. Eine SWG der nächsten Generation sollte das SASE-Framework unterstützen und eine Direct-to-Cloud-Architektur bieten, die die Gesamtbetriebskosten senkt, indem sie den Bedarf an teuren MPLS-Verbindungen reduziert. Mit einem SaaS-Bereitstellungsmodell machen SWGs der nächsten Generation die Bereitstellung und Wartung einer Hardware-Infrastruktur überflüssig, was die Hardware- und Betriebskosten senkt und gleichzeitig die Leistung, Zuverlässigkeit und Skalierbarkeit erhöht.
• Sperren Sie Ihre Daten, nicht Ihr Unternehmen - Mehr als 95 % der Unternehmen nutzen heute Cloud-Dienste, aber nur 36 % der Unternehmen können DLP-Regeln in der Cloud überhaupt durchsetzen. Darüber hinaus sind die meisten herkömmlichen SWGs nicht in der Lage, Daten ausreichend zu schützen, wenn sie von verteilten Benutzern zu Cloud-Anwendungen fließen, da es an fortschrittlichem Datenschutz und Cloud-App-Intelligenz mangelt. Eine SWG der nächsten Generation sollte eine effektivere Möglichkeit bieten, den Schutz mit integrierten Data Loss Prevention Vorlagen und Inline-Datenschutz-Workflows durchzusetzen, um zu verhindern, dass eingeschränkte Daten aus dem Unternehmen fließen. Eine Device-to-Cloud-Datensicherung bietet umfassende Datentransparenz und konsistente Kontrollen über Endgeräte, Benutzer, Clouds und Netzwerke hinweg. Mit der integrierten DLP-Technologie stellen die SWGs der nächsten Generation sicher, dass Unternehmen die Sicherheitsrichtlinien des Unternehmens sowie die branchenüblichen und gesetzlichen Vorschriften einhalten.
• Schützen Sie sich vor bekannten und unbekannten Bedrohungen - Mit dem Wachstum und der Weiterentwicklung des Internets wachsen auch die Angriffe durch webbasierte Malware, die den Schutz herkömmlicher SWGs übersteigen. Ransomware, Phishing und andere fortschrittliche webbasierte Bedrohungen gefährden Benutzer und Endgeräte. Eine SWG der nächsten Generation sollte über die fortschrittlichsten integrierten Sicherheitskontrollen verfügen, einschließlich globaler Bedrohungsdaten und Sandboxing, damit selbst die raffiniertesten Bedrohungen nicht durchdringen können. Eine SWG der nächsten Generation mit Lösungen zum Schutz vor Bedrohungen, die zusammenarbeiten, ist in der Lage, konsistente Richtlinien, Datenschutz und Transparenz für isolierten und nicht isolierten Datenverkehr zu gewährleisten. Eine SWG der nächsten Generation sollte auch Remote Browser Isolation integrieren, um zu verhindern, dass unbekannte Bedrohungen jemals die Endpunkte erreichen.

SWGs haben sich eindeutig von reinen URL-Filtergeräten zu einem Punkt entwickelt, an dem sie für die sichere und beschleunigte Einführung der Cloud unerlässlich sind. Aber wir müssen den sprichwörtlichen Bogen noch viel weiter spannen. Die digitale Transformation verlangt nicht weniger.

Zurück zu Blogs