Die Wahl des Einheitlichen SASE Anbieter: Der Execution Isolation Factor

Gemeinsame Prozesse für Sicherheitstechnologien auf Paketebene

Netzwerk- und Sicherheitstechnologien auf Paketebene, wie Stateful-Inspection-Firewalls, IPSEC und Lastausgleich, stellen geringere Rechenanforderungen im Hinblick auf die Anzahl der für jedes Paket erforderlichen CPU-Zyklen. Darüber hinaus ist die Verarbeitung pro Paket äußerst konsistent, was die Leistungsvorhersage vereinfacht.

In der heutigen Landschaft werden Sicherheitsfunktionen (z. B. FWaaS) als Dienste von Dienstanbietern bereitgestellt, die diese Funktionen im bereitstellen Cloud/Präsenzpunkte (PoPs). Um mehreren Mandanten gerecht zu werden, nutzen die zugrunde liegenden Sicherheitstechnologieimplementierungen ein Virtual Routing and Forwarding (VRF)-Mandantenmodell. Bei diesem Modell durchläuft der Datenverkehr von mehreren Mandanten dasselbe Sicherheitsgerät oder denselben Container/Prozess, wodurch Herausforderungen im Zusammenhang mit sich überschneidenden IP-Adressen zwischen Mandanten effektiv angegangen werden. Der Mandantenverkehr wird entweder über Tunnelschnittstellen oder andere Mechanismen identifiziert und dann werden spezifische, auf jeden Mandanten zugeschnittene Konfigurationen, wie zum Beispiel mandantenspezifische Sicherheitsrichtlinien, entsprechend angewendet.

Um potenzielle „Noisy Neighbor“-Probleme abzumildern, wird eine Begrenzung der Paketrate am Eingang auf Mandantenbasis angewendet. Diese Strategie gewährleistet, dass die Sicherheitsleistung jedes einzelnen Mieters durch die Aktivitäten anderer potenziell problematischer Mieter unbeeinträchtigt bleibt. Angesichts der konsistenten Verarbeitung pro Paket erweist sich die Ratenbegrenzung als wirksam, um eine gleichberechtigte Verarbeitungsbehandlung für alle Mieter sicherzustellen.

Eine weitere große Sorge für Unternehmen ist der potenzielle Verlust sensibler Daten, der durch die Ausnutzung von Schwachstellen in gemeinsam genutzten Prozessen oder Containern durch Mali entstehtciouns Pakete von anderen Mietern. Ein von Sicherheitsdienstleistern häufig vorgebrachtes Argument ist, dass die Verarbeitung pro Paket unkompliziert sei, wodurch die Wahrscheinlichkeit von Schwachstellen und entsprechender Ausnutzung verringert werde. Es stimmt tatsächlich, dass Sicherheitstechnologien auf Paketebene einfacher sind, und dieses Argument hat eine gewisse Berechtigung.

Beide zuvor erwähnten Herausforderungen, nämlich das „Noisy Neighbor“-Problem und die „Schwachstellen gemeinsam genutzter Ressourcen“, stellen möglicherweise keine wesentlichen Probleme für Sicherheitstechnologien auf Paketebene dar, die gemeinsam genutzte Prozesse nutzen. Wir glauben jedoch, dass diese Herausforderungen ausgeprägter und substanzieller sein können SASE (Secure Access Service Edge) oder SSE (Secure Service Edge) Sicherheitstechnologien.

Erkennungsmerkmal SASE/SSE-Sicherheit durch Sicherheitstechnologien und Herausforderungen auf Paketebene

SASE/SSE-Sicherheitstechnologien (Secure Access Service Edge/Secure Service Edge) gehen über die herkömmliche Sicherheit auf Paketebene hinaus und bieten eine umfassende Suite von Funktionen:

• Umfangreiche Sicherheitsfunktionen: SASE/SSE umfasst eine breite Palette von Sicherheitsfunktionen, darunter IDPS (Intrusion Detection and Prevention), DNS Sicherheit, SWG (Secure Web Gateway), ZTNA (Zero Trust Network Access), CASB (Cloud Access Security Broker) mit IP/URL/Domain/File-Reputation-Firewall, Zugriffskontrolle mit tiefgreifenden Attributen auf Datenverkehrsebene wie URI, Anforderungsheadern, Antwortheadern, Anti-Malware und DLP (Data Leak Prevention). Zero Trust Networking (ZTN) in SASE/SSE ist von grundlegender Bedeutung und stellt den Zugriff nur nach Benutzerauthentifizierung und -autorisierung sicher, mit detaillierter Kontrolle über Anwendungsressourcen unter Berücksichtigung von Identität und Gerätekontext.
• Tiefgreifende Inhaltsinspektion: Der Kern des SASE/SSE-Sicherheit liegt in der gründlichen Inhaltsprüfung. Verwendung von Proxys, die Client-Verbindungen verwalten, Serververbindungen initiieren, Streams entschlüsseln, relevante Daten aus dem Datenverkehr extrahieren, Sicherheitsfunktionen ausführen und die Übertragung von Mali verhindernciouns zufrieden.

Schauen wir uns nun die Ausführungsunterschiede zwischen an SASE/SSE und Sicherheitstechnologien auf Paketebene:

• Wechsel von der Verarbeitung pro Paket zur sitzungsbasierten Verarbeitung: Im Kontext der SASE/SSE erfolgt die Sicherheitsausführung nicht mehr auf der Ebene pro Paket, sondern auf der Ebene der Verkehrssitzungsströme. Im Gegensatz zu paketbasierten Technologien gibt es Unterschiede in der Anzahl der verwendeten Rechenzyklen SASE/SSE-Sicherheitsverarbeitung mandantenübergreifend aus folgenden Gründen:
  • Die auf den Datenverkehrsstrom angewendeten Sicherheitsfunktionen können je nach Mandant unterschiedlich sein.
  • Auch bei Anwendung ähnlicher Sicherheitsfunktionen kann die Art der ausgetauschten Daten eine intensivere Verarbeitung erforderlich machen. Betrachten Sie beispielsweise Szenarien mit Anti-Malware und DLP, die das Extrahieren von Text aus verschiedenen Dateitypen, das Dekomprimieren übertragener Dateien, das Entpacken von Dateisammlungen und mehr erfordern. Einige Mandanten übertragen möglicherweise komprimierte Dateien, was zu einer umfangreichen Verarbeitung führt und sich auf den Durchsatz und die Latenz für andere Mandanten auswirkt. Lärm, der von einem bestimmten Mieter verursacht wird, sei es aufgrund von Infektionen oder hohem Geschäftsverkehr während einer bedeutenden Veranstaltung, kann die Verkehrsleistung anderer Mieter beeinträchtigen.
• Komplexe Sicherheitsverarbeitung: SASEDie /SSE-Sicherheitsverarbeitung ist von Natur aus komplex und umfasst häufig verschiedene Bibliotheken, einschließlich Komponenten von Drittanbietern und Open-Source-Komponenten. Dazu gehören Funktionen wie OIDC-Clients (OpenID Connect), Kerberos-Clients, SAMLv2-Clients zur Authentifizierung, komplexe Policy-Engines zur Durchsetzung, SDKs von Threat-Intelligence-Anbietern, Datenextraktion, JSON/XML-Decodierung, Base64-Decodierung, Datendekomprimierungs-Engines und Textextraktion über Open-Source-Projekte wie Tika, unter anderem für Sicherheit auf Datenebene wie Anti-Malware und DLP. Diese Komplexität erhöht die Angriffsfläche für eine potenzielle Ausnutzung. Obwohl SASE/SSE-Anbieter priorisieren die schnelle Behebung von Schwachstellen. Zwischen der Ausnutzung und der Behebung kann eine Zeitlücke bestehen. Wenn gemeinsame Prozesse für mehrere Mandanten eingesetzt werden, können Angreifer möglicherweise Schwachstellen ausnutzen und auf vertrauliche Informationen nicht nur des vorgesehenen Mandanten, sondern auch aller Mandanten zugreifen, die diesen Ausführungskontext gemeinsam nutzen.
• Bringen Sie Ihre eigene Sicherheitsfunktion mit: Während SASE/SSE-Dienste bieten sofort umfassende Sicherheitsfunktionen und bieten Unternehmen außerdem die Flexibilität, ihre benutzerdefinierten Sicherheitsfunktionen mithilfe von Lua-Modulen oder WebAssembly-Modulen (WASM) einzuführen. In solchen Fällen stellen gemeinsame Prozesse jedoch erhebliche Herausforderungen dar, da sie bei unsachgemäßer Verwaltung potenziell zur Datenexfiltration aus anderen Mandanten führen können. Die Lösung dieses Problems wird komplexer, wenn gemeinsame Prozesse eingesetzt werden, und es gibt möglicherweise immer Möglichkeiten, diese Kontrollen zu umgehen.

Zusammenfassend, SASE/SSE-Sicherheit bietet ein umfassendes Sicherheits-Framework, das über die Sicherheit auf Paketebene hinausgeht, bringt jedoch Komplexitäten und Herausforderungen im Zusammenhang mit variabler Rechennutzung, komplizierter Verarbeitung und gemeinsam genutzten Ressourcen mit sich. Die Aufrechterhaltung einer robusten Sicherheit in solchen Umgebungen ist von entscheidender Bedeutung, um sich vor Leistungsproblemen UND Datenschutzverletzungen zu schützen.

Suchen SASE/SSE-Lösungen, die Ausführungsisolation bieten

Organisationen schätzen zweifellos die dahinter stehende Logik SASE/SSE-Anbieter, die gemeinsame Prozesse für mehrere Mandanten einsetzen. Dieser Ansatz nutzt die Rechenressourcen der Mieter effizient und trägt so zur Nachhaltigkeit und Kosteneffizienz bei. Dienstleister können diese Kosteneinsparungen wiederum an ihre Kunden weitergeben.

Bestimmte Branchensegmente zögern jedoch, die Sicherheitsrisiken zu akzeptieren, die mit mandantenfähigen Architekturen und gemeinsam genutzten Prozessen verbunden sind. Einige Organisationen könnten voraussehen, dass künftig ein risikoaverserer Ansatz erforderlich sein wird. In solchen Fällen sollten Organisationen nachsuchen SASE/SSE-Dienste, die Flexibilität bieten und Optionen sowohl für gemeinsam genutzte Prozesse als auch für dedizierte Prozesse/Container bieten.

Dedizierte Ausführungskontexte mit dedizierten Prozessen/Containern für die Datenverkehrsverarbeitung können die im vorherigen Abschnitt beschriebenen Herausforderungen effektiv bewältigen:

• Leistungsisolation: Das Erreichen einer deterministischen Leistung wird möglich, ohne sich Gedanken über störende „laute Mieter“ machen zu müssen. Mit einem dedizierten Ausführungskontext ist es relativ einfach, einzelnen Mandanten dedizierte Rechenressourcen zuzuweisen. Man kann auch Ressourcenobergrenzen für laute Nachbarn konfigurieren, die alle Ressourcen in den Rechenknoten verbrauchen.
• Sicherheitsisolation: Ein dedizierter Ausführungskontext stellt sicher, dass jedes Maliciouns Absicht oder Insider-Bedrohungen, die wir ausnutzen wollen SASE/SSE-Dienste eines Mandanten führen bei Mandanten, die sich für dedizierte Ausführungskontexte entscheiden, nicht zu Datenlecks.
• Sorgenfrei „Bringen Sie Ihre eigene Sicherheitsfunktion mit“: Ein dedizierter Ausführungskontext stellt zweifellos sicher, dass Lua-Skripte/WASM-Module ausschließlich innerhalb dedizierter Prozesse ausgeführt werden. Folglich beschränken sich etwaige Verarbeitungs- oder Datenexfiltrationsherausforderungen darauf, dass der Mandant seine benutzerdefinierten Sicherheitsfunktionen einbringt, was anderen Mandanten in dieser Hinsicht Sicherheit gibt, wenn Dienstanbieter diese Funktion nur für dedizierte Prozesse aktivieren.

Zukünftige Bedürfnisse antizipieren: Die Bedeutung von Confidential Computing

Mit Blick auf die Zukunft werden sich einige Unternehmen zunehmend der wachsenden Bedeutung vertraulicher Datenverarbeitung bewusst. Dieses Bewusstsein ist besonders relevant im Zusammenhang mit der TLS-Inspektion und der Verwaltung zahlreicher sensibler Daten, darunter Geheimnisse und Passwörter SASE/SSE-Dienste. Eine immer wiederkehrende Sorge besteht darin, dass Personal mit Zugriff auf die Serverinfrastruktur, einschließlich des Personals von Dienstanbietern, unbefugten Zugriff auf den Speicher von Prozessen und Containern erhalten könnte. Darüber hinaus können selbst Angreifer, denen es gelingt, Serverbetriebssysteme auszunutzen, möglicherweise den Speicher dieser Container und Prozesse beschädigen. Dieses Problem wird in Situationen noch ausgeprägter, in denen Dienste an mehreren Points of Presence verfügbar sind (POPs) in verschiedenen Ländern mit unterschiedlichem Grad an rechtlichen Definitionen und Umsetzungen.

Moderne Prozessoren, beispielsweise solche, die mit Intel Trust Domain Extensions (TDx) ausgestattet sind, bieten erweiterte Funktionen für eine vertrauenswürdige Ausführung. Diese Technologien spielen eine entscheidende Rolle dabei, sicherzustellen, dass selbst Infrastrukturadministratoren oder Angreifer mit erhöhten Rechten den Speicherinhalt nicht entschlüsseln können, da er durch die TDx-Hardware sicher verschlüsselt bleibt.

SASE/SSE-Anbieter, die dedizierte Ausführungskontexte anbieten, sind im Vergleich zu anderen besser in der Lage, diese wichtige Vertraulichkeitsfunktion bereitzustellen. Daher wird Organisationen dringend empfohlen, Anbieter in Betracht zu ziehen, die die Flexibilität sowohl gemeinsamer Prozesse als auch dedizierter Ausführungskontexte bieten. Diese Flexibilität wird dazu beitragen, ihre Risikominderungsstrategien zukunftssicher zu machen und ein Höchstmaß an Datensicherheit in sich entwickelnden Landschaften zu gewährleisten.

• CTO Insights-Blog

  Die Aryaka-CTO-Insights-Blogserie bietet Vordenker für Netzwerk, Sicherheit und SASE-Themen. Aryaka Produktspezifikationen beziehen sich auf Aryaka Datenblätter.