Moderne Arbeitsplätze erfordern eine neue Bedeutung von

Das Problem mit der traditionellen Vorstellung von einer Website

Lange Zeit war das Konzept eines „Standorts“ in den Bereichen Netzwerke und Sicherheit gleichbedeutend mit einem physischen Büro. Dies schloss ein:

  • ein Hauptquartiergebäude
  • eine Zweigstelle
  • einen Campus, der mit dem Unternehmensnetzwerk verbunden ist

Dieses traditionelle Modell basierte auf mehreren Annahmen:

  • Mitarbeiter arbeiteten hauptsächlich von Büros aus
  • Sicherheitsmaßnahmen an den Grenzen des Netzwerks durchgesetzt wurden
  • Richtlinien zuverlässig von der Herkunft des Netzwerkverkehrs abhängen könnten

Diese Annahmen entsprechen jedoch nicht mehr der Realität der modernen Arbeitswelt.

Heute, Mitarbeiter:

  • Arbeit von zu Hause aus, in Cafés, Hotels und an anderen vorübergehenden Orten
  • mehrmals am Tag zwischen verschiedenen Orten wechseln
  • GenAI-Tools kontinuierlich nutzen, unabhängig von ihrem physischen Standort

Wenn Sicherheitsrichtlinien eng an physische Standorte gekoppelt sind, ergeben sich mehrere Probleme:

  • ein und derselbe Benutzer kann am selben Tag unterschiedliche Sicherheitsrichtlinien erhalten
  • Ausnahmen beim Fernzugriff häufen sich
  • GenAI-Kontrollen werden inkonsistent und schwer zu prüfen
  • die Sicherheitslage kann unvorhersehbar schwanken

AI>Secure geht diese Herausforderungen an, indem es die Bedeutung von „Website“ in seiner Plattform neu definiert.

Was eine Website in AI>Secure bedeutet

In AI>Secure dient ein Standort als politischer Anker und repräsentiert nicht nur ein physisches Gebäude. Ein Standort kann repräsentieren:

  • einen physischen Bürostandort
  • ein logischer Standort für die Wohnung
  • eine funktionale oder organisatorische Grenze
  • eine Sicherheitsgrenze, die nicht an die Geographie gebunden ist

Dank dieser Flexibilität können Unternehmen selbst entscheiden, ob sie die Richtlinien anwenden möchten:

  • Folgen Sie dem Benutzer
  • Folgen Sie dem Standort
  • oder eine Mischung aus beiden Ansätzen umsetzen

Zwei Arten der Nutzung von Websites (beide unterstützt)

AI>Secure unterstützt beide Modelle gleichzeitig. Kunden können sich für das eine, das andere oder eine Kombination aus beiden entscheiden.

Logische Seiten: Richtlinien folgen dem Benutzer

In diesem Modell:

  • ein Standort stellt einen logischen Heimatort dar
  • Richtlinien bleiben konsistent, wenn der Benutzer zwischen verschiedenen Standorten wechselt
  • der physische Standort hat keinen Einfluss auf die Durchsetzung der Richtlinie

Beispiel:

  • ein Benutzer gehört zu der Seite „San Jose Engineering“.
  • der Benutzer arbeitet morgens von zu Hause aus
  • arbeitet später in einem Café
  • besucht dann ein anderes Firmenbüro

Den ganzen Tag über:

  • gelten die gleichen GenAI-Richtlinien
  • gelten die gleichen Datenschutzbestimmungen
  • gelten die gleichen Inspektions- und Durchsetzungsmaßnahmen

Dieses Modell ist gut geeignet für:

  • Hybride und ferngesteuerte Arbeitskräfte
  • konsistente GenAI-Sicherheit
  • vorhersehbare Prüfung und Einhaltung

Physische Standorte: Die Richtlinien folgen dem Standort

In diesem Modell:

  • ein Standort steht für den Ursprung des Netzwerkverkehrs
  • Richtlinien ändern sich je nach physischem oder Netzwerkstandort

Beispiel:

  • vom Hauptquartier aus arbeiten und die Richtlinien des Hauptquartiers anwenden
  • Arbeiten von einer Zweigstelle aus wendet Zweigstellenrichtlinien an
  • Fernarbeit wendet Fernrichtlinien an

Dieser Ansatz ist besonders nützlich, wenn:

  • unterschiedliche regionale Regelungen
  • Vertrauenslevel variiert je nach Standort
  • bestehende Betriebsmodelle müssen beibehalten werden

Logische Standorte funktionieren auch mit IPsec-basiertem transparentem Proxy

Ein weit verbreiteter Irrglaube ist, dass logische Sites nur mit Forward-Proxy-Konfigurationen kompatibel sind. In AI>Secure funktionieren logische Sites mit beiden:

  • Forward-Proxy-Einsätze
  • IPsec-basierte transparente Proxy-Einsätze

Die Standortbestimmung ist explizit und wird durch die Konfiguration bestimmt, anstatt abgeleitet zu werden.

Wie die Standortbestimmung mit Forward Proxy funktioniert

Wenn Benutzer über einen Forward Proxy auf AI>Secure zugreifen:

  • jede logische Site ist einem bestimmten Proxy-Port zugeordnet
  • die Geräte der Mitarbeiter mit der entsprechenden Proxy-Domäne und dem Port ausgestattet sind
  • der Datenverkehr landet immer auf demselben Port, unabhängig vom Standort des Benutzers

Das Ergebnis ist:

  • der Port gehört zu einer Website
  • die Website ist mit einem Sicherheitsprofil verbunden
  • überall die gleichen Richtlinien durchgesetzt werden

Auch wenn sich die Benutzer aus Leistungsgründen mit dem nächstgelegenen AI>Secure Point of Presence (POP) verbinden, stellt AI>Secure sicher, dass Standortzuordnungen, Sicherheitsprofile und Richtlinienkonfigurationen an allen für diesen Standort konfigurierten POPs verfügbar sind.

Wie die Standortbestimmung mit IPsec-basiertem transparentem Proxy funktioniert

Bei IPsec-basierten Implementierungen:

  • Mehrere dedizierte VPN-Tunnel können eingerichtet werden
  • jeder Tunnel ist explizit mit einem Standort verbunden
  • Der in einem Tunnel ankommende Verkehr bestimmt den Standort

Wichtige Details:

  • ein physisches Büro kann mehrere VPN-Tunnel haben
  • ein Tunnel kann einen logischen Heimatstandort darstellen
  • andere Tunnel können den Zugang von anderen Büros oder mobilen Benutzern darstellen
  • logische Seiten bleiben auch im transparenten Proxymodus erhalten

Dies bedeutet:

  • ein Standort muss nicht gleich ein Gebäude sein
  • ein Standort steht für die Identität der Politik
  • physische und logische Modelle können nebeneinander bestehen

Zusätzliche Szenarien, die durch logische Standorte ermöglicht werden

Wenn eine Website als Richtlinienidentität behandelt wird, werden neue Anwendungsfälle ganz einfach.

Rollenbasierte Websites:

  • Technik
  • Finanzen
  • legal
  • Führungskräfte

Jede Rolle kann eigene GenAI-Zugriffs-, Inspektionstiefen- und Datenschutzregeln haben.

Isolierung von Auftragnehmern und Partnern:

  • Auftragnehmer, die bestimmten logischen Standorten zugewiesen sind
  • Strengere Kontrollen ohne die Notwendigkeit separater Netzwerke

Temporäre oder projektbezogene Standorte:

  • M&A-Aktivität
  • Ermittlungen
  • spezielle F&E-Projekte
  • Websites können sauber erstellt und entfernt werden

Regulatorische Segmentierung:

  • GDPR-erfasste Nutzer
  • HIPAA-bezogene Arbeitsabläufe
  • exportkontrollierte Teams
  • Durchsetzung der Segmentierung ohne Neugestaltung der Netzwerktopologie

Warum dies für GenAI Security wichtig ist

GenAI-Nutzung ist:

  • benutzergesteuert
  • ortsunabhängig
  • kontinuierlich über den Tag verteilt

Sicherheitskontrollen, die ausschließlich an physische Standorte gebunden sind, entsprechen nicht mehr der Realität der modernen Arbeit. Indem AI>Secure den Standort als eine flexible Abstraktion von Richtlinien behandelt, unterstützt es:

  • konsistente GenAI-Leitplanken
  • vorhersehbare Durchsetzung
  • geringere Politikabweichung
  • verbesserte Prüfbarkeit

Zusammenfassung

In AI>Secure:

  • ein Standort ist ein politischer Anker, nicht nur ein physisches Büro
  • Standorte können logisch oder physisch sein
  • logische Standorte arbeiten sowohl mit Forward-Proxy- als auch mit transparenten IPsec-Proxy-Modellen
  • Richtlinien können Benutzern, Standorten oder beidem folgen
  • die Durchsetzung bleibt an allen globalen Standorten einheitlich

Dieser Ansatz bringt die Sicherheit in Einklang mit den Realitäten der modernen Arbeit und der Nutzung von GenAI.