Absicherung der softwaredefinierten Filiale mit Aryaka Zones und Partnerlösungen

Letzte Woche habe ich über Aryaka HybridWAN und seinen innovativen Ansatz zur Bereitstellung von Internetkonnektivität mit SLAs der Unternehmensklasse für Zweigstellen gebloggt. Sobald Sie Zweigstellen für das Internet öffnen, ist die Sicherheit natürlich ein wichtiges Thema.

Wenn es um die Sicherheit im SD-WAN geht, gibt es in unserer Branche zwei generische Ansätze:

• Die Haltung der integrierten Lösung, d.h. „Sie sollten sich mein SD-WAN zulegen, weil es zufällig auch mit meiner integrierten Sicherheitslösung integriert ist, was Ihnen erspart, die Sicherheit von jemand anderem zu beziehen. Vertrauen Sie mir, es entspricht Ihren Bedürfnissen.“ Diese Haltung ist in der SD-WAN-Welt weit verbreitet, aber sie stellt ganz klar eine Lock-in-Strategie dar und kann den besonderen Sicherheitsvorlieben und -bedürfnissen von Unternehmen durchaus abträglich sein.
• Die Haltung der offenen Lösung, d.h. „Wir als SD-WAN-Unternehmen verstehen, dass die meisten Unternehmen den mehrschichtigen Sicherheitsansatz auf ihre speziellen Bedürfnisse zuschneiden müssen. Daher werden wir einige grundlegende Sicherheitsfunktionen bereitstellen – aber wir werden sicherstellen, dass wir eine offene Haltung beibehalten und auch mit einer Reihe von führenden Sicherheitsunternehmen zusammenarbeiten, damit unsere Kunden ihre Sicherheitslösung wirklich maßgeschneidert gestalten können.“

Aryaka ist ein SD-WAN-Unternehmen, das sich der Haltung von Open Security Solution verschrieben hat. Die Gründe? In erster Linie sind wir ein Unternehmen, bei dem der Kunde im Mittelpunkt steht. Unser State Of The WAN 2019 Report hat eindeutig festgestellt, dass die Sicherheit zwar für jedes Unternehmen, das SD-WAN einsetzt, ein Hauptanliegen ist, die Mehrheit der Unternehmen jedoch die Möglichkeit der Wahl haben möchte. Aus einer Vielzahl von Gründen, die von Bedenken hinsichtlich der Unternehmensarchitektur bis hin zu gesetzlichen Anforderungen reichen, kann eine einzige Sicherheitslösung selten alle Anforderungen eines Unternehmens abdecken. Mehrere Branchenanalysten haben auch wiederholt festgestellt, dass ein mehrschichtiger Ansatz für die Sicherheit erforderlich ist.

Der Ansatz von Aryaka in Sachen Sicherheit ist offen und geradlinig:

Zunächst einmal ist da der grundlegende Aspekt der Sicherheit. In der Zweigstelle benötigen Sie eine einfache Stateful-Firewall und eine richtlinienbasierte Segmentierung. Wir integrieren beide Funktionen in unser Zweigstellengerät, den ANAP (Aryaka Network Access Point). Wir nennen diese Funktion Aryaka Zones und bieten sie in unserem ANAP als kostenlose Basisfunktion an. Zones bietet eine Stateful-Firewall für grundlegende Zugriffssicherheit, die die Zweigstelle von der Außenwelt abschirmt. Darüber hinaus erstellen wir in Zonen eine strikte interne Segmentierung des Datenverkehrs auf der Grundlage von Richtlinien, was in der Regel eine strikte Trennung von öffentlichem Internet (Gast-WiFi, Verbraucheranwendungen usw.), Cloud-Sicherheit, DMZ und Unternehmensdatenverkehr bedeutet. Unsere Richtlinien sind so flexibel, dass sie bis zu 32 Zonen in einer Filiale zulassen. Sie können Aryaka Zones nicht nur für die Ost-West-Segmentierung nutzen, sondern auch für die Durchsetzung einer eingeschränkten und sicheren Kommunikation zwischen den Segmenten – innerhalb der Filiale oder zwischen den Filialen.

Zweitens arbeitet Aryaka mit führenden Cloud-Sicherheitsanbietern wie Zscaler, Palo Alto Networks, Symantec und anderen zusammen, um eine große Auswahl und eine einfache Integration zu ermöglichen.

Aber zurück zur architektonischen Befähigung: Die VLAN-basierte Segmentierung ist großartig, aber es gibt viele Anwendungsfälle, die eine Segmentierung auf Layer 3 erfordern, was als VRF (Virtual Routing and Forwarding) bezeichnet wird. Ein klassischer Anwendungsfall für die Layer-3-Segmentierung mit VRF ist die Mehrmandantenfähigkeit. Es wird Sie nicht überraschen, wenn ich Ihnen sage, dass wir auch diese Funktion anbieten: Sie ist ebenfalls in unserem ANAP enthalten.

Wenn Sie eine mehrschichtige Segmentierung implementieren und einen übergreifenden Richtlinienrahmen unterstützen, unterstützen Sie eine Architektur der Mikrosegmentierung. Aber hören Sie mir zu: Aryaka bietet nicht den gesamten Stack für eine Mikrosegmentierungslösung, die einen sogenannten Zero Trust-Ansatz für die Sicherheit unterstützt. Wir sorgen für die architektonische Befähigung auf L2 und L3. Es gibt übergeordnete, branchenübliche Identitäts- und Richtlinien-Frameworks, die die L2/3-Mikrosegmentierungsfunktion mit einem übergreifenden Framework verbinden, um eine so genannte Zero Trust-Position zu erreichen.

Mikrosegmentierung und Nullvertrauen sind untrennbar miteinander verbunden. Sobald Sie über das eine sprechen, werden Sie von Branchenkennern nach dem anderen gefragt. Was bedeutet also Null Vertrauen? Wie bei vielen Dingen heutzutage gibt es keinen Industriestandard, also werde ich es vereinfachen: Zero Trust Es handelt sich um eine Sicherheitshaltung, die nichts und niemanden in das Unternehmen einlässt, solange dessen Identität nicht bestätigt ist. Wenn der Zugang gewährt wird, wird er über eine Richtlinie auf einige wenige ausgewählte Mikrosegmente im Netzwerk abgebildet.

Man könnte sagen, dass Zero Trust die Gegenbewegung zur Prämisse der universellen Konnektivität ist, die IP-Netzwerke ermöglicht haben. Der universelle Konnektivitäts-Stack von IP ermöglichte eine industrielle Revolution, aber diese universelle Konnektivität wurde zu einer Belastung. Daher haben wir begonnen, die universelle Konnektivität zu besiegen. Firewalls kamen zuerst. Intrusion Detection gefolgt. Unified Threat Management war die nächste Station. Aber wenn Sie darüber nachdenken, sind das alles passive Verteidigungshaltungen. Zero Trust ist ein bahnbrechender, offensiver Schritt in der Sicherheitsarchitektur von Unternehmen.

Noch eine Sache zu einer Zero Trust-Architektur: Sie erfordert natürlich einen sehr offenen Ansatz von allen Technologieanbietern, die an dem Stack beteiligt sind. SD-WAN-Anbieter, die für eine einzige, interne Sicherheitslösung plädieren, haben eindeutig nicht verstanden, wohin die Reise bei der Unternehmenssicherheit geht.

Um es zusammenzufassen: Aryakas offener Ansatz für mehrschichtige Sicherheit bietet die Wahlmöglichkeiten, die Unternehmen bevorzugen und die aufkommende Zero-Trust-Sicherheitspositionen als Grundlage benötigen.