Sicherung der Daten – SASE, CNAPP- und CSMA-Rollen

Daten sind zur wertvollsten Ressource für Ent gewordenerperhebt sich. Kein Wunder, es gibt viele schlechte Akteure, die versuchen, die Ent zu störenerpverhindern, dass Unternehmen Daten stehlen und beschädigen.

Bei der Datensicherheit geht es vor allem um den Schutz der Daten vor unbefugten Benutzern und der Beschädigung von Daten durch Maliciouns Vorsatz und Datendiebstahl. Sie fragen sich vielleicht, warum viele Sicherheitsunternehmen über den Schutz von Anwendungen, Netzwerken und Endpunkten sprechen, aber weniger über Daten. Der Grund dafür ist, dass eine enge Verbindung zwischen Daten und Anwendungen und Systemen besteht. Solange Anwendungen und Systeme nicht vor böswilligen Akteuren geschützt sind, ist Datensicherheit nicht möglich.

Der Satz „Daten sind das neue Öl“ erklärt die Beziehung zwischen Anwendungen und Daten. Daten sind ebenso wie Öl in seiner Rohform nicht nützlich, es sei denn, es wird für den Verzehr raffiniert. Anwendungen verarbeiten Daten und präsentieren sie den Benutzern auf benutzerfreundliche Weise.

SASE Rolle in der Datensicherheit

Bitte lesen Sie SASE entschlüsseln Blog für einen Überblick über SASE.

SASE spielt eine wichtige Rolle beim Schutz der Anwendungen in dieser Welt verteilter Arbeitskräfte und verteilter Bereitstellungen im gesamten On-Prem-Bereich Cloud, öffentliche cloud, und öffentliche Kanten. In den folgenden Abschnitten werden einige der wichtigsten Sicherheitsbedenken und deren Vorgehensweise erläutert SASE geht auf sie ein.

EnterpRises entwickeln oder implementieren viele Anwendungen für verschiedene Geschäftszwecke. Möglicherweise ist nicht für alle Anwendungen der Zugriff auf alle Ent erforderlicherpAnstiegsdaten. Und nicht alle Benutzer der Anwendungen benötigen Zugriff auf alle Anwendungsdaten. Aus diesem Grund sind „Least Privilege Access“ und „Identity Based Access Controls“ der Schlüssel zur Datensicherheit.

Bewerbungen sind nicht mehr einfach. Entwickler verwenden viele Softwarekomponenten – selbst erstellte, gekaufte und Open Source –, was die Software komplexer und anfälliger macht. Angreifer nutzen in der Regel die Wissensdatenbank zu Bedrohungen und versuchen, die Schwachstellen auszunutzen, um Zugriff auf die Anwendungen und dann auf die Daten zu erhalten. Daher ist der Schutz vor Bedrohungen vor Exploits wichtig für die Datensicherheit.

Die Anwendungs- und Systemverwaltung ist am kritischsten, da die Anwendungsadministratoren tendenziell über höhere Berechtigungen verfügen. Jeder Diebstahl von Zugangsdaten von Administratorkonten kann für Ent verheerende Folgen habenerperhebt sich. Für zusätzlichen Datenschutz sind nur wenige Sicherheitstechniken wie die Einführung einer zweiten MFA-Ebene, die Beschränkung des Benutzerzugriffs von unsicheren/unbekannten Standorten und die Beschränkung von Benutzern, die ungewöhnliche Verhaltensmuster zeigen, erforderlich.

EnterpRises stellt Anwendungen an vielen Standorten bereit, um der verteilten Belegschaft ein Benutzererlebnis mit geringer Latenz zu bieten und sicherzustellen, dass Anwendungen erhöhter oder ungewöhnlicher Belastung standhalten können. Bei verteilten Anwendungen werden auch Daten verteilt. Aus diesem Grund wird erwartet, dass die Sicherheit auch verteilt wird, um der steigenden Nachfrage und DDoS-Angriffen auf Anwendungen entgegenzuwirken.

ZTNA-Plattform (Zero Trust Network Access) und NGFW (Next Generation Firewall) von SASE befasst sich mit den oben genannten Sicherheitsbedenken. Deswegen, SASE wird zu einem der Schlüsselelemente der Cybersicherheit, wenn es um die Datensicherheit geht, indem es Anwendungen schützt und identitätsbasierte Zugriffs- und Autorisierungskontrollen ermöglicht.

Man könnte fragen: „Sind ZTNA & NGFW „gut genug“ für die Sicherung der Anwendungen und damit der Daten. Mit Cloud Transformation der Hebelwirkung der Öffentlichkeit clouds, öffentliche Kanten für EnterpSteigende Anwendungen, es gibt mehr Angriffsflächen. Datensicherheit erfordert die Beseitigung dieser Angriffsflächen. Hier kommt CNAPP ins Spiel.

Erhöhte Angriffsfläche mit Cloud Transformation

Cloud Die Transformation einfacherer Anwendungen reduziert die EnterpDie Reaktionen steigen, da für die Sicherheit der gemeinsamen Infrastruktursoftware gesorgt wird cloud Anbieter. Aus dieser Sicht konzentrieren sich Anwendungsentwickler zunehmend auf die Geschäftslogik und überlassen die Verantwortung den alltäglichen Softwarekomponenten cloud Anbieter.

Zwar müssen sich Entwickler nur auf die Anwendungslogik konzentrieren und die Wartung und Sicherheitspatches von Betriebssystemen, Frameworks, allgemeinen Diensten wie Datenbanken, Dateispeicherung, Schlüsselverwaltung, Authentifizierung, Autorisierungssystemen und Observability-Systemen überlassen cloud Dadurch wird die auf die Anwendungen beschränkte Sicherheitsverantwortung reduziert

Allerdings erschweren verteilte Arbeitskräfte und neue Arten von Anwendungen, die eine Erfahrung mit geringer Latenz erfordern, die Anwendungsbereitstellung und bieten dadurch mehr Angriffsflächen.

Anwendungen müssen zunehmend an mehreren Standorten und nicht nur in verschiedenen Regionen eines Landes bereitgestellt werden cloud anbieterübergreifend, aber auch über mehrere hinweg cloud Anbieter und Edge-Anbieter, um die beste Benutzererfahrung zu bieten. Darüber hinaus werden Anwendungen zunehmend bedarfsorientiert in Edges bereitgestellt. Das heißt, Anwendungen werden nur dann bereitgestellt, wenn sich Clients in der Nähe befinden, die Anwendungsdienste benötigen. Die Bereitstellung der gesamten komplexen Anwendung auf allen Edges ist aus Kostengründen nicht gerechtfertigt. Willkommen bei der Microservice-Architektur. Anwendungsentwickler übernehmen die Microservice-Architektur nicht nur für eine höhere Produktivität, sondern auch, um eine teilweise Anwendungsbereitstellung in Edges zu ermöglichen und den Rest im zu behalten clouds.

Das folgende Bild (der Kürze halber vereinfacht) zeigt die auf Microservices basierende Anwendungsbereitstellung. In diesem beliebigen Anwendungsbeispiel werden Microservice 1 und 2 der Anwendung in den Edges bereitgestellt, um ein Erlebnis mit geringer Latenz zu bieten, und Microservice 3 und 4 werden in den Edges bereitgestellt clouds für andere Vorgänge der Anwendung. Im Bild sind 5 Angriffsflächenpunkte zu sehen.

1. Kommunikation zwischen Endkunden und Frontend-Microservice 1 sowie Inter-Microservice-Kommunikation über Edges & Cloud
2. Kommunikation zwischen Microservices innerhalb von Edge-Standorten oder cloud Standorte.
3. Kommunikation zwischen Anwendungs-Microservices und cloud/edge-Anbieterdienste
4. Kommunikation mit Anbieterdiensten von außen, zu Anbieterdiensten.
5. Interne Softwarekomponenten von Microservices

Von einer umfassenden Sicherheit wird erwartet, dass sie alle Angriffsflächen abdeckt.

Angriffsflächen (1) können dadurch angesprochen werden SASE ZTNA & NGFW. Alle anderen Angriffsflächen kamen aufgrund der verteilten Datenverarbeitung, der Microservice-Architektur und der Verwendung von Anwendungen zum Vorschein cloud Anbieterdienstleistungen. Da dies hauptsächlich darauf zurückzuführen ist cloud/Edge-Transformation hat Gartner eine neue Kategorie namens CNAPP-Modell definiert, um diese Sicherheitsherausforderungen zu bewältigen.

CNAPP (Cloud Native Application Protection Platform), um einer größeren Angriffsfläche entgegenzuwirken

CNAPP ist ein cloud natives Sicherheitsmodell/Technologie, das kombiniert Cloud Sicherheitslagemanagement (CSPM), Cloud Service Network Security (CSNS) und Cloud Workload Protection Platform (CWPP) in einer einzigen Plattform. Durch die Kombination mehrerer cloud Durch die Zusammenführung von Sicherheitstools auf einer Plattform bietet CNAPP Vorteile wie umfassende Transparenz über den gesamten Anwendungslebenszyklus – Erstellung, Bereitstellung bis zur Laufzeitphase und umfassende Kontrollen über mehrere Technologien hinweg. Wie andere von Gartner geprägte Begriffe soll auch der CNAPP-Begriff ein gemeinsames Verständnis von Sicherheitsfunktionen/Plattformfähigkeiten zwischen Anbietern und Verbrauchern vermitteln. Lassen Sie uns prüfen, was CNAPP darstellt, und dann die Angriffsflächenpunkte diesen Bestandteilen zuordnen.

Cloud Sicherheitslagemanagement (CSPM): CSPM-Fähigkeit gibt Enterperhöht die Sichtbarkeit aller cloud Ressourcen/Dienstleistungen EnterpSteigern Sie die Nutzung mehrerer Anwendungen cloud Anbieter. CSPM bildet auch die ab cloud Dienste und Anwendungen, die sie nutzen.

Der größte Vorteil von CSPMs ist das Scannen der Konfiguration, um etwaige Fehlkonfigurationen zu erkennen. Seit cloud Die Dienste des Anbieters sind sehr allgemein gehalten, ihre Sicherheit ist ebenso gut wie ihre Konfiguration. Es ist wichtig zu verstehen, dass die cloud Anbieterdienste sind mandantenfähig und ihr Zugriff kann nicht von Ent kontrolliert werdenerperhebt sich. Wenn sie falsch konfiguriert sind, können Angreifer auf diese Dienste zugreifen und die Daten stehlen und beschädigen. Wenn beispielsweise ein Datenbankdienst so konfiguriert ist, dass er unbeabsichtigt den Zugriff durch jedermann ermöglicht, kann er den Ent preisgebenerpAnstiegsdaten, die von Anwendungen im Datenbankdienst gespeichert werden.

CSPMs führen auch Compliance-Prüfungen für die Daten durch cloud Dienstleistungen und sorgen für Sichtbarkeit von Compliance-Verstößen für Enterperhebt sich.

CSPMs adressieren die im Bild oben aufgeführte Angriffsfläche (4)..

Cloud Dienstnetzwerksicherheit (CSNS):  CSNS bietet Sicherheit auf Netzwerkebene zwischen den Mikrodiensten der Anwendungen sowie die Netzwerksicherheit zwischen Mikrodiensten und cloud Dienstleistungen. Seine Funktionalität ist wie SASE/ZTNA. Seine Funktionalität umfasst NGFW, WAF, identitätsbasierte Zugriffskontrolle, WAF, API-Schutz, DoS/DDoS-Prävention. CSNS unterscheidet sich in seiner Dynamik von herkömmlicher Netzwerksicherheit. Aufgrund dynamischer Arbeitslasten muss der CSNS-Sicherheitslebenszyklus mit dem Lebenszyklus von Anwendungen übereinstimmen.

CSNS befasst sich mit den Angriffsflächen (2) und (3) im obigen Bild. Im Wesentlichen bietet CSNS Netzwerksicherheit für den EW-Verkehr.

Cloud Workload Protection Platform (CWPP): Die CWPP-Funktion prüft hauptsächlich nach

• Schwachstellen in den Workload-Images (VM, Container, Serverlos) durch Analyse der Images, Erfassung des Softwareinventars, Inventarversionen und Überprüfung mit Threat-Intelligence-Datenbanken, um alle bekannten Schwachstellen im Softwareinventar zu verstehen.
• Malware-Erkennung und unwanDurch die Softwareerkennung in den Bildern konnte sichergestellt werden, dass keine Malware in die Lieferkette gelangte.
• Exploits zur Laufzeit über die Host Intrusion Prevention-Technologie.
• Laufzeitspeicherschutz durch sichere Guard-Technologien wie Intel SGx.
• Laufzeit-Workload-Schutz über RASP (Runtime Application Self Protection)

CWPP adressiert die im Bild oben aufgeführte Angriffsfläche (5)..

Mit der Beliebtheit von Kubernetes für Anwendungen werden die oben genannten Technologien für die Arbeit auf Kubernetes bereitgestellt. KSPM (Kubernetes Security Posture Management) ähnelt CSPM, ist jedoch auf Kubernetes abgestimmt. Es kann ein sein mattMit der Zeit tauchten Begriffe wie KWPP (Kubernetes Workload Protection Platform) und KSNS (Kubernetes Network Security Service) auf.

CSNS und SASE

Die CSNS-Funktionalität ähnelt stark der von ZTNA & NGFW. Das liegt daran, dass es sich bei beiden um Netzwerksicherheitstechnologien handelt. EnterpAufsteiger wünschen sich eine einheitliche Technologie sowohl für den NS- (Nord-Süd-) als auch den EW- (Ost-West-)Verkehr. Daher wird davon ausgegangen, dass CSNS-Funktionen von bereitgestellt werden SASE Anbieter. Universal SASE Es wird erwartet, dass es alle netzwerkbezogenen Angriffsflächen anspricht, unabhängig davon, ob sie vorhanden sind WAN, Kubernetes-Netzwerke, Kubernetes-Netzwerke mit Service Mesh, VPC-Netzwerke, Edge-Netzwerke usw. Dies scheint der Trend zu sein und wird akzeptiert, da viele CNAPP-Anbieter nicht mehr viel über CSNS sprechen.

Cyber ​​Security Mesh Architecture (CSMA)

Eine der größten Herausforderungen für EnterpEs stellt sich heraus, dass es sich um Sicherheitssilos handelt. EnterpAnstiege werden verwendet, um mehrere Sicherheitsfunktionen verschiedener Anbieter bereitzustellen, um die Sicherheit vor Ort, Endpunktsicherheit, Netzwerksicherheit usw. zu gewährleisten. Cloud Sicherheitsanforderungen. Jede Sicherheitsfunktion verfügt über eine eigene Richtlinienverwaltung, Beobachtbarkeit und Datenebene. Infolgedessen werden Verwaltung und Transparenz komplex, was zu Fehlern bei der Sicherheitskonfiguration und damit zu verpassten oder verzögerten Erkennungen und Reaktionen auf Sicherheitsvorfälle führt. Gartner hat den CSMA-Begriff als Teil seiner Vordenkerrolle im Bereich Sicherheit geschaffen. Gartner erkannte, dass EnterpBei einem Anstieg müssten mehrere Sicherheitsfunktionen von verschiedenen Sicherheitsanbietern in Anspruch genommen werden. Das CSMA-Konzept versucht, auf die Bedürfnisse von Ent einzugehenerpAnstiege, die eine einheitliche Verwaltung und Beobachtbarkeit der Richtlinien erfordern.

Gartner hat einige Grundsätze definiert, die von Sicherheitsanbietern befolgt werden müssen, um die Zusammensetzung mehrerer Sicherheitsfunktionen zu ermöglichen. Das vorherrschende Prinzip ist die API-Offenlegung durch Sicherheitsanbieter über CLI- und Portalschnittstellen hinaus. Der API-First-Ansatz ermöglicht EnterpSteigt oder verwaltete Sicherheitsanbieter, um ein einziges konsolidiertes Dashboard für Richtlinienverwaltung und Sicherheitsanalysen zu realisieren.

Gartner weist auch auf die Notwendigkeit einer „Identitätsstruktur“ mit dezentraler Identität der Benutzer hin. Heute, EnterpRises pflegen die Anmeldeinformationsdatenbank mithilfe von Technologien wie AD, LDAP, SAML-IdPs und OIDC-IdPs usw. Auch wenn es in Ordnung ist, eine Datenbank mit den Identitäten von Mitarbeitern zu haben, ist die Pflege einer ID-Datenbank für öffentliche Benutzer aus Datenschutz- und Sicherheitsaspekten eine Herausforderung. Die Auslagerung von Identitätsdatenbanken und Identitätsprüfungen an verteilte Identitätsanbieter ist eine Win-Win-Situation für beide Enterpsteigt und Endbenutzer.  ADI-Vereinigung und W3C arbeiten an einem gemeinsamen Rahmen und Spezifikationen, um eine dezentrale Identitätsstruktur zu realisieren.

Obwohl sich CSMA nicht direkt mit der tatsächlichen Sicherheit befasst, minimiert diese Architektur/dieses Konzept die Sicherheitskonfigurationsfehler und bietet E2E-Transparenz für eine schnellere Erkennung und Reaktion von Vorfällen.

SASE und CNAPP sind auf dem richtigen Weg zur Verwirklichung von CSMA.  SASE Konsolidiert alle Netzwerksicherheitsfunktionen und Netzwerkfunktionen durch die Bereitstellung einer zentralen Oberfläche für die Verwaltung und Beobachtbarkeit von Netzwerksicherheitsrichtlinien. CNAPP konsolidiert alles cloud Sicherheitsfunktionen unter einem Dach. CSMA ist eine eine Ebene höhere Konsolidierung umfassend SASE, CNAPP, Endpunktsicherheit, Identität und andere Cybersicherheitstechnologien.

Zusammenfassung

Datensicherheit erfordert viele Technologien wie Datenverschlüsselung, Datenverwaltung, Datenmaskierung und Cybersicherheit.  SASE ist ein integraler Bestandteil der Cybersicherheit. Cloud und die Edge-Transformation in Verbindung mit neueren Anwendungsarchitekturen wie der Microservice-Architektur legt zusätzliche Angriffsflächen offen. CNAPP, gekoppelt mit Universal SASE befasst sich mit den Sicherheitsherausforderungen, die mit neuen Angriffsflächen verbunden sind.

• CTO Insights-Blog

  Die Aryaka-CTO-Insights-Blogserie bietet Vordenker für Netzwerk, Sicherheit und SASE-Themen. Aryaka Produktspezifikationen beziehen sich auf Aryaka Datenblätter.