Ganzheitliche Sicherheitskonzept (SASE) realistisch und DSGVO-gerecht umsetzen
Hallo Zusammen,
auf meiner Reise zu einem sicheren und aus User-Sicht einfachen VPN-Lösung bin ich auf Anbieter gestoßen, die im Rahmer einen ganzheitlichen Sicherheitskonzept (SASE) viel mehr anbieten als ein Tunnel ins Firmennetz.
Geht es eurer Meinung nach lediglich um ein neues IT-"Buzzword" oder ist dies wirklich ein Paradigmenwechsel und eventuell "das nächste große Ding" in der Welt der Sicherheitskonzepten?
Da auch unser Betrieb mehr und mehr dezentral arbeitet und gleichzeitig mehr und mehr ins Cloud geht, würde ich hier eher was zeitgemäßes vorschlagen statt einfach nur eine neue VPN-Konzept für HomeOffice zu empfehlen.
Ich habe zwei Anbieter gefunden, wo die Produkte für uns OK wären.
https://www.perimeter81.com/vpn-alternative
https://www.netmotionsoftware.com/cloud
Offensichtlich bieten aber inzwischen sehr viele große Marktteilnehmer entsprechend Produkte an:
#1) Cato SASE (Recommended)
#2) Twingate
#3) Netskope
#4) Zscaler
#5) Barracuda Networks
#6) VMware
#7) Perimeter 81
#8) Fortinet
#9) PaloAlto Network
#10) Akamai Enterprise Application Access
#11) Cisco
Wie sieht es bei euch aus?: wäre bei Euch eine ganzheitliche SD-WAN, Cloud-based Security realistisch und DSGVO-gerecht umsetzbar.
(DSGVO ist ja deshalb wichtig, weil all diese Lösungen auf irgendwelche US-Cloud aufgebaut werden.)
Die Fragen sind also, ob
1. ihr ggfs. euer Sicherheitssystem ins Cloud bringen würdet
2. und falls ja welchen Anbieter würdet ihr als langfristiger Partner empfehlen?
Gr. I.
auf meiner Reise zu einem sicheren und aus User-Sicht einfachen VPN-Lösung bin ich auf Anbieter gestoßen, die im Rahmer einen ganzheitlichen Sicherheitskonzept (SASE) viel mehr anbieten als ein Tunnel ins Firmennetz.
Geht es eurer Meinung nach lediglich um ein neues IT-"Buzzword" oder ist dies wirklich ein Paradigmenwechsel und eventuell "das nächste große Ding" in der Welt der Sicherheitskonzepten?
Da auch unser Betrieb mehr und mehr dezentral arbeitet und gleichzeitig mehr und mehr ins Cloud geht, würde ich hier eher was zeitgemäßes vorschlagen statt einfach nur eine neue VPN-Konzept für HomeOffice zu empfehlen.
Ich habe zwei Anbieter gefunden, wo die Produkte für uns OK wären.
https://www.perimeter81.com/vpn-alternative
https://www.netmotionsoftware.com/cloud
Offensichtlich bieten aber inzwischen sehr viele große Marktteilnehmer entsprechend Produkte an:
#1) Cato SASE (Recommended)
#2) Twingate
#3) Netskope
#4) Zscaler
#5) Barracuda Networks
#6) VMware
#7) Perimeter 81
#8) Fortinet
#9) PaloAlto Network
#10) Akamai Enterprise Application Access
#11) Cisco
Wie sieht es bei euch aus?: wäre bei Euch eine ganzheitliche SD-WAN, Cloud-based Security realistisch und DSGVO-gerecht umsetzbar.
(DSGVO ist ja deshalb wichtig, weil all diese Lösungen auf irgendwelche US-Cloud aufgebaut werden.)
Die Fragen sind also, ob
1. ihr ggfs. euer Sicherheitssystem ins Cloud bringen würdet
2. und falls ja welchen Anbieter würdet ihr als langfristiger Partner empfehlen?
Gr. I.
Please also mark the comments that contributed to the solution of the article
Content-Key: 1698464699
Url: https://administrator.de/contentid/1698464699
Printed on: April 26, 2024 at 11:04 o'clock
11 Comments
Latest comment
"Ganzheitlich" ymmd!
Die Profis werden sich bestimmt noch melden. Aber sehe ich das richtig,
die machen die VPN (über Azure und andere Cloud-Anbieter),
haben die Schlüssel für die VPNs,
sitzen in den USA, Netmotion ist gleich so "modern" die nennen nicht mal Impressum oder Firmensitz
und Du überlegst, ob das hilfreich hinsichtlich der DSGVO sein könnte?!
Darauf nen Globuli! 😁
Die Profis werden sich bestimmt noch melden. Aber sehe ich das richtig,
die machen die VPN (über Azure und andere Cloud-Anbieter),
haben die Schlüssel für die VPNs,
sitzen in den USA, Netmotion ist gleich so "modern" die nennen nicht mal Impressum oder Firmensitz
und Du überlegst, ob das hilfreich hinsichtlich der DSGVO sein könnte?!
Darauf nen Globuli! 😁
Also ganzheitlich etc. ist immer toll, aber ich störe mich auch an der US-Komponente (interessiert hier aber auch keinen). Europäische (oder Deutsche) Anbieter wären daher schön.
Ein ähnliches Problem habe ich auch: Daten gehen in die Cloud und werden damit weltweit verfügbar. Jetzt bekomme ich immer mehr "Input" wie ich das alles wieder zu sichern habe damit nicht jeder von überall daran kommt. In dem Zusammenhang finde ich fehlt auf deiner Liste zumindest noch Microsoft, die machen ja mit Intune und Azure den "gleichen Ansatz". Mich würde vor allem interessieren welchen Mehrwert ein "Cloud Anbieter" liefert der das am Ende selbst über Azure laufen läßt. Kann man dann nicht gleich Azure nutzen?
Ein ähnliches Problem habe ich auch: Daten gehen in die Cloud und werden damit weltweit verfügbar. Jetzt bekomme ich immer mehr "Input" wie ich das alles wieder zu sichern habe damit nicht jeder von überall daran kommt. In dem Zusammenhang finde ich fehlt auf deiner Liste zumindest noch Microsoft, die machen ja mit Intune und Azure den "gleichen Ansatz". Mich würde vor allem interessieren welchen Mehrwert ein "Cloud Anbieter" liefert der das am Ende selbst über Azure laufen läßt. Kann man dann nicht gleich Azure nutzen?
Hallo,
Weder Buzzword noch Paradigmenwechsel, sondern eine spezifische Bündelung von Diensten in der MSP-Landschaft.
Meines nicht, aber aber ich kenne genug Umgebungen, wo das getan wird, wo es mir mit Blick auf Datenschutz und Sicherheit vertretbar erscheint. Beides hat in der Praxis nicht immer die höchste Priorität. Je nachdem, wie ein Unternehmen aufgestellt ist, kann es auch die beste Wahl sein.
Generell eignen sich solche Angebote nur für sehr überschaubare Umgebungen.
Das Problem ist andernfalls folgendes: Es gibt hier keine entscheident neue "Technologie". Dennoch wird in Projekten oft genug von Technologie gesprochen, von Paradigmenwechsel, von Ganzheitlichkeit.
Das sind Anzeichen, dass eine Kategorie von Produkten und Diensten primär technikferne Entscheidungsträger anspricht und auf dem Markt von Unternehmen absorbiert wird, die Kompetenzdefizite in der IT aufweisen. Das mag Zufall sein, vielleicht legen es Anbieter aber auch darauf an.
Ich bekomme dasselbe Marketing-Material und denke mir oft: Interessant, behalte ich mal als Option im Hinterkopf, obwohl es nichts wirklich Neues ist und auch offenkundige Nachteile hat. Für manche große Unternehmen kann ich dann schon im Kalender anstreichen, dass in sechs Monaten die Ankündigung herausgegeben wird, künftig diese tolle neue "Technologie" einzusetzen.
Das Ergebnis in den betroffenen Landschaften ist Toolitis, ein Wildwuchs aus Login-Optionen, Agents, getunnelten und nicht getunnelten Zugängen; alles ist irgendwie nötig, weil nichts nichts wirklich alle Bedürfnisse in diesen umfangreichen Landschaften abdeckt; aufgrund mangelnder Ressourcen ist nichts durchkonfiguriert, keine Investition in die Produkte ist ausgeschöpft, die Nutzer sind genervt und die Administratoren nachlässig.
Du kannst solche Angebote prinziell selbst nachbauen als virtualisierte Netzwerk-Security in der Cloud. Wo die Anbindung des Unternehmensstandorts mit Kapazität für Forced-Tunneling für x Clients nicht möglich ist, ist das eine attraktive Option.
Genauso natürlich managed Services, sofern man die weiteren Implikationen in Kauf nimmt und der Anbieter transparent agiert, sich festlegt auf einen Cloud-Hosting-Partner, einen Verarbeitungsort, Supportzugriffe etc. Das ist aus meiner Sicht der Knackpunkt, zumal ein Kunde mit der genannten überschaubaren Infrastruktur hier keinerlei Leverage hat.
Grüße
Richard
Zitat von @istike2:
Geht es eurer Meinung nach lediglich um ein neues IT-"Buzzword" oder ist dies wirklich ein Paradigmenwechsel und eventuell "das nächste große Ding" in der Welt der Sicherheitskonzepten?
Geht es eurer Meinung nach lediglich um ein neues IT-"Buzzword" oder ist dies wirklich ein Paradigmenwechsel und eventuell "das nächste große Ding" in der Welt der Sicherheitskonzepten?
Weder Buzzword noch Paradigmenwechsel, sondern eine spezifische Bündelung von Diensten in der MSP-Landschaft.
1. ihr ggfs. euer Sicherheitssystem ins Cloud bringen würdet
Meines nicht, aber aber ich kenne genug Umgebungen, wo das getan wird, wo es mir mit Blick auf Datenschutz und Sicherheit vertretbar erscheint. Beides hat in der Praxis nicht immer die höchste Priorität. Je nachdem, wie ein Unternehmen aufgestellt ist, kann es auch die beste Wahl sein.
Generell eignen sich solche Angebote nur für sehr überschaubare Umgebungen.
Das Problem ist andernfalls folgendes: Es gibt hier keine entscheident neue "Technologie". Dennoch wird in Projekten oft genug von Technologie gesprochen, von Paradigmenwechsel, von Ganzheitlichkeit.
Das sind Anzeichen, dass eine Kategorie von Produkten und Diensten primär technikferne Entscheidungsträger anspricht und auf dem Markt von Unternehmen absorbiert wird, die Kompetenzdefizite in der IT aufweisen. Das mag Zufall sein, vielleicht legen es Anbieter aber auch darauf an.
Ich bekomme dasselbe Marketing-Material und denke mir oft: Interessant, behalte ich mal als Option im Hinterkopf, obwohl es nichts wirklich Neues ist und auch offenkundige Nachteile hat. Für manche große Unternehmen kann ich dann schon im Kalender anstreichen, dass in sechs Monaten die Ankündigung herausgegeben wird, künftig diese tolle neue "Technologie" einzusetzen.
Das Ergebnis in den betroffenen Landschaften ist Toolitis, ein Wildwuchs aus Login-Optionen, Agents, getunnelten und nicht getunnelten Zugängen; alles ist irgendwie nötig, weil nichts nichts wirklich alle Bedürfnisse in diesen umfangreichen Landschaften abdeckt; aufgrund mangelnder Ressourcen ist nichts durchkonfiguriert, keine Investition in die Produkte ist ausgeschöpft, die Nutzer sind genervt und die Administratoren nachlässig.
Du kannst solche Angebote prinziell selbst nachbauen als virtualisierte Netzwerk-Security in der Cloud. Wo die Anbindung des Unternehmensstandorts mit Kapazität für Forced-Tunneling für x Clients nicht möglich ist, ist das eine attraktive Option.
Genauso natürlich managed Services, sofern man die weiteren Implikationen in Kauf nimmt und der Anbieter transparent agiert, sich festlegt auf einen Cloud-Hosting-Partner, einen Verarbeitungsort, Supportzugriffe etc. Das ist aus meiner Sicht der Knackpunkt, zumal ein Kunde mit der genannten überschaubaren Infrastruktur hier keinerlei Leverage hat.
Grüße
Richard
Zitat von @istike2:
dieses Bedenken habe ich auch, vor Allem weil wir auch Behörden als Kunden haben.
Die Frage ist also ob dieses ganzheitliche "SASE" Ansatz auch ohne Cloud als "on-premise" Infrastruktur umgesetzt werden kann.
dieses Bedenken habe ich auch, vor Allem weil wir auch Behörden als Kunden haben.
Die Frage ist also ob dieses ganzheitliche "SASE" Ansatz auch ohne Cloud als "on-premise" Infrastruktur umgesetzt werden kann.
"SASE" beschreibt hier doch nichts Neues, oder bin ich nicht auf dem Laufenden?
Aus allgemeinen Best-Practices ist bereits abzuleiten, dass:
- Entfernte Clients per VPN ins Unternehmensnetz integriert werden
- Möglichst die permanente VPN-Nutzung erzwungen wird
- Möglichst der gesamte Client-Traffic getunnelt wird
- Der Client damit im Anwendungsbereich aller im Unternehmensnetz erforderlichen Netzwerk-Sicherheitsmaßnahmen ist
- Diese Maßnahmen für Geräte/Nutzer/Gruppen ausdifferenziert und Zugriffe auf das erforderliche Minimum begrenzt werden
Zitat von @istike2:
Aus meiner Sicht gehört noch SD WAN und die Integration der Cloud Services noch dazu.
Wenn also ganz klassisch - wie bei uns - die Standorte jeweils an einem zentralen RZ angeschloßen sind enspricht es nicht so richtig den neuesten Trends, wobei es zuverlässig funktioniert. Man braucht "die neuesten Trends" vielleicht nicht um jeden Preis.
Aus meiner Sicht gehört noch SD WAN und die Integration der Cloud Services noch dazu.
Wenn also ganz klassisch - wie bei uns - die Standorte jeweils an einem zentralen RZ angeschloßen sind enspricht es nicht so richtig den neuesten Trends, wobei es zuverlässig funktioniert. Man braucht "die neuesten Trends" vielleicht nicht um jeden Preis.
Ok, ich habe aus den Fragen bislang nur Client-VPN mitgenommen.
Ob und wie Du in die Cloud gehst, steht eher am Ende des Prozesses. Beispiel: Wenn Du AOVPN in Betracht ziehst, und das die bestehende Infrastruktur erheblich infrage stellt (reichen vorhandene Appliances, will man für Device Tunnel RAS-Server integrieren etc.), dann würde ich zumindest darüber nachdenken, ob man das nicht z.B. mit Azure terminiert, dort die Security-Appliance für den Traffic der Clients bereitstellt, und selektiv ins RZ/die Standorte routet.
SD-WAN übersetze ich mal mit anwendungsspezifischem Routing und einer Plattform, welche die resultierende Komplexität in den Griff bekommt. Wenn kein klarer Bedarf dafür besteht, würde ich es nicht anfassen.
Wenn ihr bislang auf reine Gateways gesetzt habt, dann erfordert ja Application-Awareness an den Standorten - ob nun unter der Flagge "SD-WAN" oder nicht - einen ganz erheblichen Aufwand, der durch z.B. mangelnde Performance externer Anwendungen (die nicht ganz zur Cloud-Skepsis passen) und Traffic-Kosten gerechtfertigt werden muss.
Zitat von @istike2:
Mit Azure-Terminierung meinst du, dass Azure in unserem Fall das VPN-Gateway wäre, der Traffic (der Mitarbeiter) wäre also zuerst durch den MS Cloud geroutet, durch "die Security-Appliance" (SD Firewall?) gejagt und erst dann zu den einzelnen Standorten geroutet? Verstehe ich richtig?
Mit Azure-Terminierung meinst du, dass Azure in unserem Fall das VPN-Gateway wäre, der Traffic (der Mitarbeiter) wäre also zuerst durch den MS Cloud geroutet, durch "die Security-Appliance" (SD Firewall?) gejagt und erst dann zu den einzelnen Standorten geroutet? Verstehe ich richtig?
Genau. Bei euch wird dann wahrscheinlich das vorhandene RZ näher liegen. Wenn die IT hingegen lokal sehr verschlankt ist, ggf. schon Cloud genutzt wird, wechselnde RZ oder andere Cloud-Sites angebunden werden müssen, fand ich so einen Cloud-Hub in der Vergangenheit ganz nett. Da die "Azure-Firewall" nur rudiementär ist, würde man sich eine Firewall-Appliance aussuchen, die dort virtualisieren (Azure "NVA" - Network Virtual Appliance) und clustern. Sowohl Client- als auch S2S-VPN kann (und sollte man m.E.) dann auch auf der Appliance abhandeln. Nur hinsichtlich AOVPN-Device und SSTP-User-Tunnel bietet sich der Azure-Gateway an - was ja kein Hindernis ist, das unmittelbar durch die NVA zu routen.
Zitat von @istike2:
Falls ja, hätten wir ein Problem mit einigen wichtigen (staatlichen) Kunden, die nie zulassen würden ihre Projektinfos durch Public-Cloud zu routen ... Seit der Aufhebung des "Privacy Shields" ist es ein absolutes NoGo.
Grundsätzlich habe ich dafür Verständnis, aus eigenen Überzeugungen.Falls ja, hätten wir ein Problem mit einigen wichtigen (staatlichen) Kunden, die nie zulassen würden ihre Projektinfos durch Public-Cloud zu routen ... Seit der Aufhebung des "Privacy Shields" ist es ein absolutes NoGo.
Aber das heißt dann doch auch: Kein Mitarbeiter darf Daten, die diese Kunden betreffen, in der Public Cloud ablegen oder verarbeiten. Das muss ja dann sowieso irgendwie reglementiert werden, da wäre es deutlich logischer du würdest den Remote Client erst zu dir in die Firma holen (so wie jetzt mit VPN) und der User dürfte dann mit der Public Cloud interagieren oder eben auch nicht.
Ganz streng ausgelegt muss man sich sogar bei einem hybriden Modell die Frage stellen, ob ein Benutzer sich überhaupt über die Public AD gegen die lokale Umgebung anmelden darf um damit Zugriff auf diese Daten zu erlangen. Unterstellst du dem Betreiber der Public AD böse Absichten, musst du annehmen das er in der Lage ist, sich als dieser User gegen deine Infrastruktur zu authentifizieren.