IT-Infrastrukturen befinden sich seit einigen Jahren in einer Phase der Transformation. Das Aufkommen von Cloud Computing und der pandemiebedingte Wandel der Arbeitswelt haben dezentrale IT-Architekturen zum neuen Trend gemacht. Der Standort von Computing-Ressourcen kann heute flexibel zwischen dem eigenen Rechenzentrum und einer Cloud-Instanz gewählt werden. Anwendungen lassen sich on-premises, in der Cloud oder im SaaS-Modus (Software-as-a-Service) betreiben und mobile Arbeit ist eine Selbstverständlichkeit. Zugleich entwickeln sich IT-Technologien und technische Standards in einem Tempo, das eine langfristige Detailplanung der IT-Infrastruktur kaum möglich macht.

Diese dynamische Entwicklung stellt IT-Verantwortliche vor einige Herausforderungen, besonders im Bereich der Sicherheit. Jede Veränderung der Infrastruktur bringt neue potenzielle Einfallstore mit sich. Gefragt sind deshalb IT-Sicherheitsarchitekturen und Security-Tools, die dem permanenten Wandel standhalten können und bei Veränderungen der IT-Infrastrukturkomponenten keine neuen Schwachstellen offenbaren.

Es gibt inzwischen zahlreiche Security-Konzepte und -Verfahren, die auf dezentrale, cloudbasierte IT-Architekturen zugeschnitten sind, auf welche die Unternehmen berechtigterweise langfristig setzen. Dazu gehören insbesondere Zero Trust, SASE (Secure Access Service Edge), SSE (Security Service Edge) und SD-WAN (Software-Defined Wide Area Network). Ein vollständiger Umstieg von selbstbetriebenen Serverstrukturen auf cloudbasierte Security-Architekturen ist für die meisten Unternehmen jedoch nicht von heute auf morgen möglich. Häufig laufen Elemente wie eine IP-basierte Telefonanlage über das Firmennetz und müssen neben Cloud-Anwendungen parallel betrieben werden. Gefragt sind deshalb Sicherheitslösungen, die einerseits die Anforderungen der traditionellen IT abdecken, andererseits mit den neuen, cloudbasierten Security-Verfahren harmonieren.

Problemloser Weiterbetrieb existierender Komponenten

Ein Beispiel für ein modernes Security-Tool, das als Brücke zwischen diesen beiden Welten eingesetzt werden kann, sind die Secure-Enterprise-VPN-Produkte von NCP. Diese High-Flexibility-Software-VPN-Lösungen sind sowohl kompatibel mit neuen Cloud-Security-Konzepten als auch mit bestehenden netzwerkbasierten Geräten und Anwendungen. Zugleich profitieren Unternehmen von der umfassenden Hardware-Kompatibilität zur vorhandenen Hardware (z.B. Laptops oder Server) und der problemlosen Adaption cloudorientierter Standards wie SASE oder SD-WAN.

Dabei folgt die VPN-Lösung von NCP seit jeher dem Security-Ansatz, nach dem auch das Zero-Trust-Prinzip funktioniert. Zero Trust ist ein allgemeiner IT-Sicherheitsansatz, der nach dem "Least privilege"-Gedanken konzipiert wurde: Statt einem Nutzer nach erfolgreicher Authentifizierung pauschalen Zugriff auf alle Netzwerkressourcen zu gewähren, wie dies bei traditionellen Sicherheitsverfahren der Fall ist, bekommt er nur Zugriff auf die Daten und Anwendungen, die er für seine aktuelle Arbeit benötigt. Das hat den Vorteil, dass im Falle eines Angriffs die betroffene Netzwerkressource vom Admin gezielt abgekapselt und der Schaden begrenzt werden kann. Außerdem prüft das System während der Authentifizierung nicht nur die Zugangsdaten, sondern auch weitere Parameter wie Geräte-ID oder Zertifikate. Diese Prüfung wiederholt sich im Hintergrund bei jedem erneuten Datenzugriff.

Sichere und komfortable Authentifizierung

Zero-Trust-Verfahren gehen in modernen Sicherheitsarchitekturen mit einer besseren und komfortableren Benutzerauthentifizierung einher. So sorgt einerseits die Multi-Faktor-Authentifizierung (MFA) für eine zuverlässigere Identitätsprüfung des Nutzers, andererseits ermöglicht das Single-Sign-On-Verfahren (SSO) das Einwählen in mehrere Anwendungen mit denselben Zugangsdaten. Die Security Assertion Markup Language (SAML), ein offener Standard zur Verifizierung von Zugangsdaten, liefert hierfür die technische Basis.

Beim SSO-Verfahren der Remote-Access-VPN-Lösung von NCP übernimmt das NCP-Gateway die Rolle eines Authentication Providers. Nach einer erfolgreichen Prüfung der Zugangsdaten am SSO-Portal des NCP-Gateways baut der NCP-Client auf dem Endgerät des Nutzers einen VPN-Tunnel auf, der mittels IPsec-Verschlüsselung abgesichert ist und Zutritt zu allen internen Diensten gewährt, auf die Nutzer zugreifen darf. Externe Cloud-Anwendungen werden unterdessen dynamisch über Funktionen wie den NCP VPN-Bypass oder Application Based Tunneling am Tunnel vorbeigeleitet.

Den Möglichkeiten von SASE gewachsen

Zero Trust und SSO-Funktionalität sind wichtige Voraussetzungen für die Integration von Tools wie Remote-Access-VPN in cloudorientierte Security-Architekturen wie SASE. Letztere ist zwar explizit so ausgelegt, dass bestehende IT-Komponenten und Security-Tools miteinbezogen werden können; nur ist es eben sinnvoll, dass diese Tools mit den neueren Security-Verfahren mithalten können, um ein ganzheitliches Security-Konzept zu realisieren und das Potenzial der neuen Architektur nicht zu schmälern.

Außerdem lässt sich die NCP-Lösung als hundertprozentig softwarebasiertes VPN-Produkt flexibel in der Cloud betreiben und übernimmt auch von dort aus die verschlüsselte Datenübertragung zur Firmenzentrale. Jeglicher Datenverkehr wird über einen IPsec-basierten Tunnel übertragen, wodurch neben umfassender Sicherheit auch die maximale Geschwindigkeit für den Transfer sichergestellt wird.

Integration im SD-WAN

Auch eine Integration der VPN-Lösung in einen Software-definierten Netzwerkverbund, wie er über ein SD-WAN bereitgestellt wird, stellt kein Problem dar. Die erhöhten Sicherheitsanforderungen werden in diesem Fall durch die Kombination eines NCP Virtual Secure Enterprise VPN Servers (vSES) als Gateway und eines NCP Secure Enterprise Managements (SEM) als Management-System erfüllt.

Das Gateway wird dabei nicht in der Cloud betrieben, sondern in einer abgesicherten Umgebung im eigenen Rechenzentrum hinter der Firewall. Das Management-System übernimmt die Verwaltung der gesamten Security-Funktionalität des SD-WANs. Letztere umfasst die gesamte User- und Geräte-Authentisierung über die Firewall-Konfiguration und das zentrale Update-Management bis hin zur Multifaktor-Authentifizierung und den Endpoint Policy Checks.

Fazit

Cloud-Technologien haben eine Modernisierung der IT-Sicherheitsarchitekturen notwendig gemacht. Während Unternehmen schrittweise modernere Security-Konzepte wie Zero Trust oder SASE adaptieren, müssen sie nach wie vor auch den Schutz der bestehenden Infrastruktur gewährleisten. Angesichts immer neuer Angriffsvektoren und einer weiterhin besorgniserregenden Bedrohungslage, gibt es hierfür noch Optimierungspotenzial. Dieses liefern moderne VPN-Tools wie das von NCP, indem sie sich nahtlos in cloudbasierte Sicherheitsarchitekturen einfügen und dezentrale IT-Landschaften nach zeitgemäßen Standards schützen.

Mehr über Remote-Access-VPN von NCP erfahren Sie hier.