Was ist ein softwaredefinierter Perimeter?

Softwaredefinierter Perimeter (SDP) ist eine Netzwerkinfrastruktur mit Remote-Funktionen zum Schutz von Cloud-basierten und lokalen Rechenzentren. Ziel eines SDP-Ansatzes ist es, Software und nicht Hardware als Basis für den Netzwerk-Perimeter zu verwenden. Die Cloud Security Alliance etablierte SDP im Jahr 2013 als Lösung für zuverlässige Netzwerke, um das Risiko von Datenschutzverletzungen einzudämmen.

SDPs zeigen ihre Wirkung in der modernen IT-Landschaft, in der Unternehmen ihre Datenverwaltung auf verschiedene Kanäle, darunter öffentliche und private Cloud-Systeme, verteilt haben. Die SDP-Infrastruktur bietet IT-Managern eine zentrale Sicherheitskontrolle sowohl für Remote- als auch lokale Netzwerke.

Die Infrastruktur von SDPs unterscheidet sich von perimeterbasierten Netzwerken durch die Einschränkung des breiten Netzwerkzugriffs. Stattdessen bietet SDP Benutzern einen streng geregelten Zugriff auf bestimmte Dienste und Hosts, der durch eine vorgegebene Richtlinie definiert wird. Dadurch verkleinern SDPs die Angriffsfläche des Netzwerks eines IT-Systems einer Organisation erheblich und verhindern bösartige Angriffe. Diese Infrastruktur trägt dazu bei, die Grundlage für einen Zero-Trust-Ansatz zu schaffen. Dabei handelt es sich um ein Sicherheitsparadigma, das eine strenge Identitätsüberprüfung und eine explizite Berechtigung für jede Person oder Entität kombiniert, die versucht, auf Netzwerkressourcen zuzugreifen oder diese zu nutzen. Dabei spielt es keine Rolle, ob sich die Person oder Entität „innerhalb“ der Netzwerkgrenzen eines Unternehmens befindet oder remote auf dieses Netzwerk zugreift. Indem Sie den Zugriff auf Ihre Daten so lange verwehren, bis das Netzwerk die Identität bestätigt, haben Sie mit einem Zero-Trust-Ansatz die Möglichkeit, den Zugriff und die Nutzung Ihrer Daten kontinuierlich zu überwachen.

SDPs sind sichere Alternativen zu herkömmlichen perimeterbasierten Netzwerken. Die Infrastruktur unterstützt ein Zero-Trust-Protokoll, bei dem jedem Benutzer standardmäßig der Zugriff verweigert wird und ein strenger Verifizierungsprozess erforderlich ist. SDP verifiziert den Zugriff über einen zweistufigen Ansatz, der Benutzeridentitäten und Geräte einschließt.

SDPs beschränken den Netzwerkzugriff von Benutzern gemäß dem Erforderlichkeitsprinzip und stellen private, dedizierte Verbindungen zwischen Benutzern und Servern her. Das Netzwerk ist standort- und infrastrukturunabhängig, sodass IT-Experten Gateways von überall aus bereitstellen können, um Benutzeraktivitäten remote zu überwachen. Die Flexibilität von SDP unterstützt die globale Implementierung und Anpassung automatisierter Zugriffsrichtlinien.

Ein SDP-Ansatz stellt sicher, dass alle Endpunkte, die versuchen, auf eine Ressource zuzugreifen, autorisiert und authentifiziert werden, bevor ihnen Zugriff auf Ressourcen im Netzwerk gewährt wird. Softwaredefinierte Perimeter authentifizieren Benutzeridentitäten für zusätzliche Sicherheit mittels einer Kombination aus Kennwort und Benutzername oder eines mehrstufigen Authentifizierungsprozesses. Geräte werden auf die neuesten Updates und Malware-Bedrohungen und damit verbundene Sicherheitsrisiken geprüft.

SDP stellt sicher, dass Geräte gültig und autorisiert sind, was an einem Arbeitsplatz nach dem BYOD-Prinzip (Bring Your Own Device, mit eigenem Gerät arbeiten), an dem die Sicherheit der Systeme der Mitarbeiter gefährdet werden kann, von entscheidender Bedeutung ist. Softwaredefinierte Perimeter verhindern zudem die Sicherheitsrisiken durch IoT-Geräte, auf die Dritte problemlos zugreifen können. Die dynamischen Funktionen von SDP verbinden Benutzer über einen Prozess ohne langwierige Verwaltungsvorgänge mit einer beliebigen Anwendung, wobei der strenge Zugriff auf die erforderlichen IT-Ressourcen gewahrt bleibt.

Der strenge Authentifizierungsprozess dient dazu, Netzwerkangriffe, wie komplexe hartnäckige Bedrohungen (Advanced Persistent Threats) und Man-in-the-Middle, einzudämmen, die für folgenschwere Datenschutzverletzungen verantwortlich sind.

VPNs (virtuelle private Netzwerke) bieten eine verschlüsselte Verbindung über normalerweise unverschlüsselte Kanäle und simulieren so ein privates Netzwerk. Die VPN-Strategie bietet für den Benutzerzugriff in Organisationen eine zusätzliche Sicherheitsebene, bleibt aber anfällig für Datenschutzverletzungen.

Darüber hinaus können VPNs in Szenarien mit mehrstufigem Zugriff unpraktisch sein, wenn Benutzer für jede zusätzliche Verbindung ein eigenes VPN einrichten müssen. Gehackte Anmeldeinformationen für VPNs stellen die gleichen Risiken dar wie infizierte Unternehmensnetzwerke, in denen böswillige Benutzer freie Hand über Rechenzentren haben. Mehrere VPNs führen zu komplexen IT-Verwaltungsroutinen, wodurch die Wahrscheinlichkeit von Datenschutzverletzungen steigt.

SDPs sind sicherer als VPNs, da sie eindeutige Verbindungen zwischen Benutzern und Servern herstellen, die bei jeder Anmeldung mit eingeschränktem Zugriff durchgesetzt werden. Darüber hinaus verhindert das duale Authentifizierungsverfahren eines SDP den unbefugten Zugriff mit infizierten Anmeldeinformationen oder gestohlenen Geräten. Einige SDPs bieten ein integriertes Sperrlistensystem, das die Zugriffsanforderungen von nicht autorisierten Geräten sofort ablehnt.

Eine zentrale Säule von SDP ist die Mikrosegmentierung, um einen Zugriff nach dem Prinzip der geringsten Rechte auf das Netzwerk zu ermöglichen. Diese Infrastruktur ist Grundlage eines Zero-Trust-Ansatzes. Kontinuierliche Sicherheit mit Zero Trust von Forcepoint geht über eine einfache SDP-Lösung hinaus und ermöglicht Benutzern die Kontrolle der Datennutzung, nicht nur des Zugriffs.

A core pillar of SDP is the ability to leverage microsegmentation to grant the least privileged access to the network. This infrastructure is the basis for building a Zero Trust approach. Forcepoint’s continuous Zero Trust security goes beyond a simple SDP and allows users to control the usage of data—not just access.