Was ist ein Software-defined Perimeter?

Starke Zugriffskontrollen, reduzierte Angriffsflächen und vereinfachtes Richtlinienmanagement: Lesen Sie alles Wichtige zum Software-defined Perimeter.
Von John Edwards
CSO | 23. September 2022 05:28 Uhr
Mithilfe von Mikrosegmentierung zwingt der Software-defined Perimeter Benutzer, ihre Zugriffsberechtigung nachzuweisen, bevor sie in die verschiedenen Ebenen des Netzwerks vordringen dürfen.
Mithilfe von Mikrosegmentierung zwingt der Software-defined Perimeter Benutzer, ihre Zugriffsberechtigung nachzuweisen, bevor sie in die verschiedenen Ebenen des Netzwerks vordringen dürfen.
Foto: alphaspirit.it - shutterstock.com

Immer mehr Organisationen ziehen einen unsichtbaren Zaun um alle IT-Ressourcen, die mit dem Internet verbunden sind, um Angreifer fernzuhalten. Diese Grenze wird als Software-defined Perimeter (SDP) bezeichnet und basiert auf der Idee, eine virtuelle Barriere um Server, Router, Drucker und andere Netzwerkkomponenten herum aufzubauen. "Zu den Vorteilen des SDP gehören eine höhere Sicherheit sowie eine größere Flexibilität und Konsistenz", sagt Ron Howell, Principal SD-WAN- und SASE-Architekt beim IT-Beratungsunternehmen Capgemini.

Durch den vermehrten Einsatz von Anwendungen, die sich aus Microservices zusammensetzen und auf mehr als einem Server untergebracht sind, steigen die Sicherheitsanforderungen im Vergleich zu herkömmlichen, monolithischen Anwendungen, die sich meist auf einem dedizierten Sever befinden. "Anwendungen werden heute immer weiter modularisiert. Sie bestehen nun aus mehreren Workload-Typen und Microservices und befinden sich im Rechenzentrum des Unternehmens oder in der Public Cloud", sagt Chad Skipper, globaler Sicherheitstechnologe für VMware. In solchen Szenarien können SDP helfen, die Anforderungen zu erfüllen.

Software-defined Perimeter – Definition

"Ein SDP-Framework verschleiert Server oder Netzwerkknoten, damit unberechtigte Nutzer nicht darauf zugreifen können", erklärt Chalan Aras, Managing Director, Cyber and Strategic Risk bei der Unternehmensberatungsfirma Deloitte. "SDP verwendet verschiedene Authentifizierungsmethoden, um die Sichtbarkeit und Konnektivität von Netzwerkknoten und Servern nur für die Nutzer bereitzustellen, die für den Zugriff berechtigt sind. Dabei setzt die Technologie auf das Least-Privilege-Prinzip, welches Nutzern nur Zugriff auf Daten und Assets erlaubt, die sie wirklich benötigen."

Aufgrund der strengen Authentifizierungsvorschriften und des streng eingeschränkten Netzwerkzugriffs ist SDP ein wichtiger Bestandteil von Zero Trust Network Access (ZTNA). Diese Technologie basiert auf der Prämisse, dass keine Verbindung automatisch als vertrauenswürdig eingestuft wird und Zugriffe nur nach dem Erforderlichkeitsprinzip auf Basis granularer Richtlinien gewährt werden. "Es gibt keinen sicheren Perimeter mehr. Microservice-Anwendungen, die Komponenten praktisch überall hin verteilen können, zunehmend verteilte und kollaborative Geschäftsprozesse sowie häufige Personalwechsel sind die Gründe dafür", sagt VMware-Mann Skipper.

Der Software-basierte Perimeter wurde entwickelt, um zu verhindern, dass Infrastrukturelemente von Unbefugten eingesehen und verändert werden können. Server, Netzwerk-Router, Drucker und eigentlich alle Geräte im Unternehmensnetzwerk sind vor nicht authentifizierten und nicht autorisierten Benutzern verborgen. Das funktioniert unabhängig davon, ob sich die Infrastruktur in der Cloud befindet oder lokal gehostet wird.

Software-defined Perimeter – Vorteile

Im Vergleich zu klassischen Ansätzen mit "festem" Perimeter wie etwa Firewalls bietet SDP eine höhere Sicherheit. Die Technologie beschränkt den Zugriff authentifizierter Benutzer automatisch nur auf eng definierte Netzwerksegmente, man spricht hierbei von der Mikrosegmentierung. Wird eine autorisierte Identität von einem Angreifer kompromittiert, ist der Rest des Netzwerks geschützt. "Das bietet Schutz vor dem sogenannten Lateral Movement, bei dem es der Angreifer schafft, sich als legitimer Benutzer auszugeben und sich dann mit den gestohlenen Berechtigungen durch das Netzwerk seines Opfers bewegt", sagt Skipper. John Henley, Principal Consultant Cybersecurity, beim Analystenhaus ISG, ergänzt: "SDP authentifiziert nicht nur den Benutzer, sondern auch das verwendete Gerät."

Da bei diesem Architekturmodell der Perimeter durch Software und nicht durch Hardware konfiguriert wird, gilt er als besonders dynamisch. IT-Administratoren können den SDP schnell auf sich ändernde Anforderungen anpassen.

Software-defined Perimeter – Funktionsweise

Im Mittelpunkt der SDP-Architektur steht der Controller, der um Zugriff bittende Benutzer und Geräte (initiierende Hosts) mit den gewünschten Ressourcen wie Apps und Servern (akzeptierende Hosts) verbindet. Der Controller authentifiziert den initiierenden Host und ordnet ihn dem akzeptierenden Host zu, mit dem er eine Verbindung herstellen darf. Der Controller weist die akzeptierenden Hosts an, Mitteilungen vom initiierenden Host zu akzeptieren. Die initiierenden Hosts können dann eine direkte VPN-Verbindungmit den akzeptierenden Hosts herstellen. In einigen Fällen ist der akzeptierende Host ein Gateway, das als Proxy zwischen dem initiierenden Host und mehreren Ressourcen fungiert, mit denen dieser eine Verbindung herstellen möchte. In anderen Fällen kann ein SDP zwischen zwei Servern eingerichtet werden.

Henley schätzt, dass es derzeit über 20 Hersteller von SDP-Produkten gibt, darunter Akamai (Enterprise Application Access), Cisco (Duo Beyond), Ivanti (Neurons for Secure Access), McAfee (MVision Private Access), NetMotion (SDP), Verizon (Software Defined Perimeter) und Versa (Secure Access).

Allerdings befreit SDP Unternehmen nicht von der Verantwortung, bestehende Sicherheitspraktiken aufrechtzuerhalten. Die Sicherheitsexperten verweisen darauf, dass es weiterhin wichtig sei zu wissen, wo die geschäftskritischen Daten liegen, damit sie ausreichend geschützt werden könnten. Transparenz sei besonders wichtig, unabhängig davon, welche Sicherheitstechnologien bereits implementiert wurden. Zudem sei die Bereitstellung von SDP kein einmaliges To-Do. Unternehmen müssen ihren SDP aktiv überwachen und regelmäßig aktualisieren. Darüber hinaus sollten CISOs die Software fortlaufend auf Schwachstellen scannen. (ms)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Network World.