Web Security

Web Security – Sicherer Zugriff auf Internet und Cloud Applikationen

Internet und Cloud Applikationen sind nicht mehr wegzudenken im Arbeitsalltag. Der Zugriff auf diese Ressourcen birgt jedoch viele Risiken – nicht selten versteckt sich Malware hinter einem Link oder sogar auf einer vermeintlich harmlosen Webseite. Web Proxies bieten einen sicheren Zugang zum Internet unter Berücksichtigung von aktuellsten Sicherheitstechnologien und unternehmensweiten Nutzungs-Policies. Moderne Lösungen müssen dabei auch die weltweiten Niederlassungen und mobile Mitarbeitende berücksichtigen.

Übersicht Web Security – über den Proxy sicher ins Internet

Die Risiken beim Zugriff auf Internet und Cloud Applikationen sind gross. Hinter vielen unbekannte Links und auch auf Webseiten mit guter Reputation befindet sich zumindest temporär Malware oder aktiver Code, welcher versucht eine Schwachstelle im Client-System auszunutzen. Gezielte Angriffe auf Unternehmen oder einzelne Personen funktionieren häufig durch ein Zusammenspiel zwischen E-Mail, Link und einer infizierten Webseite.

Für einen sicheren Zugriff auf das Web benötigen Unternehmen einen Web Proxy. AVANTEC empfiehlt klar, Web Security Funktionalitäten auf einem dedizierten System oder durch einen Cloud Service zu gewährleisten. UTM-Lösungen, also Web Security auf der Firewall, bietet nur beschränkte Funktionalitäten, limitierte Performanz für die aufwänden Security-Scans und keine unabhängige Skalierbarkeit.

Ein Web Proxy bietet Unternehmen nicht nur Sicherheit in Form von Content Scanning basierend auf AV-Engines, Reputation und weiteren Security-Mechanismen, sondern auch die Möglichkeit eigene Policies global durchzusetzen. Auch wenn heute mehr und mehr Unternehmen eine flexible Nutzungs-Policy umsetzen und Social Media und andere Webkategorien zulassen, machen unterschiedliche Regeln je nach Gruppe, User und Lokation nach wie vor Sinn.

Akuelle Web Proxies bieten zudem CASB-Funktionalitäten zur Visualisierung der Cloud-Nutzung (Stichwort «Schatten-IT») und zusätzliche Funktionen für mehr Sicherheit – darunter Sandboxing oder Web Isolation.

Eine wichtige Entscheidung, die Unternehmen treffen müssen, ist das Deployment-Modell des Web Proxies: Inhouse-Appliance (Hardware oder virtuell), reiner Cloud Service oder hybrid. Der Trend geht in Richtung Cloud oder hybrid damit auch weltweite Niederlassungen und mobile Mitarbeitende gleichermassen geschützt werden können.

Gartner Quadrant für Secure Web Gateways

zscaler-gartner-2020
Quelle: Gartner Inc

Web Proxy – Inhouse oder Cloud

Herkömmliche Web Proxies stehen als Appliance bei Unternehmen in der DMZ und sichern den Zugriff auf das Internet. Sie haben den Vorteil, dass Zugriffsdaten primär inhouse anfallen und direkt in ein SIEM übertragen werden können. Ferner bieten Web Proxies inhouse Möglichkeiten wie Content Caching oder Stream Splitting, was die Bandbreite des Internetanschlusses bzw. die Performanz beim Internetzugriff optimiert.

Unternehmen stehen heute vor der Herausforderung nicht nur den Hauptstandort, sondern auch alle weltweiten Niederlassungen und mobile Mitarbeitende zu schützen. Ein Cloud Service für Web Security oder ein hybrides Modell bietet hier klare Vorteile. Die Anbindung an einen cloud-basierten Web Proxy ermöglicht lokale Internet Breakouts mit direktem Internetzugang. Dies spart Kosten bei MPLS/VPN (kein Traffic Backhauling), verbessert das Surferlebnis massiv und schafft Zugriff auf länderspezifische lokale Inhalte. Mobile Mitarbeitende sind gleichermassen geschützt unabhängig von Standort und Endgerät. Der Service skaliert optimal mit den Anforderungen der Kunden.

AVANTEC bietet mit Symantec den führenden Web Proxy für inhouse Deployment und den hybriden Einsatz (ehemals Blue Coat). Für weniger granulare Anforderungen ist die Cisco WSA ein optimaler und einfach verwaltbarer Web Proxy. Mit Zscaler, dem führenden cloud-basierten Web Security Service setzt AVANTEC erfolgreich globale Projekte um.

Empfohlene Lösungen:

Besserer Schutz dank Sandboxing

Web Proxies bieten eine Reihe von Security-Mechanismen an um Unternehmen vor den Bedrohungen im Web zu schützen. Dazu gehören klassische Ansätze wie AV-Engines und Reputation bzw. auch Third Party Feeds und Korrelation von Intelligence über das gesamte Netzwerk.

Neue noch unbekannte Bedrohungen und Angriffe lassen sich mit herkömmlichen Methoden zum Teil nur unzureichend erkennen und blockieren. Eine Sandbox kann hier Abhilfe schaffen. Sie ergänzt die bestehende Web Security um eine ausführliche Prüfung von Dateien, indem diese ausgeführt und im Detail analysiert werden. Schadhaftes Verhalten wird erkannt und das File blockiert.

Sandbox-Lösungen sind in der Cloud besonders attraktiv, da sie von allen Niederlassungen und mobilen Usern genutzt werden können und das Schutzniveau für das gesamte Unternehmen anheben (Zscaler). Es gibt jedoch auch Sandboxen, die als Hardware direkt beim Web Proxy oder der Firewall für zusätzlichen Schutz sorgen. Vorteil hierbei ist, dass die entsprechenden Files inhouse geprüft werden und nicht mit einer Cloud geteilt werden müssen (Check Point, FireEye, Symantec). Bei Cisco WSA verfolgen wir das Modell den Inhouse Proxy in Kombination mit der cloud-basierten Sandbox anzubieten (Cisco AMP).

Empfohlene Lösungen:

100% Secure Browsing mit Web Isolation

Für unkategorisierte Webseiten sind die Risiken besonders hoch, einzelne Personenkreise (z. B. C-Level, Management, IT) will man unter Umständen besonders gut schützen. Anstelle hier mit zusätzlichen Regeln den Zugriff aufs Internet zu erschweren, besteht die Möglichkeit eine Web Isolations Lösung einzusetzen.

Web Isolation ergänzt die bestehende Web Security durch einen raffinierten Mechanismus. Je nach Policy werden einzelne Webseiten in einer isolierten Umgebung ausgeführt, das Zielsystem – der Client – bleibt damit in jedem Fall unbeschadet. Der Client erhält nur die gerenderten Bilddaten zur Anzeige.

Web Isolation wird als virtuelle Appliance im eigenen Netz installiert oder direkt aus der Cloud bezogen (Symantec Web Isolation). Alternativ kann derselbe Effekt erreicht werden durch die Isolation von Webseiten direkt auf dem Client (HP Wolf Security (ehem. Bromium)).

Empfohlene Lösungen:

Office 365 optimieren

Die Nutzung von Office 365 bringt mit Bezug auf Latenzzeiten und Performanz einige Herausforderungen mit sich. Meistens liegen die Probleme in der zugrundeliegenden Netzwerk-Architektur.

Lokale Internet Breakouts ermöglichen einen direkten Zugriff auf Office 365 und damit tiefere Latenzzeiten. Diese Vorgehensweise wird auch durch Microsoft empfohlen.

Zscaler bietet als Cloud Plattform den optimalen Zugang zu Office 365. Zum einen können lokale Internet Breakouts einfach und sicher implementiert werden, zum anderen bieten die Zscaler Web Gateway bestmögliche Verbindungen zu den Microsoft Rechenzentren.

Mittels Bandbreitenkontrolle können die Verbindungen zu Office 365 zudem priorisiert werden, damit unproduktiver Web-Verkehr die Nutzung der Microsoft Services nicht stört.

Zscaler kümmert sich im Hintergrund zudem um die ganzen IP-Adressen und Ausnahmen, was den Administrationsaufwand für Office 365 stark vereinfacht.

Empfohlene Lösung:

Haben Sie Fragen? Wir helfen Ihnen gerne weiter!

Haben Sie eine Frage zu unseren Produkten und Dienstleistungen? Wünschen Sie weitere Informationen oder Kontakt mit einem Engineer oder Account Manager? Wir freuen uns auf Ihre Kontaktaufnahme.

Unsere Fachspezialisten helfen Ihnen gerne weiter!

Portrait GH

Georg Hegyi

Head of Presales

+41 44 457 13 13
g.hegyi@avantec.ch