Nur Zahlen lügen nicht – Trends im Bereich Secure Web Gateway

Jedes Jahr blicken sie wieder in ihre Glaskugeln, die Analysten, welche uns immer gerne die neusten Trends in der IT-Security aufzeigen. Und sicher kennen Sie auch die regelmässigen Aussagen der Hersteller, was es neu zu kaufen gilt, um den Anschluss nicht zu verlieren und den aktuellen Cyber-Bedrohungen die Stirn zu bieten. Da steckt sicher viel Wahrheit drin, aber auch viel Phantasie im Streben nach Umsatz, Marktanteilen und wachsenden Börsenkursen.

Als Co-CEO der AVANTEC habe ich Zugriff auf Projekte und Verkaufszahlen – wo die Schweizer Unternehmen wirklich investieren, welche Projekte durchgeführt werden und was sich daraus ablesen lässt. Gerne teile ich diese Einsichten mit Ihnen – heute am Beispiel des Bereichs Web Security bzw. Secure Web Gateway.

Der Funktionsumfang und Einsatzzweck des Web Proxys hat sich in den letzten beiden Jahrzehnten stark verändert bzw. stetig weiterentwickelt. In den frühen 0er-Jahren fand der Proxy Einzug in die Unternehmen und zwar primär für Caching von Internetinhalten, denn Bandreite war zu diesem Zeitpunkt noch sehr teuer. Ein Proxy kann Webseiten und ganze Datenstreams einmal runterladen, cachen, und somit beliebig vielen Mitarbeitenden lokal zur Verfügung stellen. Eine Funktion, die heute stark an Bedeutung verloren hat: Viele Inhalte sind sehr dynamisch und die Bandbreite ist in den meisten Industrienationen kein Kostentreiber mehr.

Rasch wurden die Proxies aber auch um einfache Sicherheitsfunktionen wie Anti-Malware und URL-Filtering erweitert, denn kriminelle Organisationen hatten Webseiten als neuen Angriffsvektor für sich entdeckt.

Wurden die Web Proxies in den ersten Jahren fast ausschliesslich als Hardware Appliances verkauft, kam ab 2010 immer mehr Bewegung in die Deployment-Varianten. Virtuelle Appliances und cloud-basierte Lösungen waren flexibler und günstiger im Einsatz. Für Cloud sprach vor allem die Tatsache, dass Unternehmen weltweit eine Vielzahl von Niederlassungen betreiben, die sich vorzugsweise direkt und lokal mit dem Internet verbinden. Dies erzielt ein weitaus besseres Benutzererlebnis als das Surfen über einen globalen Hub-Proxy, ermöglicht Zugriff auf lokale Inhalte und Einsparungen von teuren MPLS-Kosten. Zudem profitieren auch mobile Mitarbeitende von einer weltweiten Cloud-Infrastruktur. Die Benutzer sind überall und jederzeit beim Zugriff auf das Internet geschützt – unabhängig von Standort, Netzwerk und Endgerät.

Die starke Entwicklung Richtung SaaS-Lösungen und Cloud Applikationen stellt den Web Proxy vor weitere Herausforderungen. Längst reicht es nicht mehr, den Zugriff nur auf Webseiten zu kontrollieren und sicher zu gestaltet und auch bezüglich Security sind neue technische Massnahmen notwendig, um die Benutzer und Unternehmen zuverlässig zu schützen. Dazu mehr in Kürze.

In 2021 wurden gut 75% der AVANTEC Web Proxy Projekte in der Cloud durchgeführt, Tendenz steigend. Die Vorteile einer cloud-basierten Plattform, die weltweit genutzt werden kann und mit den Anforderungen des eigenen Unternehmens skaliert, sind bestechend. Es gibt nur noch wenige Unternehmen, die bewusst auf eine On-Premise-Lösung setzen. Dazu gehören zum einen Unternehmen, die wenig von der Cloud profitieren, weil sie beispielsweise nur einen Standort haben und kaum mobile Mitarbeitende, zum anderen die Finanzbranche, die bezüglich Einsatz von Cloud-Lösungen strenge Anforderungen einzuhalten hat. Aber gerade Banken befassen sich aktuell sehr stark mit dem Thema und stehen in diesem Bereich ebenso vor dem Absprung in die Cloud.

Echte hybride Projekte gibt es sehr selten. Sie entstehen in der Regel aus On-Premise-Projekten, wenn der Kunde ein paar kleinere Lokationen oder mobile Mitarbeitende über die Cloud abdecken möchte oder in Cloud-Umgebungen, wenn für gewisse Anwendungen eine fixe IP-Adresse notwendig ist oder in einer Region der Zugriff auf den nächstgelegenen Cloud-Proxy eingeschränkt ist. Dann kommen virtuelle Gateways zum Einsatz. In der Regel gilt aber: wer sich auf Cloud einlässt, tut dies voll und ganz und bindet alle Standorte und Benutzer über die Cloud ans Internet.

Sandboxing hatte bei seiner Einführung in den Markt einen schweren Stand. Für viele Unternehmen waren die neuen Stand-alone-Lösungen schlicht zu teuer oder konnten in der begrenzten Testphase zu wenig überzeugen. Heute gibt es kaum einen Hersteller, der Sandboxing nicht als Teil seiner Lösung mit anbietet. So wird Sandboxing heute hauptsächlich als Add-on einer bestehenden Lösung dazugekauft – manchmal separat oder als Teil eines Bundles.

Waren es vor 5 Jahren nur knapp 10% der Kunden, die Sandboxing als Teil ihrer Web Security einsetzten, hat sich der Anteil bis heute fast verdreifacht. Sandboxing verkauft sich fast ausschliesslich als cloud-basierte Lösung. On-Premise Sandboxen sind teuer und schützen häufig nur die Clients am entsprechenden Standort.

Ich vermute eine ähnliche Entwicklung auch beim Thema Web Isolation. Das Isolieren einzelner Webseiten oder des gesamten Webverkehrs für einzelne VIP wie C-Level ist aufwändig und kostspielig. Stand-alone Lösungen haben es bisher nicht über ein Nischendasein hinausgeschafft. Als Teil einer gesamten Plattform und als Add-on-Feature lässt sich Web Isolation einfacher und kostengünstiger integrieren. Auch hier gilt: On-premise ist teuer und schützt in der Regel nur die Benutzer am Standort selbst.

In 2021 konnten wir bei AVANTEC bereits knapp 10% der Web Proxy Projekte mit Isolationsfunktion umsetzen. Auf allen bestehenden Web Proxy Kunden fristet Isolation mit knapp 3% aber noch ein Schattendasein, wenn auch mit aufsteigender Tendenz.

SSL Interception ist in der Schweiz übrigens quasi Standard beim Web Proxy – gegen 100% brechen den Verkehr auf, um relevante Sicherheitsfunktionen auf den verschlüsselten Inhalt anzuwenden. Was wir übrigens auch wärmstens empfehlen.

Der Web Proxy von heute kontrolliert nicht nur den Verkehr auf klassische Webseiten – mittlerweile haben SaaS-Anwendungen und Cloud Applikationen Überhand im Internetverkehr. Damit stellen sich neue Herausforderungen an Zugriffskontrollen, Datensicherheit und Performanz. Auch CASB-Lösungen hatten einen schweren Stand und finden sich heute häufig als Teil einer Proxy-Lösung wieder – aufgekauft oder zumindest per API integriert. Die Kontrolle von Schatten-IT im Internet mit Fokus auf Cloud-Applikationen ist quasi die Kernapplikation von CASB und heute Standard für einen Web Proxy. Mehr als 80% der Web Proxy Projekte haben diese Funktion heute als Anforderungsbestandteil.

Gartner sieht unter dem Begriff SASE (Secure Access Service Edge) das Zusammenwachsen von gleich mehreren Security-relevanten Funktionen. Dazu gehören Web Proxy mit Sandboxing und Isolation, CASB, Firewallfunktionen und Zero-Trust-Zugriff auf private Applikationen. Die Situation rund um Covid-19 und der Trend Richtung Home Office und flexible Arbeitsmodelle haben einen regelrechten Boom von Remote Access Projekten ausgelöst. Zusammen mit den Anforderungen an Zero-Trust und einem cloud-basierten Web Proxy ist der Schritt zur SASE-Plattform nicht mehr weit. Auch wir sehen diesen Trend: Letztes Jahr wurden knapp 20% der Web Proxy Projekte nach dem SASE-Ansatz umgesetzt. Das heisst, zeitgleich mit dem sicheren Zugriff auf Internet- und SaaS-Dienste haben wir bei den Kunden klassisches Client-VPN abgelöst und den Zugriff auf private Applikationen über die gleiche Cloud-Plattform umgesetzt – nach Zero-Trust-Ansatz und mit der Flexibilität, Applikationen jederzeit in die Cloud verschieben zu können.

Der Web Proxy der Zukunft steht in der Cloud. Selbst Finanzinstitute sind dabei, ihre bestehenden On-Premise Web Gateways durch Cloud-Lösungen zu ersetzen. Für einzelne Spezialfälle oder in Regionen mit schlechten Verbindungen kann es aber immer noch notwendig sein, den Verkehr über einen virtuellen Gateway ins Internet zu leiten.

SASE ist ein Trend der stark zunimmt. Immer mehr Kunden implementieren eine Cloud-Plattform, welche nicht nur die Verbindungen ins Internet und auf SaaS-Applikationen absichert, sondern auch die Zugriffe auf die privaten Applikationen im eigenen Rechenzentrum oder bei MS Azure, AWS und Co. Wenn die Initiative dazu vom CIO kommt und die üblichen Silos im Unternehmen zusammenarbeiten, steht einer erfolgreichen SASE-Implementierung nichts mehr im Weg und das Unternehmen profitiert von der Konsolidierung verschiedener Security-Funktionen auf einer Plattform.

Cloud Proxies und SASE-Plattformen haben den weiteren Vorteil, dass man sich bzgl. Security-Funktionen rauspicken kann, was man braucht bzw. was der eigene Risikoappetit verlangt. Sandboxing und Web Isolation können in wenigen Stunden aktiviert und gemäss den eigenen spezifischen Bedürfnissen genutzt werden. Wenn nicht heute, dann vermutlich morgen.