Microsoft hat sich vor einigen Jahren schon dem Thema Cyber Security verschrieben. Auch wenn die Themenauswahl mit Bedrohungsszenarien, Investitionssummen von Microsoft selbst und Konzepten wie dem Zero Trust Modell zunächst recht abstrakt wirkten, hat sich der Hersteller bereits zum führenden Anbieter im Bereich Cybersicherheit entwickelt.
Spätestens seit den letzten Ankündigungen rund um die Microsoft Inspire wird klar: Microsoft wird diesen Bereich stetig weiter ausbauen und liefert bereits jetzt eine Plattform, die ein umfassendes Paket an Lösungen zur Verfügung stellt.
Neben den beschriebenen Bereichen gibt es aktuell noch Microsoft Purview und Microsoft Priva, die aber eher den Bereichen Compliance und Data Loss Prevention zuzuordnen sind; es sei nur so viel gesagt, dass Microsoft Purview unter anderem die damalige Azure Information Protection umfasst, also auch die Bereiche des Schutzes von Daten und Dokumenten einschließt.
Microsoft Entra ist das neueste Pferdchen im Stall. Es umfasst derzeit die drei Teilbereiche Microsoft Entra ID, Microsoft Entra Internet Access und Microsoft Entra Private Access.
Microsoft Entra ID ist damit die zentrale Lösung für eine sichere Identitäts- und Zugriffsverwaltung. Neben allen Funktionen aus Microsoft Azure AD wurden auch hier neue Services hinzugefügt.
Bei Microsoft Entra Internet Access und Microsoft Entra Private Access handelt es sich um ein vollständig neues Produkt von Microsoft. Ein Security Service Edge (SSE)*1 ,das Microsoft Global Secure Access nennt.
Ziel ist es, eine Sicherheitsplattform zu schaffen, durch die alle Zugriffe geleitet, bewertet und aktiv gesteuert werden. Man könnte es als eine Art Cloud Firewall sehen, durch die alle Verbindungen ins Internet auf SAAS-Lösungen wie auch auf klassische Anwendungen und Netzwerkdienste geprüft werden. Anders als bei VPN-Technologien und klassischen Proxy-Lösungen werden die Zugriffe aber immer einzeln und unter Berücksichtigung aller relevanter Faktoren geprüft. Der eigentliche Zugriff wird erst danach erteilt. Diese Netzwerkarchitektur nennt man Zero Trust Network Access (ZTNA) *2.
Microsoft Entra schließt einen bisherigen Whitespot auf der Microsoft Security Landkarte. Spätestens seit COVID19 und den aktuellen mobilen Arbeitsmodellen ist klar, dass Zugriffe längst über die Unternehmensgrenzen hinweg und teilweise sogar vollständig an ihr vorbei funktionieren.
Die Lösung leitet alle Verbindungen zunächst in die SSE-Plattform *1, dort werden sie überprüft und dann entweder ins Internet, an den SAAS Service oder in das lokale Rechenzentrum geleitet. Damit sind Sicherheitslevel und Verfügbarkeit überall gleich und verbindlich. Zusätzlich sind keine Ressourcen, Anwendungen oder Endpunkte über das Internet sichtbar.
Auch wenn es aktuell nur in einer ersten Preview verfügbar ist und man daher den genauen Funktionsumfang noch nicht absehen kann, ist der Weg klar: Good bye, VPN. Andere Hersteller wie Zscaler haben bereits Lösungen im Angebot, die VPN vollständig ablösen.
Auch wenn es in Einzelfällen sinnvoll oder notwendig sein kann, Firewallsysteme einzusetzen, sind SSE-Lösungen darauf ausgelegt, den kompletten Datenverkehr umfassend zu analysieren. Perspektivisch wird der Einsatz von unterschiedlichen Firewallsystemen schon aus wirtschaftlichen und Gründen der Sicherheit nicht sinnvoll sein. Hinzu kommt die Tatsache, dass lokale Firewallsysteme schon heute Probleme haben, den Anforderungen an Datendurchsatz und Rechenleistung (bspw. SSL-Inspection*3 ) gerecht zu werden.
*1: SSE – Security Service Edge: Ein Service, der den Zugriff auf das Internet, Cloud Services und Privat-Applications gewährt und absichert (Zugriffskontrolle, Monitoring, Bedrohungsschutz, etc.)
*2 ZTNA – Zero Trust Network Access: Ein Service, der einen identitäts- und kontextbezogenen Zugriff auf Applikationen oder Applikationsgruppen gewährt, wobei die Applikationen nicht sichtbar (hidden from discovery) sind und die Parameter vor dem Zugriff geprüft werden
*3 SSL-Inspection: Überprüfung verschlüsselter Datenpakete (SSL-Traffic)
