Cyberangriffe sind zu einer allgegenwärtigen Bedrohung geworden, die Unternehmen in besonderem Maße betrifft. Der Schutz vor Ransomware und anderen Hackerangriffen ist daher von entscheidender Bedeutung....
Effektiver Schutz vor Ransomware-Angriffen: So sorgt SASE für optimale Cyber-Security Cyberangriffe sind zu einer allgegenwärtigen Bedrohung geworden, die Unternehmen in besonderem Maße betrifft. Der Schutz vor Ransomware und anderen Hackerangriffen ist daher von entscheidender Bedeutung. Dieser Artikel gibt einen Einblick in die Gefahr der Ransomwarenangriffe, stellt potenzielle Präventionsmaßnahmen vor und erläutert auch anhand eines Kundenbeispiels, wie CATO SASE eine entscheidende Rolle bei der Sicherung Ihres Netzwerks spielen kann.
Die Bedrohung: Was passiert bei einem Ransomware-Angriff
Ein Ransomware-Angriff ist eine Art von Cyberangriff, bei dem schädliche Software auf ein Computersystem oder Netzwerk gelangt und Dateien oder den gesamten Computer verschlüsselt. Die Angreifer fordern dann ein Lösegeld von den Opfern, um die verschlüsselten Daten wiederherzustellen oder den Zugriff auf das System freizugeben. Die Folgen sind nicht zu unterschätzen und reichen von finanziellen Verlusten bis hin zu einem erheblichen Reputationsschaden. Bei Ransomware-Angriffen folgen Hacker in der Regel einem bestimmten Ablauf, um ihr Ziel zu erreichen:
Infektion: Der erste Schritt besteht darin, die Ransomware auf das Zielsystem zu bringen. Dies kann auf verschiedene Weisen geschehen, darunter:
Phishing-E-Mails: Die Verbreitung von Ransomware erfolgt oft über gefälschte E-Mails mit schädlichen Anhängen oder Links.
Drive-by-Downloads: Dies geschieht, wenn ein Opfer eine infizierte Website besucht, ohne es zu bemerken. Die Ransomware wird automatisch heruntergeladen und installiert, wenn der Besucher die Website aufruft.
Ausnutzung von Schwachstellen: Über Schwachstellen in Software oder Betriebssystemen wird Ransomware im Zielsystem eingeschleust. Dies kann durch Exploits oder Malware-Tools erfolgen.
Verschlüsselung: Nach der erfolgreichen Infektion verschlüsselt die Ransomware Dateien auf dem betroffenen System.
Lösegeldforderung: Der letzte Schritt besteht darin, eine Lösegeldforderung an das Opfer zu senden. Die Forderung enthält Anweisungen zur Bezahlung des Lösegelds in Kryptowährung und häufig auch eine Frist. Die Opfer werden gedrängt, das Lösegeld zu zahlen, um ihre verschlüsselten Dateien wiederherzustellen. Beachten Sie jedoch, dass das Bezahlen des Lösegelds keine Garantie dafür bietet, dass die Daten tatsächlich entschlüsselt werden, und es wird in der Regel nicht empfohlen, den Forderungen der Angreifer nachzugeben.
Untersuchung und Analyse von Ransomwareangriffen
Die Cybersicherheitsforschung versteht unter „Mapping“ den Prozess, bei Hackerangriffen die Funktionsweise, Verbreitungsmethoden, Infektionsvektoren und die Verhaltensmuster der Ransomware zu verstehen. Diese Art der Untersuchung dient dazu, wertvolle Einblicke in die Taktiken, Techniken und Verfahren (TTPs) der Angreifer zu gewinnen. Einen standardisierten Ansatz bietet hier das MITRE ATT&CK Framework.
Einige der Hauptziele des Mappings von Ransomwareangriffen sind:
Identifizierung von Ransomware-Varianten: Verschiedene Arten von Ransomware werden erkannt und klassifiziert, um die Bedrohungslandschaft besser zu verstehen.
Analyse der Infektionsvektoren: Dies beinhaltet die Untersuchung der Wege, auf denen Ransomware in Systeme eindringt, wie beispielsweise E-Mail-Anhänge, infizierte Websites, Exploits oder Schwachstellen.
Verhalten der Ransomware verstehen: Forscher versuchen, das Verhalten der Ransomware nach der Infektion zu analysieren, einschließlich Verschlüsselung von Dateien, Lösegeldforderungen und Kommunikation mit den Angreifern.
Erkennung und Abwehr: Durch das Mapping von Ransomware können Sicherheitsforscher und Unternehmen bessere Abwehrmaßnahmen entwickeln, um Angriffe zu verhindern oder darauf zu reagieren.
Attribution: In einigen Fällen versuchen Sicherheitsforscher und Strafverfolgungsbehörden, die Urheber von Ransomware-Angriffen zu identifizieren und zu verfolgen.
Das Mapping von Ransomware ist ein wichtiger Bestandteil der Cybersicherheitsabwehr, da es dazu beiträgt, die Sicherheitssysteme zu stärken und die Folgen von Ransomware-Angriffen zu minimieren.
Mit der SASE Security von Cato Networks effizient gegen Ransomware vorgehen
Ransomware-Angriffe haben in den letzten Jahren dramatisch zugenommen und verursachen erhebliche Schäden, was dies zu einem der größten Geschäftsrisiken für Unternehmen macht. Cato SASE hat sich als ein äußerst effizientes Mittel erwiesen, um sich gegen Ransomware und andere Cyberbedrohungen zu schützen. In der Multi Layer Security Lösung von Cato werden mehrere Sicherheitsschichten in einer einzigen Architektur kombiniert, um eine umfassende Verteidigung gegen Ransomware und andere Bedrohungen zu gewährleisten. Das umfasst Monitoring und Realtime-Überwachung der Netzwerkaktivitäten, die Anbindung von Standorten, Filialen, Datacentern, Cloud-Datacentern und SaaS-Applikationen an die SASE Cloud Lösung von Cato, sowie die volle Kontrolle und Visibilität über den Datenverkehr, die ein Zero Trust Network Access (ZTNA) Ansatz verfolgt.
Zusätzlich bietet die Lösung folgende Security Engines, um sich umfassend vor Ransomware zu schützen:
Eine Internet-Firewall, Secure Web Gateway (SWG) und Remote Browser Isolation (RBI), um sich vor schadhaften Webseiten zu schützen, die bei Phishing Attacken oder Drive-by-Downloads verwendet werden.
Eine WAN-Firewall, Intrusion Prevention System (IPS), und Next Generation Anti-Malware (NGAM), die Malware auf Netzwerkebene selbst bei erfolgreicher initialer Infektion detektieren und die weitere Verbreitung im Netzwerk verhindern. Zudem erkennen und stoppen diese auch „beliebte“ Hackertools wie Mimikatz und Cobalt Strike, die gemäß Catos Research Team in nahezu jeder Ransomwarevariante verwendet werden – und das sogar in polymorphen Varianten.
Der Cloud Access Security Broker (CASB) schützt davor, dass vermeintlich legitime Cloud-Lösungen wie MS OneDrive, GoogleDrive, Asana oder Trello von Angreifern als Command & Control und Exfiltration Server verwendet werden.
Die Data Leakage Prevention Lösung schlägt an, wenn Angreifer versuchen sensible Daten wie IBANs, Kundeninformationen oder ähnliches zu exfiltrieren.
Verdächtige Verhaltensweisen werden somit frühzeitig identifiziert, bevor es zum Schaden kommt.
Die Funktionen werden als Cloud-Lösung bereitgestellt – das vereinfacht die Implementierung und erhöht die Skalierbarkeit. Dieses umfassende Sicherheitskonzept hilft Unternehmen, komplexe Herausforderungen in der Cybersecurity zu bewältigen und bietet Schutz vor verschiedenen Angriffsszenarien, einschließlich Ransomware-Angriffen.
Dafür beschäftigten sich die Sicherheitsanalysten von Cato stetig mit neuen Angriffstechniken, um die Abwehrmaßnahmen immer auf dem neuesten Stand zu halten. Unterstützt werden Sie dabei von modernen Algorithmen und Machine Learning-Methoden, beispielsweise um Domain-Generation-Algorithmen, Credential Theft und Privilege Escalation identifizieren zu können. Das alles gelingt im Rahmen eines netzwerkbasierten Ransomware-Schutzes, der auch Remote-Nutzer einbindet, die Zugriff auf das Unternehmensnetzwerk benötigen. So gelingt nachhaltige Ransomware-Prävention.
Aus der Praxis: Incident Response und Ransomware-Prävention bei Häfele
Die Firma Häfele ist eine international bekannte Marke, wenn es um Möbelbeschläge, Architektur-Hardware und Beleuchtungssysteme geht. Das Unternehmen betreibt ein Netzwerk, das sich über 50 Länder und 180 Standorte erstreckt. Die Angriffsfläche für Hacker ist also groß. Und so kam es im Februar 2023 zu einem Ransomware-Angriff. Als es galt, schnell zu handeln, gelang es mit Hilfe von Cato SASE, das Netzwerk in weniger als 4 Wochen bei verbesserter Sicherheitslage wiederherzustellen. An dem neu angelegten Sicherheitsrichtlinien, dem globalen Multilayer Security Stack und der Next-Gen Antimalware werden sich Cyber-Angreifer in Zukunft die Zähne ausbeißen. Lesen Sie mehr darüber, wie sich Häfele von der Ransomware-Attacke erholt hat.
Eine sichere Netzwerk-Infrastruktur mit SASE Security
Die Vielzahl von Bedrohungen durch Hackerangriffe erfordert proaktive Vorkehrungen, damit Ihr Unternehmen geschützt ist. Die fortschrittlichen Cybersicherheitslösungen von Cato Networks schaffen eine robuste Verteidigungslinie gegen die ständig wachsende Bedrohungslandschaft. Mit Cato Networks bauen Organisationen eine sichere und hochleistungsfähige Netzwerk- und Sicherheitsinfrastruktur auf. Wir stehen gern für eine Demo oder ein Beratungsgespräch zur Verfügung.
Laut dem Gartner 2023 CIO and Technology Executive Survey sind die derzeitigen Top 3 Emerging Technology Themen der CIOs die folgenden: KI/Machine Learning, Distributed Clouds...
Konvergenz als magische Zutat für den smarten CIO Laut dem Gartner 2023 CIO and Technology Executive Survey sind die derzeitigen Top 3 Emerging Technology Themen der CIOs die folgenden: KI/Machine Learning, Distributed Clouds und Secure Access Service Edge (SASE). Und obwohl SASE auf dieser Liste nur an dritter Stelle steht, ist es eigentlich der Schlüssel zu den Top 2 Themen. Warum ist das so und warum ist SASE nicht nur ein weiterer Punkt auf der To-do-Liste der CIOs? Schauen wir uns das genauer an.
Was ist SASE überhaupt?
Ihnen ist die Abkürzung SASE bereits oft über den Weg gelaufen, aber so ganz ist Ihnen noch nicht klar, was sich hinter dem Begriff versteckt? Dann ist es erst einmal wichtig Begrifflichkeiten und Grundlagen zu klären. SASE steht für Secure Access Service Edge und ist eine von Gartner eingeführte neue Kategorie für Unternehmensnetzwerke und deren Sicherheit, welche den Anwender mit einer Verbesserung durch eine radikale Simplifizierung des Netzwerk- und Security-Infrastrukturbetriebs überzeugt.
Konkret handelt es sich um einen Ansatz, der Netzwerk- und Security-Stacks in einer Cloud-nativen konvergenten Plattform ansiedelt. Dabei werden SD-WAN und andere Netzwerksicherheitslösungen (FWaaS, CASB, SWG und ZTNA) in einem einzigen cloudbasierten Service vereint.
Wo liegt der Unterschied zwischen SASE und SSE?
Eine wichtige Information im Voraus: Die Kombination aus SD-WAN und SSE (Secure Service Edge) gleicht nicht der Funktionalität von SASE. Bezüglich der Unterschiede zwischen SSE und SASE herrscht weiterhin viel Konfusion. Dies hängt damit zusammen, dass die Begrifflichkeiten je nach Anwender und Kontext oftmals nicht korrekt oder irreführend verwendet werden.
SSE und SD-WAN sind beides Bestandteile des Gesamtkonstruktes SASE (Secure Access Service Edge). Dabei ist SD-WAN lediglich ein kleiner Teilbereich des Netzwerks, während das Thema SSE eher auf der Security Seite angesiedelt ist und Teilaspekte wie Secure Web Gateway, CASB und ZTNA abdeckt. Gartner hat den Impact für Unternehmen in seiner Priority Matrix mit hoch für den Bereich SSE und transformativ für SASE bezeichnet.
Das Zusammenspiel von SASE, SD-WAN und SSE
Kombinieren wir SSE und SD-WAN erhalten wir jedoch nicht automatisch alle Mehrwerte, die ein SASE Offering enthält. Denn:
Die Kombination SSE + SD-WAN deckt nicht alle SASE Features ab
Da es sich bei SSE + SD-WAN meist um unterschiedliche Architekturen handelt, fehlt der wertvolle Kontext und die Simplifizierung, welche Ihnen SASE bietet.
Um also auch „echtes SASE“ zu erhalten, ist es wichtig darauf zu achten, wie die genannten Services bereitgestellt werden. Nur so realisieren Sie auch tatsächlich die Simplifizierung, die Sie sich wünschen. Eine Orientierungshilfe bieten an dieser Stelle die 4 Schlüsselkriterien, welche Gartner für die SASE Architektur definiert hat:
In der Cloud
Global
Für alle Edges
Konvergent
Wenn all diese Faktoren erfüllt sind, können Sie sicher sein, dass die Implementierung von SASE die versprochene Vereinfachung bringt. Andernfalls werden Sie sich weiterhin mit mehr oder weniger gut integrierten Einzellösungen herumschlagen müssen. Dies ist mit einem hohen administrativen Aufwand und einem Mangel an vollständiger Transparenz des Netzverkehrs verbunden.
So transformativ wie das iPhone: SASE als Antwort auf (folgende) aktuelle Probleme in der IT-Abteilung:
Heutzutage steigen die Anforderungen an die IT ständig und die To-do-Liste eines CIOs wird immer länger. Cloud-Migration, Performance-Probleme, Paketverluste, Internet Security und so weiter - die Liste ist lang. Umso wertvoller ist die Entlastung, die eine SASE-Implementierung mit sich bringt.
Ganz unabhängig davon in welcher Branche Sie ansässig sind, bietet SASE Ihnen eine effiziente Lösung für folgende, bekannte Problemfelder:
Gestiegene Komplexität
International tätige Unternehmen mit einer großen Anzahl von Niederlassungen leiden häufig unter komplexen und kostspieligen Silos von punktuellen Lösungen, um allen Mitarbeitern den Netzwerkzugriff zu ermöglichen und abzusichern. Leider wird dadurch die Flexibilität des Netzwerks stark eingeschränkt, IT Teams mit klassischen Betriebsthemen wie Patching bindet und zu Stagnation führt. Diese Entwicklung der internationalen Vernetzung wird auch in Zukunft weitergehen, weshalb effizientere Lösungen benötigt werden. Hinzu kommt, dass die Coronapandemie Telearbeitslösungen noch prominenter und unentbehrlicher gemacht hat. SASE konsolidiert eine Vielzahl an Punktlösungen und spart so Wartungszeiten und allgemeine Gesamtbetriebskosten.
Ressourcenknappheit
Wie bereits angeschnitten, kämpfen IT-Abteilungen oft mit einem akuten Mangel an Ressourcen, weswegen SASE hier mit einer Einsparung an Zeit und Aufwand besonders überzeugen kann. Selbst die besten Sicherheitslösungen nützen nichts wenn aufgrund von Personal- und Knowhow-Mangel Inkonsistenzen, Misskonfigurationen und alte Patch-Ständen den Angreifer Tür und Tor geöffnet werden. Um SASE in Betrieb zu nehmen, wird lediglich eine Edge-Appliance und für Remote-Nutzer ein Client benötigt, die die Verbindung mit der SASE-Plattform herstellen und die Unternehmensrichtlinien für optimale Netzwerk- und Sicherheitsfunktionen sicherstellen.
Anschließend wird keine Wartung von Geräten oder Bestandteilen der lokalen Infrastruktur mehr benötigt. Das lässt Zeit und Raum für eine sinnstiftendere Investition der IT-Kapazität, ganz abseits von akutem Troubleshooting.
Mangelnde Visibilität
Probleme, die wir nicht kennen, können auch nicht behoben werden. Deswegen ist die mangelnde Visibilität – auch als Folge der zu hohen Komplexität und Punktlösungen mit isolierter Betrachtung – ein reales Sicherheitsrisiko für Unternehmen, das nicht unterschätzt werden sollte. SASE hilft ihnen an dieser Stelle Ihre blinden Flecken zu beseitigen. Die einheitliche Netzwerk- und Sicherheitsarchitektur ermöglicht eine ganzheitliche Sicht auf den Datenverkehr für WAN- und Internet-Traffic. Zudem bietet eine echte SASE Plattform erweiterte Analyse- und Monitoringfunktionen, die es den Teams ermöglichen, den Datenverkehr in Echtzeit zu überwachen und Probleme und Bedrohungen automatisch zu stoppen bevor diese das lokale Netzwerk erreichen. Dezentrale Netzwerkkontrolle, Förderung von Zero-Trust-Prinzipien und das detaillierte Reporting sind weitere Argumente für eine SASE-Lösung bezüglich der Sichtbarkeit und Kontrolle über den Netzverkehr.
Durch die Zusammenführung von Netzwerken und Sicherheitsbereichen in einem einzigen globalen Cloud-Dienst erhalten die Nutzer durch SASE also optimale Sicherheit und Konnektivität – ohne anhaltende Wartungsaufwände und Instandhaltungskosten.
SASE als Enabler für Innovationen am Beispiel von KI/ML und Distributed Clouds
KI und Distributed Clouds hängen thematisch eng zusammen. Folgende Aussagen treffen deswegen auf beide wie auch auf viele weitere Innovationsthemen zu. Entdecken Sie die Zusammenhänge:
Ist daten-intensiv
Ist compute-intensiv
Benötigt Konnektivität
Benötigt Security
SASE erfüllt diese Anforderungen auf ganzheitliche Weise, da SASE sowohl die Konnektivität als auch die Skalierbarkeit für daten- und rechenintensive Anwendungsfälle zur Verfügung stellt. Solche Anwendungsfälle erfordern eine hochskalierbare Infrastruktur die meist als Cloud-Service genutzt wird – dabei ist die Verbindung von Usern und Anwendungen weltweit über ein SLA-basiertes globales Backbone entscheidend. Ebenso ist der mehrschichtige Sicherheitsansatz (ZTNA und Firewall, CASB und DLP) in der Lage, die Sicherheit von KI/ML-Anwendungen nicht nur zu gewährleisten sondern nutzt KI auch zur Detektion von Verhaltensmuster der Angreifer und Malware.
Deswegen Cato
Wir bei Cato werden oft als SASE-Pioniere bezeichnet, da wir die Vision von SASE bereits 2015 bei unserer Gründung hatten. Das war lange bevor der Begriff SASE überhaupt geprägt wurde. Tatsächlich stellt Cato die weltweit führende SASE-Plattform aus einer Hand bereit. Diese vereint Cato SD-WAN zusammen mit einem Cloud-nativen Security Service Edge, Cato SSE 360, in einem einzigen globalen Cloud-Service. Mit Cato SASE Cloud wird der Zugriff auf Anwendungen für alle Nutzer und Standorte an jedem Ort optimiert und gesichert.
Kunden können damit problemlos Ihr kostenintensives, unflexibles MPLS durch eine moderne, SD-WAN-basierte Netzwerkarchitektur ersetzen. Dadurch werden hybride und ortsunabhängig arbeitende Mitarbeiter geschützt. Nahtlose Cloud-Migrationen sind möglich.
Mit Cato können granulare Zugriffsrichtlinien durchgesetzt, Benutzer vor Bedrohungen geschützt und der Verlust sensibler Daten wirksam verhindert werden. So geht sichere Zukunft.
Die kritische Rolle der SAP-Konnektivität für Unternehmen: Herausforderungen bei der Konnektivität über lange Strecken und der sicheren Anbindung von Geschäftspartnern und Add-ons Einleitung: Dieser Artikel...
Sichere SLA-gestützte SAP-Konnektivität Die kritische Rolle der SAP-Konnektivität für Unternehmen: Herausforderungen bei der Konnektivität über lange Strecken und der sicheren Anbindung von Geschäftspartnern und Add-ons
Einleitung:
Dieser Artikel befasst sich mit der Bedeutung der SAP-Konnektivität für Unternehmen, der Rolle der angeschlossenen Add-On-Anwendungen und Geschäftspartnern und den Herausforderungen, die mit der Langstrecken-Konnektivität verbunden sind - was gleichermaßen auch für andere ERP-Systeme gilt.
Die Rolle der ERP-Systeme:
Die Steuerung von kritischen Prozessen über ERP-Systeme ist keine Option, sondern unumgänglich, um alle geschäftsrelevanten Bereiche im Zusammenhang zu betrachten und analysieren zu können. Nicht selten haben Unternehmen mehrere Hundert Satellitenapplikationen mit dem ERP-System integriert die das Nervensystem des Unternehmens bilden. Um effizient mit Geschäftspartnern zusammenzuarbeiten, werden diese mit Systemen von Kunden und Lieferanten verbunden.
Dies ist zwar vorteilhaft für das Unternehmen, schafft aber eine größere Angriffsfläche und die Anforderungen an die Netzwerke stellen eine Herausforderung für jede WAN-Transformationsinitiative und die Sicherheit dar. Den Überblick zu behalten ist nicht immer einfach und hybride Setups wie bspw. on-premise SAP-Systemen und in der Cloud gehosteten Add-Ons zum Teil auch Software-as-a-Service erfordern Zero Trust Ansätze, da eine einfache Netzwerksegmentierung hier nicht mehr ausreicht.
Die Bedeutung der SAP-Konnektivität für Unternehmen:
Um die Vorteile von SAP in vollem Umfang nutzen zu können, ist eine robuste Konnektivität von entscheidender Bedeutung, insbesondere für global verteilte Unternehmen.
Die Konnektivität zumeist zentral gehosteten SAP-Systemen für internationale Unternehmen ist nicht immer einfach. Die reine Physik für vom Hauptsitz weit entfernte Standorte und teilweise schlechte Internetanbindungen im Asien-Pazifik Raum aber auch Südamerika lassen so einige IT-Verantwortliche und Netzwerkexperten verzweifeln. Insbesondere Standorte von produzierenden Unternehmen befinden sich meist eben nicht in gut angebundenen Metropolen, sondern in ländlichen Gegenden mit suboptimaler Infrastruktur.
Die Datenverkehrsmenge der SAP-Systeme ist meist aus Sicht der Bandbreite keine große Herausforderung (der Bandbreitenbedarf von SAP verglichen zu Microsoft Office365 pro User ist eher gering), Latenzzeiten und Paketverluste müssen jedoch im Rahmen gehalten werden. Verschiedene Quellen empfehlen maximale Latenzen zwischen 250-300ms. Ausfälle und Engpässe im Netzwerk wirken sich direkt auf die Benutzererfahrung der weltweit verteilten Mitarbeiter aus und verringern die Produktivität. Der ERP-Datenverkehr erfordert einen stabilen Zugriff mit geringer Latenzzeit von jedem Standort und Benutzer aus. In der Vergangenheit wurde diese Konnektivität über MPLS bereitgestellt, aber die digitale Transformation, insbesondere Cloud-Migrationen und Initiativen zur Arbeit von überall aus, erfordern neue Netzwerk- und Sicherheitsmuster. Gesonderte MPLS-Verbindungen nur für den SAP Traffic bedeuten hohe Kosten und mehrere unterschiedliche Verbindungstypen die gemanaged und überwacht werden müssen.
SD-WAN gilt hier als Heilsbringer, so mache SD-WAN Initiative ist an diesen Herausforderungen jedoch bereits gescheitert, da herkömmliche SD-WAN Lösungen das öffentliche Internet als ausschließliches Transportmedium nutzen. Hier entstehen jedoch häufig Engpässe aufgrund von überbuchter Leitungen und Übergabepunkten zwischen unterschiedlichen Carriern, die das Routing und die tatsächlich verfügbaren Bandbreiten unvorhersehbar machen.
Die Antwort hierauf ist ein SD-WAN, was auf einem globalen privaten Backbone des Anbieters basiert. Das Backbone fungiert dabei wie eine riesige den Globus umspannende Datenautobahn, auf der es jedoch aufgrund von proaktivem Management keine Staus und Unfälle gibt. Um die nächstgelegene Auffahrt auf die Datenautobahn zu erreichen, wird dann nur ein Teil des Transportweges über das öffentliche Internet zurückgelegt. Dabei ist es wichtig auf 3 Punkte zu achten:
Die Anzahl an verfügbaren Auffahrten im Fachjargon PoPs (Point of Presence) genannt, damit werden Latenzzeiten reduziert. Es ist nicht zwingend notwendig in jedem Land ein PoP vorzuhalten, aber umso höher die Anzahl umso wahrscheinlicher ist es, dass eine Auffahrt nahe dem User existiert und das öffentliche Internet nur für eine kurze Distanz als Transportmedium verwendet wird. Fällt ein PoP aus, muss sichergestellt sein, dass ein anderer PoP als Auffahrt einspringt oder beim Routing die Aufgabe übernimmt.
Die Anzahl der Autobahnen und Ihre verfügbaren Spuren, das ermöglicht eine hohe Resilienz des Backbones. Konkret bedeutet das, dass die PoPs bestenfalls mit mehreren unterschiedlichen Carriern verbunden sein sollten, fällt ein Carrier aus steht eine andere Leitung zur Verfügung.
Das Backbone sollte auch die Möglichkeit bieten automatisiert und dynamisch unterschiedliche Wege zur gleichen Destination zu routen, bestenfalls passiert das, ohne zuvor manuelle Routingtabellen erstellen zu müssen.
Die Nähe der PoPs zu wichtigen Knotenpunkten wie Cloud-Datacentern von Hyperscalern oder Internet Exchange Knoten. Die Nähe zu Cloud Datacentern ermöglicht in vielen Fällen die Vermeidung von teuren Premium-Verbindungen wie z.B. Azure Express Route oder AWS Direct Connect und bietet somit eine eingebaute Cloud-Optimierung.
Zur weiteren Optimierung des Datenverkehrs werden Funktionen wie dynamisches Routing, Protokoll-Acceleration mit dem die reine Physik teilweise auch ausgetrickst werden kann, Applikations- und Identitätsgetriebener Quality-of-Service (QoS) sowie die Mitigation von Packet-Verlusten angewandt.
Die Rolle angeschlossener Geschäftspartner und Add-ons:
Erweiterte Funktionalität: Verbundene Add-On-Anwendungen erweitern die Möglichkeiten von SAP, indem sie spezielle, auf die jeweiligen Geschäftsanforderungen zugeschnittene Funktionen bereitstellen. Diese Anwendungen lassen sich nahtlos in SAP integrieren und bieten zusätzliche Funktionen wie erweiterte Analysefunktionen, Customer Relationship Management (CRM), E-Commerce und branchenspezifische Lösungen.
Anpassung und Anpassungsfähigkeit: Angeschlossene Add-On-Anwendungen bieten Anpassungsmöglichkeiten, mit denen Unternehmen SAP an ihre individuellen Anforderungen anpassen können. Ganz gleich, ob es um die Anpassung an branchenspezifische Vorschriften oder um die Ausrichtung auf bestimmte Arbeitsabläufe geht, diese Anwendungen erhöhen die Flexibilität von SAP und ermöglichen es Unternehmen, ihre Abläufe zu optimieren.
Prozessautomatisierung: Add-On-Anwendungen ermöglichen es Unternehmen, komplexe Geschäftsprozesse und Arbeitsabläufe zu automatisieren, den manuellen Aufwand zu verringern und die betriebliche Effizienz zu steigern. Diese Anwendungen nutzen die SAP-Konnektivität, um Daten auszutauschen und Aktionen auszulösen. Dadurch werden sich wiederholende Aufgaben rationalisiert und Ressourcen für höherwertige Aktivitäten freigesetzt.
Um weitere Effizienzen entlang der gesamten Supply Chain zu heben, werden oftmals auch externe Geschäftspartner an das SAP-System angebunden, hier entsteht jedoch auch ein großes Sicherheitsrisiko durch die Öffnung der Systeme und hybride Setups aus On-Premise, Public Cloud und SaaS Anwendungen.
Zero Trust für Zugriffe auf SAP-Systeme erhöhen die Sicherheit:
Zero Trust ist ein wichtiges Puzzlestück für die Unternehmenssicherheit und insbesondere für Drittsysteme und Geschäftspartner sollten die Schlüsselprinzipien des Zero Trust Ansatzes auch für SAP-Landschaften rigoros umgesetzt werden:
Least-Privilege, Zugriffsmöglichkeiten auf den geringst notwendigen Rahmen limitieren. Durch ein Whitelisting wird die Kommunikation zwischen einzelnen Servern und Systemen erlaubt und andere damit explizit ausgeschlossen.
Authentifizierung überall, dabei sollte auch Kontext von Netzwerkflows mit einbezogen werden wie Benutzer-Identität, Source IPs, Geo-Location Kontext etc. bspw. kann Inbound-Traffic von Ländern die bekannt für Hackergruppen sind wie Russland, Iran oder Nordkorea geblockt werden.
Zugriff für Remote User und externe Mitarbeiter über einen ZTNA-Client, hier können z.B. auch sogenannte Device Posture Checks mit eingebunden werden, dabei prüft der Client für jeden Zugriff ob beispielsweise das aktuellste Windows-Betriebssystem installiert ist oder das Endgerät über einen aktuellen Anti-Virus Client verfügt bevor Zugriffe überhaupt zugelassen werden.
Diese Maßnahmen helfen die Angriffsfläche maximal zu reduzieren und schützen das Unternehmen. Zusätzlich sollte ein Monitoring aufgebaut werden, welches die SAP-Zugriffe von allen Standorten und Usern und so Netzwerkanomalien sichtbar macht.
Diese Sicherheitsmechanismen und viele weitere, lassen sich einfach mit einer SASE-Plattform (Secure Access Service Edge) umsetzen, die die bereits zuvor beschriebene SD-WAN Lösung mit einem globalen Backbone in einer Architektur vereint. Eine SASE-Architektur deckt natürlich nicht nur den SAP Traffic ab und bring Visibilität, Kontrolle und Sicherheit in jeglichem Internet- und WAN-Datenverkehr über alle Ports und Protokolle hinweg.
Die Implementierung muss jedoch nicht die gesamte Netzwerkinfrastruktur auf einmal beinhalten und kann auch nur für einzelne Lokationen mit den zunächst größten Konnektivitätsproblemen umgesetzt werden. Dabei wird der jeweilige Standort mit dem Rechenzentrum verbunden, in dem das SAP-System gehostet ist, was über eine IPsec-Verbindung oder optimalerweise über das Cato Socket, eine SD-WAN Appliance, realisiert wird. Der Vorteil des Cato Sockets ist, dass es ein Zero-Touch Deployment unterstützt und bis zu 3 aktive Internetlinks für eine dynamische Wegeselektion, Quality-of-Service für User und Applikationen sowie die Mitigation von Paketverlusten unterstützt.
Cato Networks hat heute bereits ca. 2.000 Kunden aus allen möglichen Branchen auf der weltweit ersten Single-Vendor SASE-Plattform und ein Großteil davon sind auch SAP-Anwenderunternehmen, die über das globale private Backbone von Cato die Konnektivität optimieren und die Sicherheit des Netzwerks erhöhen.
