Die IT-Sicherheit im Zeitalter des hybriden Arbeitens, der Multi-Cloud-Umgebungen und der verteilten Teams kann sich nicht auf das alte Modell der Perimeterverteidigung verlassen. Wenn Benutzer von zu Hause aus, in Cafés und Büros auf der ganzen Welt arbeiten und Daten in Dutzenden von SaaS-Anwendungen leben, gibt es das traditionelle Modell des „geschützten Unternehmensnetzwerks“ nicht mehr. SASE (Secure Access Service Edge) ist die Antwort, und Forcepoint ONE setzt diese Architektur in einer einzigen, einheitlichen Cloud-Plattform um.
Wichtigste Schlussfolgerungen
- Forcepoint ONE ist eine SASE-Plattform, die Netzwerk- und Datensicherheit in einer einzigen Cloud-basierten Lösung vereint
- Eliminiert die Notwendigkeit, separate SWG-, CASB-, ZTNA- und DLP-Lösungen zu unterhalten
- Verwendet eine Zero Trust-Architektur – jeder Benutzer und jedes Gerät wird bei jedem Zugriff überprüft
- Schützt Daten, wo immer sie sich befinden: auf dem Gerät, im Netzwerk, in der Cloud
- Die Plattform skaliert automatisch und erfordert keine Verwaltung einer eigenen Infrastruktur
Inhaltsverzeichnis
- Was ist SASE und warum wird es zu einem Standard?
- Forcepoint ONE – Plattform-Architektur
- Secure Web Gateway (SWG) – sicheres Surfen
- CASB – Kontrolle des Zugriffs auf SaaS-Anwendungen
- Zero Trust Network Access (ZTNA) – Zugang ohne VPN
- Schutz vor Datenverlust in Forcepoint ONE
- Verwaltung und Transparenz von einer einzigen Konsole aus
- FAQ
- Zusammenfassung
Was ist SASE und warum wird es zu einem Standard?
SASE (Secure Access Service Edge) ist eine von Gartner definierte Sicherheitsarchitektur, die Netzwerkfunktionen (SD-WAN) mit Sicherheitsdiensten (SWG, CASB, ZTNA, FWaaS) in einer einzigen, in der Cloud bereitgestellten Plattform kombiniert. Der Kerngedanke: Sicherheit wird in der Nähe des Benutzers bereitgestellt, unabhängig von dessen Standort, und nicht zentral in der Unternehmenszentrale.
Der herkömmliche Ansatz erforderte, dass der Datenverkehr zur Prüfung durch das Rechenzentrum des Unternehmens geleitet wurde, was bei der Arbeit an entfernten Standorten zu Leistungs- und Latenzproblemen führte. SASE verlagert die Überprüfung des Datenverkehrs auf Knoten in der Nähe des Anwenders, so dass ein vollständiger Schutz ohne Leistungseinbußen gewährleistet ist.
Forcepoint ONE – Plattform-Architektur
Forcepoint ONE ist eine Cloud-native SASE-Plattform, die in einer einzigen Lösung konsolidiert ist: Secure Web Gateway (SWG), Cloud Access Security Broker (CASB), Zero Trust Network Access (ZTNA) und Data Loss Prevention (DLP). Alle diese Funktionen laufen auf einer gemeinsamen Plattform mit einer einzigen Verwaltungskonsole, einer einzigen Richtlinie für alle Zugangskanäle und einem einzigen Agenten auf dem Gerät des Benutzers.
Diese Konsolidierung ist ein grundlegender betrieblicher Vorteil – statt vier separate Produkte mit unterschiedlichen Konsolen, Richtlinien und Berichten zu verwalten, arbeitet der Administrator in einer einzigen Umgebung.
Secure Web Gateway (SWG) – sicheres Surfen
Die SWG in Forcepoint ONE kontrolliert den gesamten Webverkehr der Benutzer, unabhängig davon, von wo aus sie sich verbinden. Sie filtert Seiten nach Kategorien (Blockierung unangemessener Inhalte, bösartiger Domains), scannt Downloads auf Malware und wendet DLP-Richtlinien auf den Webverkehr an.
Eine wichtige Funktion ist die Remote Browser Isolation (RBI), eine Technologie, die den Browser in einer isolierten Cloud-Umgebung ausführt, wobei der Benutzer nur das sichere gerenderte Bild der Seite sieht. Der bösartige Code wird isoliert ausgeführt und kommt nie mit dem Gerät des Benutzers in Berührung.
CASB – Kontrolle des Zugriffs auf SaaS-Anwendungen
Der Cloud Access Security Broker bietet Transparenz und Kontrolle über die von der Organisation genutzten SaaS-Anwendungen – sowohl über die von der IT genehmigten als auch über die Schatten-IT (Anwendungen, die ohne das Wissen der IT-Abteilung genutzt werden).
CASB in Forcepoint ONE überwacht und kontrolliert Benutzeraktivitäten in SaaS-Anwendungen (Salesforce, Microsoft 365, Google Workspace, Box und viele andere), wendet DLP-Richtlinien auf Cloud-Daten an und erkennt Anomalien, die auf eine mögliche Kompromittierung von Konten hinweisen. Außerdem bietet es Kontrolle über die gemeinsame Nutzung von Dateien und blockiert den Versand sensibler Dokumente außerhalb des Unternehmens.
Zero Trust Network Access (ZTNA) – Zugang ohne VPN
ZTNA ist eine moderne Alternative zu VPNs, die das Zero-Trust-Prinzip umsetzt: Keinem Benutzer oder Gerät wird standardmäßig vertraut, jeder Zugriff wird überprüft und nach dem Prinzip der geringsten Berechtigung gewährt.
Forcepoint ONE ZTNA ermöglicht den Zugriff auf interne Anwendungen über einen sicheren, verschlüsselten Tunnel, ohne dass das gesamte Netzwerk offengelegt wird – der Benutzer hat nur Zugriff auf die spezifischen Anwendungen, für die er autorisiert ist. Im Vergleich zu einem herkömmlichen VPN ist ZTNA wesentlich sicherer (keine seitlichen Bewegungen im Falle einer Kontokompromittierung) und effizienter (kein Routing über einen zentralen Punkt).
Schutz vor Datenverlust in Forcepoint ONE
DLP in Forcepoint ONE funktioniert über alle Kanäle gleichzeitig: Webverkehr (SWG), SaaS-Anwendungen (CASB), interner Anwendungszugang (ZTNA) und Endgeräte. Eine DLP-Richtlinie wird überall durchgesetzt – ohne die Notwendigkeit, in jedem Produkt separate Regeln zu konfigurieren.
Dies ist ein grundlegender Wandel gegenüber dem traditionellen Ansatz, bei dem Netzwerk-DLP, Cloud-DLP und Endpunkt-DLP separate Produkte mit separaten Richtlinien waren, deren Synchronisierung eine echte Herausforderung darstellte.
Verwaltung und Transparenz von einer einzigen Konsole aus
Forcepoint ONE bietet eine einheitliche Verwaltungskonsole für alle Plattformfunktionen. Der Administrator kann an einem Ort die Benutzeraktivitäten über alle Kanäle, Sicherheitsvorfälle auf allen Ebenen, den Gerätestatus und die Konformität sowie einen vollständigen Prüfpfad für Zugriffe und Datenoperationen einsehen.
Diese Transparenz ist entscheidend für die Erkennung von Insider-Bedrohungen und die Reaktion auf Vorfälle – mehrstufige Angriffe, an denen verschiedene Kanäle beteiligt sind, werden durch die Korrelation von Ereignissen aus verschiedenen Quellen erkannt.
FAQ
Erfordert Forcepoint ONE die Installation von Agenten auf den Geräten? Für volle Funktionalität wird ein Agent empfohlen. Für verwaltete Geräte ist dies die Standardimplementierung. Für nicht verwaltete Geräte (BYOD) sind agentenlose Modi über einen Proxy verfügbar.
Wie geht Forcepoint ONE mit verschlüsseltem HTTPS-Datenverkehr um? Die Plattform führt eine SSL/TLS-Prüfung durch, indem sie den Datenverkehr beendet und wieder verschlüsselt und Sicherheitsrichtlinien auf den Inhalt anwendet.
Ersetzt Forcepoint ONE bestehende VPNs? ZTNA ist als Zielalternative zu VPN konzipiert. Die Migration kann schrittweise erfolgen – beide Lösungen können während der Übergangsphase parallel laufen.
Wie sieht die Implementierung von Forcepoint ONE aus? Da es sich um eine Cloud-native Plattform handelt, ist keine Installation einer Infrastruktur erforderlich. Die Bereitstellung beschränkt sich auf die Konfiguration von Richtlinien und die Installation von Agenten auf Benutzergeräten.
Zusammenfassung
Forcepoint ONE ist die Antwort auf die Realitäten der modernen hybriden Betriebsumgebung: eine einzige SASE-Plattform, die mehrere separate Sicherheitsprodukte ersetzt, konsistenten Schutz unabhängig vom Standort des Benutzers bietet und Daten über alle Kanäle gleichzeitig schützt. Dieser Ansatz reduziert die betriebliche Komplexität und beseitigt Sicherheitslücken, die durch Tool-Silos entstehen.
