Zero Trust braucht mehr als SASE:: Warum erst Mikrosegmentierung den Schutz komplett macht
Secure Access Service Edge (SASE) sorgt für sicheren Zugriff auf Unternehmensressourcen – doch allein reicht das nicht aus, um Zero Trust wirklich umzusetzen. Erst durch die Kombination mit Mikrosegmentierung auf Netzwerkebene entsteht ein ganzheitliches Sicherheitsmodell, das auch laterale Bewegungen von Angreifern verhindert.
Die Idee hinter SASE ist überzeugend: Benutzer und Geräte werden authentifiziert und autorisiert, bevor sie Zugriff auf interne Ressourcen erhalten. Doch genau hier liegt die Schwachstelle: Was passiert, wenn ein legitimiertes Gerät kompromittiert wurde?
„SASE wurde nie dafür entwickelt, laterale Bewegungen im Netzwerk zu unterbinden“, erklärt Kay Ernst vom Sicherheitsanbieter Zero Networks. Hat ein Angreifer gültige Zugangsdaten, kann er sich im internen Netzwerk frei bewegen, zusätzliche Systeme kompromittieren und sensible Daten abgreifen – unter dem Radar der klassischen SASE-Kontrollen.
Reverse-Proxys sind kein Ersatz für Mikrosegmentierung
Zwar leiten einige SASE-Lösungen den Datenverkehr über Reverse-Proxys, doch das schafft kein echtes Zero-Trust-Modell. Diese Architektur bremst die Performance und bietet nur begrenzten Einblick in sicherheitskritische Protokolle wie RDP, RPC oder SMB, die in vielen Ransomware-Angriffen missbraucht werden.
Auch tieferliegende Angriffsvektoren auf der Netzwerk- oder Transportschicht bleiben häufig unentdeckt, da SASE-Proxys in höheren Schichten operieren. Fazit: Der Schutz ist lückenhaft, sobald sich der Angreifer im Inneren des Netzwerks befindet.
Die Lösung: SASE plus Mikrosegmentierung
Ein wirksames Zero-Trust-Modell braucht daher beides:
- SASE, um den Zugang zu sichern
- Mikrosegmentierung, um das Verhalten nach dem Zugang zu kontrollieren
Letztere sorgt dafür, dass jede Kommunikation im Netzwerk durch minimale Berechtigungen reguliert wird – unabhängig davon, ob ein Gerät oder Benutzer bereits authentifiziert wurde. Das betrifft insbesondere Verwaltungsprotokolle wie RDP, SSH oder WinRM, die für die laterale Bewegung in Netzwerken besonders anfällig sind.
Eine durchgängige Mikrosegmentierung unterbindet:
- Laterale Bewegungen kompromittierter Identitäten
- unbefugten Datenzugriff
- Eskalation von Rechten und Berechtigungen
Zero Trust heißt nicht nur „Kein Vertrauen am Eingang“
Zero Trust bedeutet nicht nur, wer ins Netzwerk darf, sondern auch, was jemand darin tun darf. Nur durch die Kombination aus SASE und Mikrosegmentierung entsteht eine wirklich durchgängige Zero-Trust-Architektur – mit präziser Zugriffskontrolle auf jeder Ebene. Oder wie es Zero Networks auf den Punkt bringt: SASE plus Mikrosegmentierung ergibt Zero Trust.
Kay Ernst, Zero Networks
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
