Cybersicherheit hat den schlechten Ruf, dem Geschäft im Weg zu stehen. Viele CIOs und CISOs widmen viel Zeit der Minimierung der Leistungseinbußen bei Sicherheitslösungen im Netzwerkverkehr und stellen gleichzeitig sicher, dass die Lösungen weiterhin ihre Aufgabe erfüllen und das Netzwerk sicher halten. Der Wechsel in die Cloud verschärft diese Herausforderung.
Vor einigen Jahren installierte ein Sicherheitsteam Sicherheitsdienste auf einer Reihe von physischen Geräten. Firewall, URL-Filterung, E-Mail-Überwachung, Bedrohungsscan und Data Loss Prevention (DLP)-Funktionen können beispielsweise jeweils auf einer eigenen Box ausgeführt werden. Die fünf Geräte könnten seriell konfiguriert werden, so dass ein Datenpaket in ein Gerät einfließt, das Gerät seinen Standarddienst ausführt und das Paket anschließend zum nächsten Gerät weitergeleitet wird, das wiederum alle seine Standardschritte durchläuft. Die Skalierbarkeit jedes Dienstes wäre durch den auf seinem physischen Gerät verfügbaren Speicherplatz begrenzt. Und wenn die Hardware maximal ausgelastet war, ließ die Leistung der Sicherheitsprüfungen – und somit auch die Leistung des Netzwerkverkehrs – nach. Diese Herausforderungen wurden durch verschlüsselte Datenströme und die Notwendigkeit, den Datenverkehr für jede Funktion mehrmals zu entschlüsseln, zu scannen und dann erneut zu verschlüsseln, noch verschärft.
Viele Kunden versuchten, die Skalierbarkeit durch die Umstellung auf virtuelle Appliances zu verbessern, stießen dabei jedoch auf das gleiche Engpassproblem. Unabhängig davon, ob eine Lösung in der Cloud oder vor Ort ausgeführt wird, erfordert die Virtualisierung von Administratoren die Zuweisung bestimmter Ressourcen, darunter CPU, Speicher und Festplattenspeicher. Einige Sicherheitsplattformen konsolidieren eine Reihe unterschiedlicher Dienste. Dadurch erhält die Lösungssuite insgesamt Zugriff auf mehr Ressourcen, die Dienste müssen jedoch um diese begrenzte Menge aller verfügbaren Ressourcen konkurrieren und die Leistung ist letztlich für keine von ihnen optimiert. Dieses konzeptbedingte „Tauziehen“ um die Ressourcen erzwingt letztlich einen Kompromiss zwischen Sicherheitsverarbeitung und Leistung.
Unabhängig vom Ansatz ist der Spielraum für eine horizontale Skalierung bei physischen, virtuellen oder Cloud-basierten Ansätzen normalerweise begrenzt. Ab diesem Zeitpunkt kommt es aufgrund von Ressourcenbeschränkungen zu Latenzen bei der Leistung der darin enthaltenen Lösungen. Eine Sicherheitsinfrastruktur, die über eine Datenverkehrspipeline mit festem Durchmesser betrieben wird, stößt früher oder später an diese Einschränkungen und Engpässe. Die Netzwerkgeschwindigkeit wird darunter leiden, was sich letztlich in einer verschlechterten Benutzererfahrung niederschlägt und im schlimmsten Fall dazu führt, dass Benutzer die Sicherheitskontrollen gänzlich umgehen und dadurch das Unternehmen einem Risiko aussetzen.
Lose gekoppelte, aber unabhängige Microservices
Als Netskope unsere heutige SASE-fähige (Secure Access Service Edge) Plattform entwickelte, entwarfen wir die Architektur mit dem Ziel, die Latenz zu überwinden, die die Leistung herkömmlicher Sicherheitslösungen beeinträchtigt. Um dieses Ziel zu erreichen, haben wir zwei Aspekte der grundlegenden Funktionsweise der Sicherheitstechnologie überdacht.
Zunächst haben wir die wichtigsten Sicherheitsfunktionen auf einer einzigen einheitlichen Plattform konsolidiert und gleichzeitig einzelne Sicherheitsfunktionen in das abstrahiert, was wir bei Netskope „Microservices“ nennen. Prozesse wie Data Los