Was ist ein Secure Web Gateway (SWG) der nächsten Generation?

Zu einem Abschnitt springen

Was ist die Definition von Next Generation Secure Web Gateway? (SWG-Bedeutung) Wie unterscheidet sich eine Next Generation Secure Web Gateway-Lösung von einer älteren Web-Proxy-Lösung? Was sind die gängigen Funktionen des Next Gen Secure Web Gateways? Worauf sollten Sie bei einem Next Gen Secure Web Gateway achten? Was sind die Unterschiede zwischen einem Secure Web Gateway und der Next Gen SWG Security von Netskope? Welche Rolle spielt das Next Gen SWG in einer von SASE dominierten Zukunft?

11 Min. Lektüre

Was ist die Definition von Next Generation Secure Web Gateway? (SWG-Bedeutung)

Ein Next Generation Secure Web Gateway (SWG) ist eine neue Cloud-native Lösung zum Schutz von Unternehmen vor der wachsenden Menge ausgeklügelter Cloud-fähiger Bedrohungen und Datenrisiken. Es ist die logische Weiterentwicklung des traditionellen Secure Web Gateways, auch bekannt als Web-Proxy oder Webfilter. Im Gegensatz zu einem herkömmlichen Secure Web Gateway bewältigt ein Next Gen SWG sowohl den Cloud- als auch den Web-Datenverkehr. Herkömmliche Secure Web Gateways dagegen decken nur den Web-Datenverkehr ab und sind blind für Cloud-fähige Bedrohungen und Datenrisiken für persönliche Instanzen verwalteter Anwendungen, Tausende von Schatten-IT-Anwendungen und Cloud-Dienste.

In den letzten zehn Jahren haben viele Unternehmen gelisteten spezifischen Cloud-Diensten wie Microsoft Office 365 erlaubt, Inline-Firewall- und Proxy-Sicherheitsabwehrmaßnahmen zu umgehen – was einen „roten Teppich“ für Bedrohungen oder Datenexfiltration ermöglicht. Die Unfähigkeit, Datenübertragungen zwischen Unternehmens- und persönlichen Cloud-App-Instanzen oder die Verwendung von Rogue-Instanzen für die Bereitstellung von Bedrohungs-Clouds zu erkennen, ergänzt die Liste der blinden Flecken für veraltete Abwehrmaßnahmen.
Was macht etwas Next Gen aus?

Mit der SWG-Sicherheit der nächsten Generation können Sie weiterarbeiten, ohne die Kontrolle über die Bewegung von Unternehmensdaten in Apps und Cloud-Diensten zu verlieren oder Arbeitsabläufe durch pauschale Verbote bestimmter Anwendungen und Aktivitäten zu behindern. Dies ist von entscheidender Bedeutung angesichts der jüngsten und massiven Verlagerung von Büroarbeit hin zur Remote-Arbeit sowie der Migration von traditionellen On-Premise-Architekturen hin zur Cloud in den letzten Jahren.

Anwendungsfälle: Die 6 wichtigsten Anwendungsfälle für NG SWG

Wie unterscheidet sich eine Next Generation Secure Web Gateway-Lösung von einer älteren Web-Proxy-Lösung?

Wie bereits erwähnt, ist die Next-Gen-SWG-Cybersicherheit die nächste Weiterentwicklung herkömmlicher Web-Proxy-Gateway-Lösungen, aber wie genau schützen sie vor der modernen Bedrohungslandschaft und Datenrisiken?

Einfach ausgedrückt: Traditionelle Webfilterungs- und Proxy-Lösungen sind nicht mehr in der Lage, Web- und Cloud-App-Benutzer oder Unternehmen vor Folgendem zu schützen:

1. Wachsende Anzahl von Cloud-Anwendungen, Cloud-Diensten und Cloud-fähigen Bedrohungen
Mehr als die Hälfte des Web-Traffics (53 %) bezieht sich heute auf Apps und Cloud-Dienste, und mehr als zwei Drittel der Malware (68 %) wird über Cloud-Apps und nicht über das Internet übertragen*. Legacy-Webproxy-Gateways können Apps und Cloud-Dienste nicht decodieren, um diese über die Cloud bereitgestellten Bedrohungen zu erkennen. Alle Phasen der Cyber-Kill-Chain sind jetzt Cloud-fähig, einschließlich Aufklärung, Bewaffnung, Lieferung und Rückrufkommunikation.

Geschäftsbereiche und Benutzer übernehmen weiterhin frei neue Apps und Cloud-Dienste und verzeichneten in den ersten sechs Monaten dieses Jahres ein Wachstum von 22 %, wobei ein durchschnittliches Unternehmen mit 500–2.000 Benutzern auf 805 verschiedene Apps zugreift. Ältere Cloud-SWG-Lösungen sind größtenteils blind gegenüber diesen wachsenden Schatten-IT-Anwendungen und Cloud-Diensten und weniger als 3 % werden von der IT verwaltet.

2. Zunahme der Fälle von Datenoffenlegung und -diebstahl in einer Cloud-First-Welt
Über 90 % der in der Cloud erstellten Daten stammen aus in den letzten zwei Jahren und mehr als 70 % der Benutzer sind mobil und arbeiten remote. Die Übertragung von Daten zwischen firmeneigenen und privaten Instanzen von verwalteten Cloud-Anwendungen oder einer anderen privaten Cloud-Anwendungsinstanz, die Verwendung von Webmail und das Teilen von Links sind heutzutage einfache Vorgänge für jeden Benutzer.

Veraltete SWG-Lösungen verfügen oft nicht über DLP-Funktionen, insbesondere für Anwendungen und Cloud-Dienste, Webbrowser und Formulare, mobile Apps und Synchronisierungs-Clients.

3. Wachsende Anzahl von Remote-Mitarbeitern, die auf private und öffentliche Anwendungen und Ressourcen zugreifen
Im Rahmen der digitalen Transformation hin zur Cloud und zu Mobilgeräten wechseln Unternehmen von alten Appliance-basierten Sicherheits-Stacks in die Cloud, um die wachsende Anzahl von Remote-Mitarbeitern besser schützen zu können. Ältere SWG-Appliances in Büros erzwingen Hair-Pinning-Datenverkehr mit VPNs und leiten diesen zu zentralen Rechenzentren, was nicht mehr ausreicht und zu einer schlechten Benutzererfahrung führt.

Die SASE-Architektur (Secure Access Service Edge) vereint mehrere Sicherheitsmaßnahmen in einer einzigen Cloud-Plattform mit einer einzigen Konsole und einer Richtlinien-Engine, was die Gesamtbetriebskosten senkt. Next Gen SWGs decken fünf Wege des Datenverkehrs zu öffentlichen Ressourcen ab, darunter das Web, verwaltete SaaS, Schatten-IT, Public-Cloud-Dienste und benutzerdefinierte Anwendungen in Public-Cloud-Diensten. Private Anwendungen und Ressourcen innerhalb der SASE-Architektur verwenden Zero Trust Network Access (ZTNA), bei dem implizites Vertrauen basierend auf Standort oder Gerät entfernt wird. Bei diesem neuen Modell ist jeder Benutzer, jeder Standort und jedes Gerät durch einen nahe gelegenen Cloud Security Services Edge geschützt, mit nur minimalen Auswirkungen auf die Leistung.

Was ein Next Gen SWG wirklich zu einer Lösung der „nächsten Generation“ macht, ist die Tiefe der Kontrolle, der Überwachung und des Schutzes für die fünf Wege des überprüften Datenverkehrs. Ein Next Gen SWG geht über die alten Richtlinien von Web-Proxys für einspurigen Datenverkehr hinaus, die nur die Möglichkeiten „zulassen“ oder „blockieren“ bieten, und kombiniert die Funktionen von Proxys, Inline Cloud Access Security Brokern (CASB) und DLP-Plattformen (Data Loss Prevention). Diese Kombination bietet eine Vielzahl fortschrittlicher Funktionen und Kapazitäten, die Transparenz in der Cloud schaffen:

Filterung von Webinhalten mit dynamischen Bewertungen
SSL/TLS-Entschlüsselung mit Cloud-Leistung und -Skalierbarkeit
CASB-Inline-Funktionen (Cloud Access Security Broker) zum Erkennen, Dekodieren und Überprüfen des Datenverkehrs von Anwendungen und Cloud-Diensten
Advanced Threat Protection (ATP) einschließlich Sandboxing und auf maschinellem Lernen basierender Anomalieerkennung
Data Loss Prevention (DLP) für Cloud-Anwendungen und Web-Datenverkehr
Einblicke, umfangreicher Metadatenkontext für Untersuchungen, detaillierte Berichte und mehr.

Mit einem Next Gen SWG können Sie das Verhalten im Web, in Anwendungen und in Cloud-Diensten überwachen, granulare Nutzungsrichtlinien festlegen, adaptive Richtlinien basierend auf Anwendungsrisiko, Benutzerrisiko, Aktivität und der Sensibilität der Daten durchsetzen und Benutzer in Echtzeit auf sicherere Alternativen hinweisen und von risikobehafteten Anwendungen weglenken. Das erhöht nicht nur Ihre Sicherheit in der Cloud, sondern verbessert durch den Wegfall pauschaler Verbote für bestimmte Aktionen und Geräte auch die Benutzererfahrung. Die granulare Kontrollen und die Inline-Transparenz eines Next Gen SWG helfen dabei, Benutzer- und Datenaktivitäten zu kontextualisieren, sodass Benutzer durch adaptive Richtlinien geführt werden können, während gleichzeitig Risiken verringert und Daten geschützt werden, ohne legitime Arbeitsvorgänge zu beeinträchtigen.

Blog: Wohin CASB und SWG gehen

Was ist der Unterschied zwischen einem Webfilter, einem SWG und einem Next Gen SWG?

Was sind die gängigen Funktionen des Next Gen Secure Web Gateways?

Ein Next Generation Secure Web Gateway verfügt über diese sechs einzigartigen Funktionen:

1. Überwachung und Bewertung einzelner Aktionen
Erzielen Sie Inline-Transparenz für Tausende von verwalteten und nicht verwalteten Apps und Cloud-Diensten sowie Web-Traffic und vereinen Sie wichtige SWG-, CASB- und DLP-Funktionen auf einer Plattform.

Siehe SWG-Überwachung und Bewertung der nächsten Generation in Aktion

2. Granulare Kontrolle über Anwendungen
Erhalten Sie granulare Echtzeit-Kontrolle über Tausende von Cloud-Anwendungen, einschließlich jener, die von einzelnen Geschäftsbereichen und Benutzern als Schatten-IT verwendet werden. Dadurch können Sie schädliche Prozesse aufhalten und nützliche Prozesse sicher zulassen.

Siehe SWG-Anwendungssteuerung der nächsten Generation in Aktion

3. Implementierung von Richtlinien für die akzeptable Nutzung
Integrieren Sie eine Kombination aus herkömmlicher Webfilterung, die URL-Kategorien, benutzerdefinierte Kategorien und dynamische Seitenbewertungen für neue Websites abdeckt, mit umfassenden Cloud-App-Nutzungsbewertungen, Risiken und akzeptablen Nutzungsrichtlinien, die sowohl die Cloud als auch das Web abdecken.

Siehe SWG-Richtlinien zur akzeptablen Nutzung der nächsten Generation in Aktion

4. Schutz vor Bedrohungen
Schützen Sie sich vor Web- und cloudbasierter Malware und fortschrittlichen Bedrohungen mit erweiterten Verteidigungsfunktionen. Diese reichen von der Erkennung nicht autorisierter und privater Cloud-Anwendungsinstanzen, die für Phishing und Bedrohungen verwendet werden, über die Analyse von Skripten und Makros vor der Ausführung und Cloud- und Bare-Metal-Sandboxing bis hin zur Bedrohungsanalyse und zur Erkennung von Anomalien mithilfe von maschinellem Lernen.

Sehen Sie den SWG-Bedrohungsschutz der nächsten Generation in Aktion

5. Schutz von Daten überall
Verfolgen und schützen Sie Daten überall dort, wo sie hinkommen, und stellen Sie eine genaue und präzise Inspektion mit erweiterten Funktionen sicher, die von der exakten Übereinstimmung bis zur Fingerabdruckerkennung mit Ähnlichkeitsabgleich reichen. Beispielsweise erfordert die sichere Nutzung generativer KI wie der äußerst beliebten ChatGPT-App einen Anwendungskonnektor, der Benutzercoaching in Echtzeit, Datenschutz für hochgeladene Inhalte und Kontrolle der Anwendungsaktivität ermöglicht.

Siehe SWG-Datenschutz der nächsten Generation in Aktion

6. Abdeckung von Direct-to-Internet-Verbindungen
Eliminieren Sie kostspieliges Backhauling und verbessern Sie die Leistung für Remote-Büros und -Benutzer mit einer Cloud-Edge-basierten Netzwerk-Infrastruktur, die für niedrige Latenzzeiten und hohe Kapazitäten weltweit optimiert ist.

Sehen Sie SWG Edge Network Security der nächsten Generation in Aktion

Worauf sollten Sie bei einem Next Gen Secure Web Gateway achten?

Unternehmen, die ein Next Gen SWG einführen möchten, sollten nach einer einheitlichen, Cloud-nativen Lösung mit einer einzelnen Plattform suchen, die:

1. die Vorteile einer echten Cloud-Architektur optimal nutzt
Die Lösung muss auf Cloud-nativen Microservices mit vollständig integrierten Funktionen aufbauen, nicht auf veralteten separaten Cloud-gehosteten Lösungen, um eine echte Cloud-gerechte Leistung und Größenordnung zu gewährleisten. Außerdem ist ein privates Netzwerk auf dem Niveau öffentlicher Anbieter, das für den Zugang optimiert ist und Peering-Beziehungen zu globalen und lokalen Cloud-Service-Providern nutzt, unerlässlich, um weltweite Verfügbarkeit und Leistung zu garantieren. Der resultierende Cloud-Dienst hat nur minimale Auswirkungen auf die Benutzerfreundlichkeit und bietet in einigen Fällen sogar eine beschleunigte Benutzererfahrung.

2. Anwendungen und Cloud-Dienste dekodiert
Die Lösung muss neben dem Webverkehr Tausende von Apps und Cloud-Diensten dekodieren, um Inhalte und Kontext für Daten- und Bedrohungsschutzmaßnahmen zu verstehen. Bei der neuen Sprache handelt es sich um auf JSON basierende APIs für Apps, Cloud-Dienste und Websites. Next Gen Secure Web Gateway müssen Benutzer, Gerät, Standort, App, Risiko, Instanz, Inhalt und Aktivität verstehen, um kontextbezogene Richtlinienkontrollen zu ermöglichen und umfangreiche Metadaten für Analysen, Untersuchungen und maschinelles Lernen zu sammeln.

3. mit neuen Angriffen Schritt hält
Die Lösung darf nicht nur vor bekannten Angriffen schützen, sondern sollte auch in der Lage sein, eine Vielzahl neuer und aufkommender Bedrohungen abzuwehren, darunter Cloud-fähige Bedrohungen wie Cloud-Phishing, die Einschleusung von Schadsoftware über die Cloud und die Fernsteuerung von Systemen. Das erfordert den systematischen Vorteil der Dekodierung von Anwendungen und Cloud-Diensten, um Inhalt und Kontext zu erkennen und fortschrittliche Bedrohungsabwehr- und Datenschutzmaßnahmen ergreifen zu können, sowie maschinelles Lernen.

Cloud-fähige Bedrohungen nutzen vertrauenswürdige Domains mit gültigen Zertifikaten, indem sie entweder ältere Sicherheitsmaßnahmen unerkannt durchlaufen oder auf Zulassungslisten landen, und so diese Sicherheitsmaßnahmen ganz umgehen. In diesen veralteten Umgebungen können Benutzer Daten böswillig oder versehentlich zwischen firmeneigenen und privaten Instanzen verschieben oder Opfer von Phishing werden und so ihre Zugangsdaten preisgeben.

Blog: Die Sicht eines CISOs auf SASE
Blog: Überlegungen zur strategischen Roadmap von Gartner für die SASE-Konvergenz

Was sind die Unterschiede zwischen einem Secure Web Gateway und der Next Gen SWG Security von Netskope?

Das Next Gen SWG vonNetskopeist eine spezifische Implementierung einer SWG-Lösung. Next Gen SWG bezieht sich auf den fortschrittlichen und umfassenden Ansatz von Netskope für sichere Web-Gateways, der mehrere wichtige Funktionen und Fähigkeiten umfasst, die über herkömmliche SWG-Lösungen hinausgehen. Hier sind einige Unterscheidungsfaktoren:

Cloud-native Architektur: NetskopeNext Gen SWG basiert auf einer Cloud-nativen Architektur, die eine nahtlose Integration in Cloud-Dienste ermöglicht und umfassende Transparenz und Kontrolle über den Webverkehr bietet, unabhängig davon, ob auf ihn innerhalb des Unternehmensnetzwerks oder direkt von dort aus zugegriffen wird Wolke.
Granulare Sichtbarkeit und Richtlinienkontrolle: Next Generation SWG bietet detaillierte Einblicke in den Webverkehr, einschließlich Echtzeitüberwachung der Benutzeraktivitäten und der aufgerufenen Inhalte. Es ermöglicht Unternehmen, fein abgestufte Richtlinien basierend auf Benutzern, Gruppen, Standorten, Geräten und Inhaltskategorien zu definieren und durchzusetzen und so ein sicheres und konformes Surferlebnis im Internet zu gewährleisten.
Integrierter Bedrohungsschutz: NetskopeSWG der nächsten Generation kombiniert Webfilterfunktionen mit erweitertem Bedrohungsschutz. Es nutzt Techniken des maschinellen Lernens und der Verhaltensanalyse, um verschiedene Arten webbasierter Bedrohungen wie Malware, Phishing-Angriffe, Datenexfiltrationsversuche und mehr zu identifizieren und zu blockieren.
Data Loss Prevention (DLP): Next Gen SWG verfügt über robuste Funktionen zur Data Loss Prevention, die es Unternehmen ermöglichen, zu verhindern, dass sensible Daten über Webkanäle durchsickern oder exfiltriert werden. Es kann sensible Daten in Echtzeit identifizieren und klassifizieren, Verschlüsselung oder Schwärzung anwenden und Richtlinien durchsetzen, um eine unbefugte Datenweitergabe zu verhindern.
Kontrolle von Cloud-Anwendungen: Mit dem Aufkommen von Cloud-Diensten und Schatten-IT konzentriert sich Next Gen SWG auf die Bereitstellung von Kontrolle und Transparenz über Cloud-Anwendungen und -Dienste, auf die über Webbrowser zugegriffen wird. Damit können Unternehmen Richtlinien definieren, um den Zugriff auf Apps zu verwalten und zu sichern, einschließlich der Möglichkeit, bestimmte Apps zu blockieren, die Benutzerauthentifizierung zu erzwingen und Datenschutzmaßnahmen anzuwenden.

Während ein herkömmlicher SWG-Dienst insgesamt grundlegende Web-Sicherheitsfunktionen bereitstellt, erweitert Netskopes SWG der nächsten Generation diese Funktionen um eine Cloud-native Architektur, granulare Richtlinienkontrolle, integrierten Bedrohungsschutz, Verhinderung von Datenverlust und verbesserte Kontrolle über Cloud-Anwendungen. Ziel ist es, die sich verändernden Sicherheitsherausforderungen zu bewältigen, die durch die Einführung der Cloud, Remote-Arbeitskräfte und die Verbreitung von Cyber-Bedrohungen entstehen.

Welche Rolle spielt das Next Gen SWG in einer von SASE dominierten Zukunft?

Mit den massiven Verlagerungen in die Cloud im Laufe der Pandemie entwickelt sich die SWG-Sicherheitstechnologie zu etwas, das größer ist als sie selbst. In Kombination mit anderen Technologien wie Data Loss Prevention (DLP) und Cloud Access Security Brokers (CASB) ist das Konzept eines Next Gen Secure Web Gateway eine entscheidende Komponente der sogenannten Secure Access Service Edge (SASE)-Architektur.

SASE kombiniert mehrere Sicherheits- und Netzwerktechnologien, um eine umfassende Web- und Cloud-Sicherheit ohne die Probleme herkömmlicher Appliance-basierter Perimetersicherheit wie lange Latenzzeiten und mangelnder Kontext zur Datennutzung zu gewährleisten.

Das bedeutet, dass eine Lösung mit begrenztem Umfang, wie ein Secure Web Gateway, für Unternehmen keine Option mehr ist. Gefragt ist hier ein kombinierter Ansatz mit mehreren Sicherheitslösungen, bekannt als Security Service Edge (SSE), bei dem Next Gen SWGs mit Cloud Access Security Brokern (CASB), Data Loss Prevention (DLP) und Analysen des Benutzerverhaltens (UEBA) auf einer SSE-Plattform zusammenarbeiten. Netskope SSE kombiniert all diese Tools in einer Single-Pass-Architektur, die Risiken reduziert, die Leistung beschleunigt und einen unübertroffenen Einblick in alle Aktivitäten in der Cloud, im Web und in privaten Anwendungen bietet.

Was ist SWG? (Sicheres Web-Gateway)