Jetzt abonnieren, um Benachrichtigungen über neue Beiträge zu erhalten:

Die erste Zero Trust-SIM

2022-09-26

Lesezeit: 6 Min.
Dieser Beitrag ist auch auf English, Français, 日本語, Español, und 简体中文 verfügbar.

Das einfache Mobiltelefon ist heute ein wichtiges Hilfsmittel am modernen Arbeitsplatz. Dies gilt umso mehr, als sich der moderne Arbeitsplatz aus dem Büro heraus verlagert hat. In Anbetracht der Milliarden mobiler Geräte in aller Welt – sie übertreffen die Zahl der PCs um ein Vielfaches – sollte es nicht überraschen, dass sie zum bevorzugten Bedrohungsvektor für diejenigen geworden sind, die versuchen, die Abwehrmechanismen der Unternehmen auszuhebeln.

The first Zero Trust SIM

Was die Abwehr solcher Angriffe problematisch macht, ist dass mobile Geräte für die meisten Zero Trust-Lösungen oft zweitrangig sind. Diese Lösungen sind in der Regel schwer zu installieren und zu verwalten. Zudem funktionieren sie nur auf der Softwareebene, wie z.B. bei WARP, den mobilen (und Desktop-) Apps, die Geräte direkt mit unserem Zero Trust-Netzwerk verbinden. Zusätzliche Komplikationen ergeben sich durch den Trend zum „Bring Your Own Device“ (BYOD; immer mehr Mitarbeiter verwenden ihre eigenen Geräte). Eigentlich versucht man also, Zero Trust auf einem Gerät zu implementieren, das dem Unternehmen gar nicht gehört.

Es ist ein kniffliges – und zunehmend kritisches – Problem, das gelöst werden muss. Doch auch mit diesem Problem können wir Ihnen helfen.

Wie wäre es, wenn Arbeitgeber ihren Mitarbeitern ein Angebot machen könnten: Wir übernehmen Ihre monatlichen Datenkosten, wenn Sie sich bereit erklären, Ihren arbeitsbezogenen Traffic über ein Netzwerk zu leiten, in das der Zero Trust-Schutz bereits integriert ist? Und das Beste daran ist, dass es sich ganz einfach installieren lässt. Um das Angebot zu nützen, muss der Mitarbeiter lediglich mit der Kamera seines Smartphones einen QR-Code scannen, der in die Einführungsunterlagen eingebettet werden kann.

Nun, wir möchten Ihnen die Cloudflare SIM vorstellen: die weltweit erste Zero Trust-SIM.

Wie bei Cloudflare üblich, sind wir der Meinung, dass die Kombination der Software- und der Netzwerkebene zu mehr Sicherheit, Performance und Zuverlässigkeit führt. Indem wir auf ein grundlegendes Stück Technologie abzielen, das jedem mobilen Gerät zugrunde liegt – die (nicht ganz so) simple SIM-Karte — wollen wir der mobilen Welt ein noch nie dagewesenes Maß an Sicherheit (und Performance) bieten.

Die Bedrohung ist zunehmend mobil

Es gibt ganz klare Belege dafür, dass das Mobiltelefon der neue Bedrohungsvektor ist. Letzten Monat war Cloudflare eines von 130 Unternehmen, die von einem raffinierten Phishing-Angriff betroffen waren. Das Mobiltelefon war der Eckpfeiler des Angriffs – die Mitarbeiter wurden zunächst per SMS erreicht, und der Angriff stützte sich stark auf kompromittierte 2FA-SMS-Codes.

Soweit uns bekannt ist, waren wir das einzige Unternehmen, das nicht kompromittiert wurde.

Das lag zum großen Teil daran, dass wir fortlaufend eine mehrschichtige Zero-Trust-Abwehr forcieren. Der Einsatz von Mobilgeräten prägt die Arbeitsweise von Unternehmen heutzutage grundlegend. Deshalb haben wir hart daran gearbeitet, die Zero Trust-Abwehr in diesem Bereich weiter zu stärken. Und so sehen wir die Zero Trust-SIM: eine weitere Abwehrschicht auf einer anderen Ebene des Stacks, die denjenigen, die versuchen, in Ihr Unternehmen einzudringen, das Leben noch schwerer macht. Mit der Zero Trust-SIM erhalten Sie die folgenden Vorteile:

  • Verhindern, dass Mitarbeiter Phishing- und Malware-Seiten besuchen: DNS-Anfragen, die das Gerät verlassen, können automatisch und implizit Cloudflare Gateway für die DNS-Filterung verwenden.

  • Abwehr gängiger SIM-Angriffe: Ein auf eSIMs-fokussierter Ansatz ermöglicht es uns, SIM-Swapping- oder Cloning-Angriffe zu verhindern und durch die Koppelung von SIMs an einzelne Mitarbeitergeräte den gleichen Schutz für physische SIMs zu gewährleisten.

  • Ermöglichen Sie eine sichere, identitätsbasierte private Konnektivität zu Cloud-Diensten, On-Premise-Infrastrukturen und sogar anderen Geräten (z. B. IoT-Geräteflotten) über Magic WAN. Jede SIM-Karte kann fest an einen bestimmten Mitarbeiter gekoppelt werden und als Identitätssignal in Verbindung mit anderen bereits von WARP unterstützten Signalen zur Gerätehaltung behandelt werden.

Durch die Integration der Sicherheitsfunktionen von Cloudflare auf SIM-Ebene können Teams ihre Fülle an Mobilgeräten besser schützen, insbesondere in einer Welt, in der BYOD die Norm und nicht mehr die Ausnahme ist.

Zero Trust funktioniert besser, wenn es sich um Software + On-Ramps handelt.

Neben all den Sicherheitsvorteilen, die sich für Mobilgeräte ergeben, verwandelt die Zero Trust-SIM das Mobiltelefon zu einer weiteren Säule der Cloudflare One-Plattform.

Cloudflare One bietet eine einzige, einheitliche Kontrollebene, die es Unternehmen ermöglicht, Sicherheitskontrollen auf den gesamten Datenverkehr anzuwenden, der in ihre Netzwerke, Geräte und Infrastruktur ein- und ausgeht. Das Gleiche gilt für die Protokollierung: Sie wünschen sich einen Ort, an dem Sie Ihre Protokolle abrufen können, und einen Ort für alle Ihre Sicherheitsanalysen. Mit der Cloudflare SIM werden Mobilgeräte jetzt als bloß eine weitere Möglichkeit behandelt, wie der Datenverkehr in Ihrem Unternehmensnetzwerk weitergeleitet wird.

Die Möglichkeit der Ausführung auf der On-Ramp anstatt auf der Softwareebene hat einen weiteren großen Vorteil — dies bietet die Flexibilität, dass Geräte in der Zukunft auch Services erreichen können, die nicht im Internet liegen, darunter Cloud-Infrastrukturen, Rechenzentren und Zweigstellen, die mit Magic WAN, unserer Network-as-a-Service-Plattform, verbunden sind. Unter der Haube verwenden wir dieselben Software-Networking-Grundlagen, die unsere Kunden zum Aufbau der Konnektivitätsschicht verwenden, die hinter der Zero Trust-SIM steht. Dadurch können wir auch neue Funktionen wie Geneve, ein neues Netzwerk-Tunneling-Protokoll, unterstützen und weitere Möglichkeiten schaffen, wie Kunden ihre Infrastruktur mit Cloudflare One verbinden können.

Wir verfolgen Bemühungen wie IoT SAFE (und parallele, nicht IoT-Standards), die es ermöglichen, SIM-Karten als Root-of-Trust zu verwenden. Dies wird eine stärkere Verbindung zwischen der Zero Trust-SIM, der Identität des Mitarbeiters und dem potenziellen Einsatz als vertrauenswürdiger Hardware-Token ermöglichen.

Implementieren Sie Zero Trust sofort (und ganz einfach) auf Ihrem Mobilgerät

Natürlich verspricht jeder Anbieter von Zero Trust-Lösungen, dass Mobilgeräte geschützt werden. Aber gerade bei BYOD kann es schwierig sein, die Geräte der Mitarbeiter in die ZT-Lösung zu integrieren. Um ein Gerät einzubinden, müssen Sie die Einstellungs-App Ihres Mobilgerätes genau unter die Lupe nehmen: Profile akzeptieren, Zertifikaten vertrauen und (in den meisten Fällen) ist eine ausgereifte MDM-Lösung (Mobile Device Management) erforderlich.

Ihre Installation ist äußerst mühsam.

Nun, wir plädieren nicht dafür, die Client-Software auf dem Telefon zu eliminieren, genauso wenig wie wir dies am PC für sinnvoll hielten. Besser man hat mehr Abwehrschichten als weniger. Und es ist nach wie vor notwendig, Wi-Fi-Verbindungen, die über das Telefon hergestellt werden, zu sichern. Ein großer Vorteil ist jedoch, dass die Mitarbeiter mit der Cloudflare SIM sofort für den gesamten mobilen Datenverkehr hinter der Zero Trust-Plattform von Cloudflare geschützt werden.

Wir wollten aber nicht nur die Installation auf dem Gerät vereinfachen. Wir wollen auch die IT-Supply-Chain der Unternehmen vereinfachen.

Eine der traditionellen Herausforderungen bei SIM-Karten ist, dass sie bis vor kurzem eine physische Karte waren. Eine Karte, die Sie an Ihre Mitarbeiter verschicken müssen (heutzutage ein Risiko in der Supply Chain), die verloren gehen oder gestohlen werden und dennoch ausfallen kann. Mit einer verteilten Belegschaft wird all dies noch schwieriger. Wir wissen, dass Sicherheit zwar von entscheidender Bedeutung ist, dass aber Sicherheit, die schwer zu implementieren ist, oft willkürlich, ad hoc und oft überhaupt nicht implementiert wird.

Aber seit einigen Jahren verfügt fast jedes moderne Telefon, das verkauft wird, über eine eSIM – oder genauer gesagt, eine eUICC (Embedded Universal Integrated Circuit Card) — die dynamisch umprogrammiert werden kann. Dies ist ein großer Fortschritt, und zwar aus zwei wichtigen Gründen:

  1. Sie vermeiden alle logistischen Probleme, die eine physische SIM-Karte mit sich bringt (Versand, Risiken in der Supply Chain, Nutzer, die sie installieren müssen).

  2. Sie können sie automatisch bereitstellen, entweder über QR-Codes, Mobile Device Management (MDM)-Features, die heute in mobile Geräte integriert sind, oder über eine App (z.B. unsere WARP Mobile App).

Wir prüfen auch die Einführung physischer SIMs (wie die oben genannten): Obwohl wir glauben, dass eSIMs die Zukunft sind, insbesondere angesichts ihrer Vorteile hinsichtlich Implementierung und Sicherheit, ist uns klar, dass die Zukunft nicht immer gleichmäßig verteilt ist. Wir werden sicherstellen, dass die physischen SIM-Karten, die wir ausliefern, so sicher wie möglich sind, und wir werden in den kommenden Monaten mehr über die Funktionsweise dieser Technologie berichten.

Datenschutz und Transparenz für Mitarbeiter

Natürlich verwenden die Mitarbeiter für die Arbeit immer mehr ihre eigenen Geräte. Und während Arbeitgeber sicherstellen wollen, dass ihre Unternehmensressourcen sicher sind, haben auch die Mitarbeiter Bedenken hinsichtlich der Privatsphäre, wenn Arbeit und Privatleben auf demselben Gerät vermischt werden. Sie wollen nicht, dass Ihr Chef weiß, dass Sie auf Tinder aktiv sind.

Wir wollen das Thema mit Bedacht angehen, und zwar aus dem Blickwinkel beider Seiten. Wir haben im Rahmen von Cloudflare One eine ausgeklügelte Protokollierung eingerichtet, die auf die Cloudflare SIM ausgeweitet wird. Heute kann Cloudflare One explizit so konfiguriert werden, dass nur die Ressourcen protokolliert werden, die es blockiert – also die Bedrohungen, vor denen es die Mitarbeiter schützt – ohne jede darüber hinaus besuchte Domain zu protokollieren. Wir arbeiten daran, dies sowohl für Arbeitgeber als auch für Arbeitnehmer so offensichtlich und transparent wie möglich zu machen, so dass –ganz im Sinne von Cloudflare – die Sicherheit nicht zu Lasten der Privatsphäre gehen muss.

Was kommt als Nächstes?

Wie jedes Produkt bei Cloudflare testen wir auch dieses zuerst an uns selbst (oder „Dogfooding“, falls Sie mit diesem Begriff vertraut sind). Wir erbringen Dienstleistungen für mehr als 30 % der Fortune-1000-Unternehmen. So beobachten wir immer wieder oder werden selbst zum Ziel von zunehmend raffinierten Cybersicherheitsangriffen. Wir sind davon überzeugt, dass die Einführung des Dienstes in unserem eigenen Unternehmen ein ganz wichtiger Schritt ist. Nur so können wir sicherzustellen, dass die Zero Trust-SIM sowohl sicher als auch so einfach wie möglich für Tausende von Mitarbeitern eingesetzt und verwaltet werden kann.

Die Zero Trust-SIM kann auch im Internet of Things verwendet werden: Fast jedes heutzutage ausgelieferte Fahrzeug benötigt eine Mobilfunkverbindung, immer mehr Zahlungsterminals sind mit einer SIM-Karte ausgestattet wie auch eine wachsende Zahl von Industriegeräten in Produktion und Logistik. Die Sicherheit von IoT-Geräten wird immer stärker geprüft. Wenn Sie sicherstellen, dass sich ein Gerät nur über eine sichere Verbindung einwählen kann – geschützt durch die Zero Trust-Funktionen von Cloudflare – können Sie direkt verhindern, dass Geräte Teil des nächsten großen DDoS-Botnetzes werden.

Wir werden die Zero Trust SIM-Karte auf regionaler Basis an unsere Kunden ausrollen, während wir unsere regionale Konnektivität auf der ganzen Welt ausbauen (wenn Sie ein Betreiber sind: kontaktieren Sie uns). Wir würden besonders gerne mit Unternehmen sprechen, die noch keine Lösung für mobile Geräte haben oder die bei der Lösungsimplementierung mit Problemen kämpfen. Wenn Sie interessiert sind, dann melden Sie sich hier an.

Wir schützen komplette Firmennetzwerke, helfen Kunden dabei, Internetanwendungen effizient zu erstellen, jede Website oder Internetanwendung zu beschleunigen, DDoS-Angriffe abzuwehren, Hacker in Schach zu halten, und unterstützen Sie bei Ihrer Umstellung auf Zero Trust.

Greifen Sie von einem beliebigen Gerät auf 1.1.1.1 zu und nutzen Sie unsere kostenlose App, die Ihr Internet schneller und sicherer macht.

Wenn Sie mehr über unsere Mission, das Internet besser zu machen, erfahren möchten, beginnen Sie hier. Sie möchten sich beruflich neu orientieren? Dann werfen Sie doch einen Blick auf unsere offenen Stellen.
Birthday Week (DE)Zero TrustSIM (DE)Produkt-NewsConnectivity (DE)Mobile (DE)

Folgen auf X

Matt Silverlock|@elithrar
Cloudflare|@cloudflare

Verwandte Beiträge

24. Oktober 2024 um 13:00

Durable Objects aren't just durable, they're fast: a 10x speedup for Cloudflare Queues

Learn how we built Cloudflare Queues using our own Developer Platform and how it evolved to a geographically-distributed, horizontally-scalable architecture built on Durable Objects. Our new architecture supports over 10x more throughput and over 3x lower latency compared to the previous version....

23. Oktober 2024 um 13:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...