kras99 - stock.adobe.com

CASB versus SASE: Was ist der Unterschied?

Cloud Access Security Broker und Secure Access Service Edge schließen sich nicht aus. Vielmehr sorgen CASB und SASE gemeinsam für eine bessere Netzwerksicherheit.

In den letzten zehn Jahren haben sich Unternehmen hauptsächlich auf die Verteidigung des Netzwerkperimeters und den Schutz ihrer Anwender innerhalb dieses Perimeters konzentriert. Gleichzeitig war ein VPN auf der Remote-Seite eine wichtige Möglichkeit, sich mit internen Assets zu verbinden. Zudem mussten Remote-Benutzer in den meisten Fällen ihren gesamten Traffic durch die Next-Generation Firewall des Unternehmens schicken, wenn sie im Büro waren. Als sich die Unternehmen auf eine beschleunigte digitale Transformation in die Cloud umstellten, wurde das VPN zu einem Engpass, der sich nicht skalieren ließ.

Im Zuge dieser massiven Verlagerung in Richtung Cloud-Anwendungen und digitale Transformation entstanden Cloud Access Security Broker (CASB). CASBs zielen darauf ab, die Risiken im Zusammenhang mit Cloud Assets zu minimieren, wenn Benutzer innerhalb des Unternehmensperimeters auf diese Assets zugreifen.

Manchmal lassen sich CASBs einfach als eine Sammlung von Technologien oder Funktionen verstehen, die den Zugriff auf Daten erkennen und schützen sollen. Interessanterweise lag bei der Einführung von CASBs der Schwerpunkt auf der Verschlüsselung von Data at Rest und Data in Transit. Im Gegensatz dazu befand sich der Nutzer immer noch innerhalb des Unternehmensperimeters. CASBs boten dem Cloud-Perimeter ein ähnliches Maß an Überprüfung und Sicherheit wie dem lokalen Perimeter.

Viele Unternehmen nutzten die CASB-Funktionen zur Protokollanalyse, um Schatten-IT zu erkennen. Als Nächstes entwickelten CASB-Anbieter ihre Produkte weiter und fügten Data Loss Prevention (DLP), Secure Web Gateway (SWG) und andere Features hinzu.

Cloud und Remote-Arbeit führen zu neuem Netzwerkmodell

Gegen Ende des letzten Jahrzehnts beschleunigte sich die Cloud-Transformation. Im Jahr 2020 löste die COVID-19-Pandemie eine tektonische Verschiebung aus, die Endbenutzer dazu zwang, ihre traditionellen lokalen Netzwerkperimeter in Büroumgebungen zu verlassen und von zu Hause aus zu arbeiten. Diese Realität erforderte ein ausgereifteres Architekturmodell.

Das neue Modell musste die Benutzer davor schützen, auf Cloud-Services und die Assets innerhalb des Unternehmensperimeters zuzugreifen, unabhängig vom physischen Standort der Anwender. Gleichzeitig galt es, die gleichen Netzwerksicherheitsdienste und -kontrollen bereitzustellen. Gartner hat dieses Modell Secure Access Service Edge (SASE, ausgesprochen „sässi“) getauft.

So gesehen sind CASB und SASE nicht unbedingt gegensätzlicher Natur. Vielmehr ist SASE ein natürlicher Entwicklungsprozess von CASB, der zusammen mit anderen Funktionen ein architektonisches Framework entstehen lässt. Das SASE-Sicherheitsmodell ist eine Blaupause für End-to-End-Sicherheit. Es kombiniert Perimetersicherheit mit Cloud-Sicherheit und besitzt strikte Netzwerkzugangskontrollen nach dem Zero-Trust-Konzept, wobei CASB eine Komponente des Modells darstellt.

Wenn wir dieses Modell zugrunde legen und uns ein Diagramm der SASE-Architektur vorstellen, erkennen wir, dass es nicht um CASB versus SASE geht, sondern um CASB innerhalb von SASE.

Die SASE-Architektur umfasst mehrere Netzwerk- und Sicherheitselemente.
Abbildung 1: Die SASE-Architektur umfasst mehrere Netzwerk- und Sicherheitselemente.

Die Funktionen von Cloud Access Security Broker

Die Gemeinsamkeit von CASB und SASE ist das A im Namen, das für Access (Zugriff) steht. Schauen wir uns die verschiedenen Zugriffsarten an und unterscheiden dabei zwischen öffentlich verfügbaren Ressourcen und privaten Ressourcen:

  • Zugriff auf die SaaS-Anwendungen eines Unternehmens, wie Microsoft 365, Salesforce, Code-Repositories oder andere Assets, die in der Cloud laufen, als Service genutzt werden und eine Validierung der Benutzeridentität erfordern können.
  • Zugriff auf IaaS-Ressourcen für Betrieb, Verwaltung und Bereitstellung in Cloud-Umgebungen wie AWS, Google Cloud Platform und Microsoft Azure.
  • Zugriff auf Assets von unternehmenseigenen Data Centern, HR-Systeme und Buchhaltungssoftware, einschließlich Remote Access durch Dritte oder Auftragnehmer.

Eines der Hauptziele von CASB besteht darin, das Risiko eines unbefugten Zugriffs auf in der Cloud gespeicherte Informationen und des Abflusses dieser Daten zu reduzieren. Wir können dies als Risikokontrolle im Vergleich zur reinen Sicherheitskontrolle bezeichnen.

Als CASB entwickelt wurde, gab es drei Ziele: Einerseits sollte Schatten-IT verhindert, Verschlüsselung ermöglicht und das Hochladen vertraulicher Informationen in nicht zugelassene Cloud-Apps unterbunden werden. Andererseits versucht man damit auch, den Zugriff nicht berechtigter Benutzer auf die autorisierte Anwendung zu kontrollieren. Eine weitere CASB-Funktion ist die Identifizierung sensibler Informationen und die Nutzung unternehmensspezifischer Richtlinien, um den Zugriff auf diese Daten zu beschränken, in einigen Fällen unter Verwendung von Verhaltensanalysen der Nutzer und Entitäten.

Die Funktionen von Secure Access Service Edge

Wenn man sich die Vorteile von SASE ansieht, so ist Zero Trust Network Access (ZTNA) eine der wichtigsten Funktionen. Remote-Mitarbeiter nutzen dies, um auf Unternehmensressourcen zuzugreifen. Gleichzeitig werden sie authentifiziert und erhalten Zugriff auf Anwendungsebene, was die Idee der NIST Special Publication 800-207 unterstützt und fördert.

In der Anfangszeit von SASE waren SD-WAN-Geräte (Software-defined WAN) eng mit SWGs gekoppelt. Dies ermöglichte ein schnelles Onboarding für Unternehmen mit mehreren Büros und eine einfachere Art der Kontrolle und Optimierung von ISP-Links (Internet Service Provider).

Im Zuge der Umstellung auf ortsunabhängiges Arbeiten haben viele SWG-Anbieter einen Endbenutzer-Client entwickelt, der auf dem Computer läuft und den Traffic auf sichere Weise zum nächstgelegenen Point of Presence (PoP) des SWG-Anbieters routet. In dieser Konfiguration können die Endanwender unabhängig von ihrem Standort von dem gleichen Sicherheitsniveau profitieren. Die einzige Voraussetzung ist eine Internetverbindung. Wenn die Benutzer ins Büro zurückkehren, müssen sie den Client nicht deaktivieren und erreichen das gleiche Maß an Sicherheit.

SD-WAN-Geräte dienen heute vor allem dazu, Unternehmensstandorte zu verbinden, Server und andere Geräte zu schützen, auf denen der Client nicht installiert werden kann, und Zugriff auf Legacy-Systeme zu ermöglichen, die sich nicht in die Cloud verlagern lassen.

Es ist sinnvoll, SASE-Sicherheitsfunktionen wie CASB, DLP, SWG und ZTNA bei einem Anbieter zu konzentrieren. Diese Anbieter gewährleisten ein effizienteres Traffic Routing, weniger Ausschlüsse, besseres Monitoring und Troubleshooting sowie – was am wichtigsten ist – eine einzige Anlaufstelle für die Erstellung von Sicherheitsrichtlinien. Eine solche Konsolidierung kann die Anzahl der auf Kundengeräten installierten Clients reduzieren. Sie kann zudem das Erstellen von Richtlinien und das Troubleshooting vereinfachen sowie insgesamt bessere Metriken für das Sicherheitsprogramm und Transparenz für das obere Management ermöglichen.

Aus diesem Grund hat Gartner einen neuen Markt definiert, der als Security Service Edge (SSE) bezeichnet wird. SSE fasst alle Sicherheitskomponenten unter einem Dach zusammen und schließt die netzwerkbezogenen Elemente, etwa SD-WAN, aus. SSE und SD-WAN zusammen ergeben das SASE-Modell.

Erfahren Sie mehr über IT-Sicherheits-Management