kentoh - stock.adobe.com

5 Single-Vendor-SASE-Anbieter im Vergleich

SASE ist für Unternehmen äußerst attraktiv, da es Sicherheit und Konnektivität kombiniert. Angesichts der vielen Anbieteroptionen helfen wir Ihnen, die Suche einzugrenzen.

Die Zeiten, als ein fester Perimeter ausreichte, um IT-Assets zu schützen, sind längst vorbei. Unternehmen entwickeln sich von einer zentralisierten, geschlossenen Infrastruktur zu einer hochgradig verteilten und virtualisierten Organisation. Somit sind herkömmliche Methoden für das Management und den Schutz von Unternehmensressourcen unzureichend.

Im Laufe der letzten zehn Jahre hat sich die Cloud zum vorherrschenden Technologiemodell entwickelt, während Betriebsumgebungen zunehmend komplexer geworden sind und sich immer schwieriger verwalten lassen. Der Trend zu Hybrid-Cloud- und Multi-Cloud-Betriebsumgebungen hat dazu geführt, dass sich Sicherheits- und Netzwerkexperten Gedanken darüber machen, wie sie die Kommunikation schützen können.

Sicherheit muss ein integraler Bestandteil der Konnektivität sein. Unternehmen benötigen einen Ansatz, der diesen Punkt berücksichtigt, wodurch zunächst die Zero-Trust-Architektur entstand. Dieses mehrschichtige Sicherheits-Framework basiert auf dem Prinzip, dass Vertrauen nicht automatisch vorhanden ist. Die Zero-Trust-Architektur authentifiziert und autorisiert jede Entität, bevor diese auf IT-Ressourcen zugreifen darf.

Secure Access Service Edge (SASE) lehnt sich an die Zero-Trust-Konzepte an und wendet sie sowohl auf Sicherheits- als auch auf Netzwerkdienste an. SASE hat sich schnell als vielversprechende neue Technologie für die Netzwerksicherheit etabliert.

Kundenkriterien für Single-Vendor-SASE

Die SASE-Architektur bietet einen Cloud-basierten Service, der Endpunkte im Unternehmen über das Netzwerk verbindet und schützt. Es handelt sich um einen breit angelegten Ansatz für eine sichere Kommunikation. Da es jedoch kein standardisiertes SASE-Modell gab, verfolgte jeder SASE-Anbieter einen anderen Ansatz für diese Technologie.

Einige Kunden entscheiden sich für Multivendor-SASE, bei dem Networking- und Sicherheitsfunktionen von mehreren Anbietern integriert werden. Im Gegensatz dazu ist Single-Vendor-SASE als einzelnes Produkt erhältlich oder kombiniert mehrere Produkte aus dem Portfolio eines Anbieters, um eine SASE-Architektur aufzubauen. Die meisten Kunden bevorzugen Single-Vendor-SASE.

Unternehmen erwarten von einem Single-Vendor-SASE-Angebot unter anderem die folgenden Kernfunktionen:

  • SDN-Architektur (Software-defined Networking) mit virtualisierten Sicherheitskontrollen, um Transaktionen von Endbenutzern und Softwareanwendungen zu schützen.
  • Secure Web Gateways, die entweder On-Premises oder per Cloud bereitgestellt werden. Secure Web Gateways filtern den Internet-Traffic und wenden Unternehmensrichtlinien an.
  • Cloud Access Security Broker (CASB) für Cloud-basierte Dienste, die die Kommunikation zwischen Endnutzern und Cloud-Anwendungen überwachen und schützen.
  • Firewall as a Service (FWaaS) zur Bereitstellung von NGFW-Kontrollen (Next-Generation Firewalls). Zu den Kontrollen gehören Advanced Threat Protection, Intrusion Prevention und Domain Name Security.
  • Zero Trust Network Access (ZTNA), um einen Software-defined Perimeter (SDP) aufzubauen, der eine sichere Konnektivität zwischen Remote-Nutzern und internen Anwendungen unterstützt.
  • Zentrales Konnektivitätsmanagement und Sicherheitselemente, die für eine effektive SASE-Bereitstellung entscheidend sind.

Potenzielle Kunden sollten ihre Kriterien festlegen und die beste SASE-Architektur für ihre Bedürfnisse ermitteln. Unternehmen müssen über die Mindestanforderungen an die Sicherheit hinausgehen und auf fortschrittlichere Sicherheitsfunktionen achten. Dazu gehört beispielsweise die Analyse von Benutzer- und Entitätsverhalten, die automatisch riskante Aktivitäten erkennt und darauf reagiert.

Sicherheits- und Netzwerkexperten sollten zudem die SASE-Architektur des Anbieters berücksichtigen. Die folgenden Fragen sind für Unternehmen hilfreich, um die richtige Architektur zu bestimmen:

  • Verfügt der Anbieter über einen eigenen privaten Backbone, oder kann er auf ein sicheres Third-Party-Netzwerk zugreifen, um die Kommunikation zu schützen und eine niedrige Latenz zu gewährleisten?
  • Bietet die Lösung ein zentrales Management?
  • Ist das Preismodell des Anbieters transparent mit überschaubaren Kosten?

Auf Grundlage der essenziellen Kriterien kristallisieren sich einige Single-Vendor-SASE-Optionen als besonders geeignet heraus. Diese Provider sind eine Kombination aus netzwerk- und sicherheitsorientierten Anbietern. Die strikte Trennung zwischen Networking und Sicherheit verschwimmt ohnehin zunehmend, da integrierte Sicherheit für viele Anbieter zu einem entscheidenden Unterscheidungsmerkmal wird.

Die folgenden SASE-Anbieter wurden aufgrund ihres Marktanteils und ihrer Single-Vendor-SASE-Funktionen, etwa softwaredefinierten Architektur, Sicherheitsfunktionalität und zentrale Verwaltung, ausgewählt. Benutzerbewertungen und Analystenberichte fanden ebenfalls Berücksichtigung.

Die Anbieter sind alphabetisch aufgeführt – es handelt sich somit nicht um eine Rangliste.

Cisco Secure Connect und Cisco Secure Access

Cisco Secure Connect ist ein Cloud-basierter Managed Service, der als primäre SASE-Option von Cisco fungiert. Ein weiteres Cisco-Produkt ist Cisco Secure Access, das sich mehr auf Zero Trust und Self-managed Security Service Edge (SSE) konzentriert.

Cisco Secure Connect optimiert Netzwerksicherheit und -management in Campus-, Zweigstellen-, öffentlichen und Cloud-Umgebungen. Es kann bis zu 5.000 Standorte verbinden und 50.000 Benutzer unterstützen. IT-Administratoren können das Cloud-basierte Portal nutzen, um Aktivitäten zu verfolgen und Ressourcen zu verwalten. Über diese Schnittstelle können sie gleichzeitig mehrere SD-WAN-Netzwerke von Cisco Meraki einrichten.

Cisco wirbt für seine Cloud-Sicherheits- und nativen SD-WAN-Funktionen mit der Option, SD-WAN-Richtlinien von Cisco Meraki sowohl für Secure Connect als auch für Secure Access zu importieren. Darüber hinaus können Kunden das Cisco Umbrella Secure Internet Gateway verwenden, um eine sichere Internetkonnektivität für Zweigstellen und Remote-Endbenutzer bereitzustellen. Nutzer in Zweigstellen erhalten per Cisco Secure Interconnect sicheren Zugriff auf interne Anwendungen. IT-Mitarbeiter können Richtlinien für Zweigstellen und Remote-Benutzer über die einheitliche, in der Cloud bereitgestellte Firewall anwenden. Über die Secure-Connect-Konsole lassen sich außerdem Remote-Zugriffsberichte und Analyseprotokolle exportieren.

Die Cisco-Umbrella-Cloud-Architektur betreibt Peering mit über 1.000 Cloud-Anbietern, um die Latenz zu reduzieren und die Konnektivität zwischen Kunden und Cloud-Diensten zu verbessern. Cisco verfügt über keinen eigenen privaten Backbone. Infolgedessen müssen die Kunden entweder auf öffentliche Backbone-Ressourcen ausweichen oder private Verbindungen einrichten.

Cisco ist traditionell als Netzwerkspezialist bekannt. Das Unternehmen investiert jedoch in den Sicherheitsbereich, vor allem durch Übernahmen.

Fortinet FortiSASE

Fortinet bietet sein Cloud-basiertes FortiSASE mit KI-gestützten Sicherheitsdiensten über FortiGuard an. Aufgrund der langjährigen Erfahrung von Fortinet als Anbieter von Netzwerksicherheitslösungen hebt sich sein Sicherheitsservice von der Konkurrenz ab.

FortiSASE beinhaltet ein Secure Web Gateway, ZTNA, CASB, FWaaS und Data Loss Prevention (DLP). Fortinet stellt SD-WAN-Konnektivität via Cloud bereit. Der Anbieter verspricht eine Uptime von 99,999 Prozent inklusive einer garantierten Latenz für Sicherheitsprüfungen.

Fortinet unterhält weltweit Hunderte von Sicherheits-PoPs (Points of Presence) und erweitert seine Netzwerkpräsenz durch eine Partnerschaft mit Google Cloud, um seine Reichweite zu vergrößern. FortiSASE arbeitet mit einem nutzerbasierten Preismodell, das eine Mindestanzahl von 50 Lizenzen vorsieht.

Netskope SASE

Wie bei anderen SASE-Anbietern besteht eines der Hauptziele von Netskope darin, traditionelle Sicherheitsinfrastrukturen zu beseitigen. Netskope kombiniert seine Produkte Intelligent SSE und Borderless SD-WAN zu einer umfangreichen SASE-Plattform. Sie integriert alle Infrastrukturelemente gemeinsam, anstatt mehrere unterschiedliche Produkte zu verwenden. IT-Administratoren können die Umgebung über ein konsolidiertes Dashboard kontrollieren und verwalten.

Netskope stellt SASE direkt für Kunden bereit und vertreibt es über Managed Service Provider (MSP). Erweiterte Threat-Intelligence-Funktionen finden sich in Netskopes Secure Web Gateway, CASB, ZTNA und FWaaS. Außerdem schützt die Lösung den Zugriff auf Websites, Cloud-Services und interne Anwendungen von jedem Gerät aus. Netskope SASE setzt auf eine Zero-Trust Engine für die Erfassung von Telemetriedaten, um das Benutzerverhalten sowie Geräte-, Anwendungs- und Datenrisiken zu bewerten.

Netskope betreibt außerdem NewEdge, eine private Sicherheits-Cloud mit einer PoP-Präsenz in mehr als 70 Regionen. Das Unternehmen wirbt mit ultraschnellen End-to-End-Round-Trip-Zeiten für Cloud- und Web-Traffic-Transaktionen.

Palo Alto Networks Prisma SASE

Das Cloud-basierte und für die Cloud entwickelte Prisma SASE verfügt über ein SASE-natives Autonomous Digital Experience Management (ADEM). ADEM überwacht Leistung und Sicherheit aus der Perspektive des Endbenutzers und integriert AIOps direkt in SASE. KI-basiertes Troubleshooting und Predictive Analytics helfen, schwierige Prozesse zu automatisieren, die normalerweise menschliches Eingreifen erfordern. Die Automatisierung senkt die Mean Time To Resolution.

IT-Administratoren können über eine zentrale Konsole eine ganzheitliche Beobachtung erreichen und erhalten dadurch einen konsolidierten Überblick über die Sicherheit und Performance der gesamten Umgebung. Dies schließt Remote- und Zweigstellennutzer, Netzwerkanwendungen und die IT-Infrastruktur ein. Die Schnittstelle bietet auch eine auf Machine Learning basierende Anomalieerkennung und eine automatische Ereigniskorrelation. Prisma SASE kann eine Root-Cause-Analyse durchführen und Remediation-Maßnahmen automatisieren. Die Analyzer-Abfrageschnittstelle des Dashboards automatisiert die domänenübergreifende Ereignisuntersuchung. IT-Administratoren können dies auch für Predictive Capacity Planning (prädiktive Kapazitätsplanung) nutzen.

Prisma SASE bietet über Prisma SD-WAN Sicherheit für Zweigstellen. Palo Alto Networks ist ein traditionell sicherheitsorientierter Anbieter und erwarb die SD-WAN-Lösung durch die Übernahme von CloudGenix im Jahr 2020. Palo Alto Networks verfügt über keinen privaten Backbone, so dass Kunden einen öffentlichen Backbone für die Site-to-Site-Konnektivität nutzen müssen. Abhängig von den Zugriffs- und Sicherheitsanforderungen der Kunden sind verschiedene Lizenzierungsoptionen verfügbar.

Zscaler Zero Trust SASE

Wie Palo Alto bei Prisma SASE setzt auch Zscaler bei Zero Trust SASE auf eine Cloud-native Architektur. Zscaler wirbt damit, dass sein SASE-Angebot das erste ist, das Zero-Trust-Prinzipien für die Benutzerauthentifizierung verwendet. Nur autorisierte Benutzer und Entitäten haben Zugriff auf die Ressourcen, für die sie berechtigt sind. Das Angebot nutzt das Zero-Trust-Exchange-Netzwerk von Zscaler, um Benutzern und IoT/OT-Geräten Anwendungszugriff zu gewähren, ohne geroutete Overlays zu verwenden.

Zscaler verspricht eine nahtlose Endbenutzererfahrung und ein unkompliziertes Management. Zero Trust SASE wurde auf einer KI-Proxy-basierten Architektur entwickelt, die in der Lage ist, anspruchsvolle Threat-Protection- und DLP-Anforderungen umfassend zu erfüllen. Das Angebot von Zscaler enthält umfangreiche Cybersecurity-Funktionen, wie Threat Protection durch Secure Web Gateway, FWaaS, DNS-Sicherheit, Sandbox- und Browser-Isolierung, sowie Datenschutz per CASB und DLP.

Zscaler betreibt Peering mit allen wichtigen Anwendungs- und Service-Providern. Dank 150 weltweiter PoPs, die sich in der Nähe großer Internetknotenpunkte befinden, führt Zscaler schnell Sicherheitsservices und -analysen durch.

Erfahren Sie mehr über Netzwerksicherheit