Getty Images/iStockphoto
Was bringen die neuen MEF-Standards für Zero Trust und SASE?
Das MEF hat neue Standards für Zero Trust und SASE veröffentlicht. Standardisierungen können bei der Interoperabilität helfen, aber müssen Anbieter ihnen auch folgen?
Technologiestandards legen fest, wie Anbieter und Service-Provider ihren Kunden Plattformen zur Verfügung stellen. Nehmen Sie zum Beispiel Secure Access Service Edge (SASE). SASE vereint Software-defined-WAN-, Networking- und Sicherheitsfunktionen in einer einzigen Plattform, die eine sichere Remote-Netzwerkkonnektivität unterstützen kann.
Secure Remote Access war während des Höhepunkts der COVID-19-Pandemie eine zentrale Voraussetzung und bleibt eine wichtige Unternehmensanforderung. Selbst wenn 35 Prozent der Beschäftigten wieder Vollzeit im Büro arbeiten, greifen 65 Prozent immer noch hybrid oder vollständig remote zu. Zu diesem Ergebnis kommt eine Studie von Future Forum Pulse vom April 2022, die auf einer Umfrage unter 10.818 Anwendern basiert. Viele Unternehmen nutzen SASE- und Zero-Trust-Initiativen, um diese Nutzer anzubinden.
Experten gehen davon aus, dass der SASE-Markt bis 2026 auf 13 Milliarden US-Dollar (circa 12,3 Milliarden Euro) wachsen wird, wie die Dell'Oro Group berichtet. Allerdings gibt es auf dem Markt viele unterschiedliche Definitionen und Lösungen. Angesichts der vielen Optionen von verschiedenen Anbietern hat der Industrieverband MEF unlängst MEF 117 angekündigt, den ersten SASE-Standard, um die Angebote der SASE-Provider zu vereinheitlichen. Zusammen mit dem SASE-Standard hat das MEF auch MEF 118 vorgestellt, seinen neuen Standard für Zero-Trust-Frameworks.
Die Veröffentlichung des SASE-Standards zeigt, wie wichtig SASE im Networking-Bereich wird, da die Unternehmen es immer mehr einsetzen, sagt Bob Laliberte, Senior Networking Analyst bei der Enterprise Strategy Group (ESG), einem Geschäftsbereich von TechTarget.
„Ein Fachverband, der sich die Zeit nimmt, Standards und gemeinsame Definitionen zu erarbeiten, drückt damit aus, dass SASE auf Dauer Bestand haben wird“, so Laliberte. „Das ist ein gutes Zeichen für die gesamte Industrie.“
Die Veröffentlichung des neuen MEF-SASE-Standards könnte ein positives Zeichen dafür sein, dass Unternehmen SASE auch in Zukunft nutzen werden. Das bedeutet jedoch nicht, dass die SASE-Anbieter und -Service-Provider sich darauf vorbereiten, den neuen MEF-Spezifikationen zu folgen – zumindest nicht in nächster Zeit.
Unklarheiten bei SASE führen zur Veröffentlichung neuer Standards
Als größte Probleme, mit denen sich SASE-Anbieter derzeit konfrontiert sehen, nennt das MEF minimale Kundenaufklärung und einen Mangel an festgelegten Standards. Der Verband hat diese Standards herausgegeben, um das Bewusstsein der Kunden für SASE-Architekturen zu fördern.
Das MEF hat in einer Stellungnahme erklärt, dass sein SASE-Standard Folgendes definiert:
- was ein SASE-Standard ist
- die wichtigste Terminologie im Zusammenhang mit SASE
- SASE-Serviceattribute, zum Beispiel Sicherheitsfunktionen, Konnektivitätsoptionen und Richtlinien
MEF 117: Der SASE-Standard
Im Dezember 2021 gaben fast 80 Prozent der von der Enterprise Strategy Group befragten 613 Personen an, dass ihr Unternehmen SASE bereits implementiert habe oder aktiv plane, SASE innerhalb der nächsten zwei Jahre zu implementieren. Trotz des wachsenden Interesses an SASE und der prognostizierten Zunahme bis 2024 herrscht nach wie vor Verwirrung darüber, wie man eine SASE-Architektur implementiert, so John Grady, Senior Security Analyst bei der Enterprise Strategy Group.
„Viele Nutzer wissen nicht, wo sie anfangen sollen“, sagt Grady. „Es kann schwierig sein, die Angebote der verschiedenen Anbieter zu vergleichen und voneinander abzugrenzen, weil sie so unterschiedlich sind. SASE ist eine derart breit angelegte Initiative, dass man sich auf Anwendungsfälle konzentrieren muss, die unterschiedliche Technologien erfordern.“
Die Verwendung unterschiedlicher Technologien trägt ebenfalls zur Verwirrung bei. Unternehmen nutzen in der Regel mehrere Dienste von verschiedenen Anbietern, um ihre SASE-Angebote zu ergänzen. Das MEF gibt an, dass es ohne definierte Standards für Unternehmen schwierig sei, eine Multivendor-Interoperabilität zu ermöglichen. Da SASE so breit gefächert ist, kann es auch für Netzwerk- und Sicherheitsfachleute eine Herausforderung sein, zu verstehen, wie sich eine SASE-Architektur optimal betreiben lässt.
„Wann immer es etwas Neues gibt, herrscht Verwirrung“, erklärt Laliberte. „Jeder versucht zu definieren, was SASE bedeutet. Ist es rein Cloud-basiert? Kann man es auch hybrid nutzen und einige Dinge On-Premises betreiben? Muss alles von einem einzigen Anbieter stammen? Kann es von mehreren Anbietern bereitgestellt werden, und muss es vollständig integriert sein?“
Einige Experten vertreten die Ansicht, dass Unternehmen bei den SASE-Deployment-Optionen einen einheitlichen SASE-Ansatz bevorzugen sollten. Mehrere Anbieter haben Single-Vendor-SASE-Dienste vorgestellt. Obwohl die Entwicklung einer einheitlichen SASE-Architektur immer schneller voranschreitet, ist ihr Marktanteil noch gering.
Nur wenige Unternehmen nutzen laut Laliberte Single-Vendor-SASE-Services. Selbst wenn einheitlichere SASE-Lösungen auf den Markt kommen, werden die Unternehmen wahrscheinlich weiterhin ihre bestehenden Plattformen verwenden.
MEF 118: Der Standard für Zero-Trust-Frameworks
Als das MEF seinen SASE-Standard ankündigte, veröffentlichte die Organisation auch MEF 118, ihren Zero-Trust-Standard. Ähnlich wie der SASE-Standard definiert auch der Zero-Trust-Standard des MEF klar, was Zero-Trust-Frameworks sind und welche Anforderungen und Serviceattribute sie erfüllen müssen.
Die Veröffentlichung eines Zero-Trust-Standards zusammen mit einem SASE-Standard ist zwar nicht vollkommen neu, weist aber, so Grady, auf eine enge Verbindung zwischen den beiden Technologien hin. Studien der Enterprise Strategy Group zufolge nutzen Unternehmen Zero Trust, um die SASE-Bereitstellung zu erleichtern. Beispielsweise ergab eine Untersuchung der Enterprise Strategy Group vom April 2022, dass 45 Prozent der 589 Befragten es in Betracht ziehen, Zero Trust Network Access (ZTNA) als Ausgangspunkt für den Aufbau einer SASE-Architektur zu implementieren.
Unternehmen, die ZTNA bereits eingeführt haben, werden die Plattform wahrscheinlich nicht vollständig ersetzen, um einen einheitlichen SASE-Service bereitzustellen, sondern stattdessen ZTNA zur Implementierung von SASE nutzen. Wenn Unternehmen diese Technologien gemeinsam einsetzen, können laut Laliberte Standards dazu beitragen, einige der Unklarheiten im Zusammenhang mit der Netzwerkumgebung, Zero Trust und SASE zu beseitigen.
Ist eine SASE-Standardisierung notwendig?
Eine Standardisierung kann klare Definitionen und einheitliche Vorgaben für bestimmte Technologien bringen. Das bedeutet allerdings nicht, dass Standards für Service-Provider notwendig sind, um Quality of Service (QoS) zu gewährleisten. Das MEF unterstützt die Idee, dass festgelegte Standards erforderlich sind, damit Service-Provider ihren Kunden Dienste anbieten können. Aber eine Standardisierung ist für eine ordnungsgemäße Bereitstellung nicht zwingend nötig.
Laliberte zufolge ist die Standardisierung im Hinblick auf die Interoperabilität unerlässlich, insbesondere bei neu entstehenden Technologien. In einigen Fällen können strikte Standards aber die QoS beeinträchtigen und Service-Providern die Modernisierung erschweren.
„Man sollte die Anbieter nicht daran hindern, Funktionen der neuesten Generation bereitzustellen, indem man sie an einen Standard bindet", betont Laliberte. „Wir wollen nicht, dass alles so standardisiert ist, dass es die Innovation hemmt.“
SASE befindet sich noch im Entwicklungsstadium, aber seine beiden Hauptkomponenten, Sicherheit und SD-WAN, sind älter als die Architektur, und andere Standards für Sicherheits- und Netzwerkfunktionen sind bereits verfügbar. Es gibt zudem alternative Zero-Trust-Frameworks, so dass Zero-Trust-Anbieter mehr Möglichkeiten haben, wenn sie sich für einen definierten Standard entscheiden. Aufgrund der zahlreichen existierenden Zero-Trust-Frameworks glaubt Grady nicht, dass Unternehmen Nachteile erleiden, wenn sie sich gegen den MEF-Standard entscheiden.
„Ich denke nicht, dass sie die Macht haben, zu sagen: ‚Wer sich nicht an diesen Standard hält, bleibt auf der Strecke‘“, erklärt er. „Es ist prima, dass sie eine Vorreiterrolle übernehmen, um die Weichen für die Zukunft zu stellen. Aber es ist ein großer Markt, auf dem es viele Stimmen gibt.“
Grady fügt hinzu, dass der SASE-Standard des MEF zwar mehr Chancen habe, sich durchzusetzen, weil er der erste verfügbare Standard für diese Technologie sei, dies aber nicht über Nacht geschehen werde. Es dürfte einige Zeit dauern, bis sich die Service-Provider für einen Standard entscheiden. Doch das könnte sich in den nächsten ein bis zwei Jahren ändern.
Unabhängig davon, ob die Branche eine bestimmte Version eines SASE-Standards oder eines Zero-Trust-Frameworks akzeptiert, bietet die Veröffentlichung eines Standards den Branchenakteuren generell die Möglichkeit, sich auf einen gemeinsamen Nenner zu einigen, für Transparenz bei den Technologien zu sorgen, Unklarheiten hinsichtlich der Interoperabilität zu beseitigen und die Verbreitung zu steigern.