vege - Fotolia
Wie Unternehmen die 5 größten SASE-Lücken schließen können
Es gibt fünf große Defizite von SASE, die eine Implementierung erschweren. Trotzdem rät Gartner zu einem Migrationszeitplan und zur Konsolidierung auf einen einzigen Anbieter.
In absehbarer Zukunft wird Secure Access Service Edge (SASE) die Art und Weise verändern, wie Netzwerk- und Sicherheitsteams Dienste für Endbenutzer bereitstellen. Bevor dieser Wandel stattfinden kann, müssen Unternehmen mit Anbietern zusammenarbeiten, um Lücken in den aktuellen SASE-Implementierungen zu schließen.
In einem Bericht hat Gartner fünf große Defizite bei der Bereitstellung von SASE in Unternehmen identifiziert. Die Autoren Neil MacDonald, Nat Smith, Lawrence Orans und Joe Skorupa geben Empfehlungen, wie diese Lücken in den nächsten Jahren geschlossen werden können. Dem Bericht zufolge gewinnt SASE in der Branche rasch an Popularität, weshalb Unternehmen ihren Ansatz für die SASE-Bereitstellung optimieren müssen, um mit ihren Aktualisierungszyklen und Migrationszeitplänen Schritt zu halten.
SASE nimmt Fahrt auf
SASE ist eine softwaredefinierte Cloud-Architektur, die Netzwerk- und Sicherheitsfunktionalität in einer einzigen Plattform zusammenfasst. Die Verschmelzung dieser Dienste ist eine kostengünstige Möglichkeit, Netzwerk- und Sicherheitsfunktionen über die Cloud bereitzustellen.
SASE stellt eine Erweiterung von Software-defined WAN (SD-WAN) dar, um Nutzern einen sicheren Zugang zu Netzwerken zu ermöglichen, unabhängig vom Standort des Geräts. Im Gegensatz zu SD-WAN ist SASE standortunabhängig. Benutzer können sich über Points of Presence (PoP) vom Büro, einer Zweigstelle, einem mobilen Gerät oder von zu Hause aus mit Ressourcen verbinden.
Gartner schätzt, dass 30 Prozent der Unternehmen bis 2024 SASE-bezogene Funktionen – wie Secure Web Gateways (SWG), Cloud Access Security Brokers (CASB), Zero Trust Network Access (ZTNA) und Firewall as a Service (FWaaS) – einsetzen werden. Die Studie geht zudem davon aus, dass bis 2025 60 Prozent der Unternehmen über Strategien und Zeitpläne für die Einführung von SASE verfügen werden.
Trotz dieser Entwicklungen, die auf einen Aufwärtstrend bei der Einführung von SASE hinweisen, berichtet Gartner, dass SASE in seinem derzeitigen Modell weitgehend inkonsistent ist.
SASE-Lücken, die die Migration erschweren
Gartner empfiehlt den Unternehmen, bei der Implementierung von SASE die Schritte zu priorisieren, die am meisten zur Kosteneinsparung, zur Reduzierung der Komplexität und zur Bereitstellung von ZTNA beitragen. Außerdem raten die Marktforscher Unternehmen, nach Möglichkeit zu Single-Vendor-SASE-Providern zu wechseln, um die Kohäsion in ihren Networking- und Sicherheitsteams zu fördern.
Die fünf größten Defizite zwischen der derzeitigen SASE-Implementierung und dem idealen Zukunftsmodell sind:
- organisatorische Silos, bestehende Investitionen und begrenzte Kompetenzen;
- inkonsistente Architektur;
- geringer Einblick in sensible Daten;
- nicht ausgenutzte Sicherheitsdienste; und
- nur sehr wenige vollständige SASE-Angebote.
1. Organisatorische Silos, bestehende Investitionen und begrenzte Kompetenzen
Silos, Legacy-Umgebungen und -Kompetenzen sind einige der größten Lücken bei der Migration zu SASE. Einer der größten Vorteile von SASE ist die Möglichkeit, Netzwerk- und Sicherheitsfunktionen in einem einzigen Framework zu verwalten. Dieser Vorteil erweist sich jedoch gleichzeitig als eine der größten Herausforderungen von SASE, da viele Unternehmen über getrennte Netzwerk- und Sicherheitsteams verfügen.
In einem vollständig implementierten SASE-Modell sollten die Networking- und Security-Teams zu einem einzigen IT-Team zusammengeführt werden, so Gartner. Auch wenn dieser Konsolidierungsprozess bei KMUs und größeren Unternehmen unterschiedlich abläuft, sollten die Mitarbeiter letztlich gemeinsam für den Betrieb eines sicheren Netzwerks verantwortlich sein, auf das Benutzer remote, vor Ort, in Filialbüros oder an Edge-Standorten zugreifen können.
Abgesehen von der Logistik der Zusammenlegung von Netzwerk- und Sicherheitsteams wird es noch einige Zeit dauern, bis die meisten Unternehmen mit den ersten Schritten der Anbieterkonsolidierung beginnen können. Laut Gartner sind etliche Unternehmen derzeit über Softwareverträge oder sonstige Vereinbarungen, deren Laufzeit noch mindestens fünf bis sieben Jahre beträgt, an bestimmte Anbieter gebunden.
Nach Angaben von Gartner haben die aktuellen Verträge und Anbietervereinbarungen die Migration der Unternehmen von Multivendor-SASE zu Single-Vendor-SASE verzögert, was zu Lücken beim Management der Cloud-Architektur durch die IT-Teams geführt hat. Um diesen Herausforderungen zu begegnen, empfiehlt Gartner mittelständischen Unternehmen, ihre SD-WAN- und Cloud-basierten Sicherheits-Edge-Services von einem einzigen Anbieter zu beziehen. Größere Unternehmen können diesen Ansatz ebenfalls verfolgen oder explizite Partnerschaften zwischen einem Sicherheits- und einem SD-WAN-Anbieter in Betracht ziehen, um die Kohärenz zu gewährleisten.
Um den Wechsel zu einem Cloud-Networking-Modell zu vollziehen, sollten Unternehmen jeder Größe überlegen, wie sie ihre Sicherheits- und Netzwerkteams integrieren, Anbietervereinbarungen evaluieren und die Komplexität reduzieren können. Laut Gartner können Unternehmen, die diese Faktoren berücksichtigen, SASE-Funktionen doppelt so schnell vollständig implementieren.
2. Inkonsistente Architektur
Gartner zufolge sind die aktuellen SASE-Angebote sowohl bei der Durchsetzung als auch bei der Verwaltung von Richtlinien inkonsistent. Eines der überzeugendsten Merkmale von SASE ist seine Cloud-Architektur, die es Unternehmen im Wesentlichen ermöglicht, Netzwerk- und Sicherheitsfunktionen gemeinsam zu betreiben.
Die meisten SASE-Angebote arbeiten jedoch nicht mit der idealen Cloud-basierten Architektur, vor allem weil die Anbieter ihre Plattformen aus bestehenden Technologieportfolios aufgebaut haben. Einige Provider stellen Unternehmen weiterhin virtuelle und Legacy-Appliance-Architekturen zur Verfügung und bieten SASE über Public-Cloud- und IaaS-Plattformen, über PoPs mit Colocation-Centern oder in Form von beidem an.
Wenn Provider bestimmte SASE-Funktionen nicht anbieten können, greifen viele auf Partner zurück oder nutzen Network Functions Virtualization (NFV), um die fehlenden Komponenten bereitzustellen. Gartner fordert Unternehmen auf, so schnell wie möglich auf Cloud-Architekturen umzusteigen, da diese Alternativen keinen geeigneten Ersatz für voll integriertes SASE darstellen.
Die Alternativen führen auch zu Komplexität bei der Richtlinienverwaltung, insbesondere für Unternehmen, die Anbieter mit einer Legacy-Architektur nutzen. Da Legacy-Anwendungen ältere, unzeitgemäße Software verwenden, sind ihre Funktionen möglicherweise nicht mit neueren Technologien kompatibel, die für den Betrieb moderner Netzwerke zum Einsatz kommen. Legacy-Apps verfolgen unterschiedliche Ansätze zur Verwaltung von Cloud-Netzwerken im Vergleich zu On-Premises-Netzwerken. Somit steht Netzwerk-Admins keine standardisierte Technik zur Implementierung von SASE zur Verfügung.
Um voll funktionsfähig zu sein, muss SASE in der Cloud durchgesetzt und an einem zentralen Ort betrieben werden, so Gartner. IT-Teams können leichter konsistente Richtlinien für das gesamte Netzwerk anwenden und auch von KI, Machine Learning und automatisierten APIs bei der Umstellung auf Cloud-Management profitieren.
3. Geringer Einblick in sensible Daten
Eine der dringlichsten und schwierigsten Herausforderungen bei der SASE-Einführung, um die sich die Anbieter kümmern müssen, betrifft die Datensichtbarkeit. SASE muss in seiner vollen Ausprägung in der Lage sein, Netzwerke und Benutzer vor bösartigen Angriffen zu schützen.
Laut Gartner ermöglichen die derzeitigen SASE-Anbieter wenig bis gar keinen Datenschutz. Einige bieten Data Loss Prevention (DLP) und Malware-Schutz, während einige wenige einen Schutz für Daten bieten, die lokal oder auf Endpunkten gespeichert sind.
Die Provider sind in der Regel auch nicht Eigentümer ihrer Schutzsoftware. Ihre Systeme werden von Dritten lizenziert, was kostspielig sein oder Datenrisiken mit sich bringen kann. Eine ausgestaltete Cloud-Architektur hingegen würde es den Anbietern ermöglichen, APIs zur Überwachung und Prüfung des Datenverkehrs zu nutzen. Die Anbieter wären außerdem in der Lage, ihre eigenen Schutzdienste zu betreiben, was ihnen mehr Managementoptionen an die Hand gibt.
Diese Lücke sollte, so Gartner, bei der Suche nach SASE-Anbietern oberste Priorität haben. Insbesondere sollten Unternehmen Anbieter mit SASE-Architekturen in Betracht ziehen, die den Traffic untersuchen auf Malware und andere schädliche Datentypen.
Gartner betont auch die Notwendigkeit, dass SASE-Provider ZTNA implementieren, da einige diese Funktion nicht anbieten, obwohl sie eine wichtige Komponente der SASE-Architektur ist. Ohne ZTNA haben Unternehmen nicht die Möglichkeit, ihre Daten zu verwalten oder ihre Netzwerke auf Malware zu untersuchen.
4. Nicht ausgenutzte Sicherheitsdienste
Genau wie bei den anderen Lücken gibt es auch bei den SASE-Sicherheitsfunktionen große Unterschiede. Einige Provider bieten SWGs, CASBs und ZTNA oder eine Kombination dieser Services an. Daraus ergibt sich ein uneinheitliches Spektrum an Funktionen. Einige können weitgehend entwickelt sein, während andere Bereiche brachliegen.
Gartner empfiehlt Anbietern, SASE zu nutzen, um all diese Services, einschließlich SD-WAN, in einem Cloud-basierten Single-Vendor-System zu vereinen. Darüber hinaus können Unternehmen mit ausgebautem Datenschutz ihre Sicherheits- und Datenrichtlinien gleichzeitig verwalten.
Insbesondere bei Sicherheitsdiensten dauert es länger, bis sie ausgereift sind und eingesetzt werden können. Laut Gartner wird es mindestens noch einige Jahre dauern, bis angemessene Sicherheitsdienste vollständig implementiert sind. Aber in der Zwischenzeit sollten Unternehmen überlegen, wie sie den Umstieg auf SASE umsetzen können.
5. Nur sehr wenige vollständige SASE-Angebote
Dem Bericht zufolge erfüllen derzeit weniger als zehn Anbieter die von Gartner aufgestellte Definition einer vollständigen SASE-Plattform. Aufgrund der unterschiedlichen Möglichkeiten, SASE einzuführen, sind die Endbenutzer mit vielen Schwierigkeiten konfrontiert. Einige Anbieter offerieren Cloud-basierte Dienste, die jedoch auf Kosten ihres SD-WAN-Betriebs gehen. Andere Provider, die über ausgereifte SD-WAN-Angebote verfügen, bieten nur eingeschränkte Sicherheitsfunktionen. Dieser Mangel an Konsistenz ist laut Gartner für die Endanwender frustrierend.
Um diese Lücken zu schließen, können Unternehmen versuchen, ihre Networking- und Sicherheitsfunktionen in einem einzigen Team zu konsolidieren und dazu einen einzigen Provider zu wählen, der die erforderliche SASE-Funktionalität für ihr Unternehmen bereitstellt. Im Laufe der Zeit können sie Legacy-Hardware und -Anbieter ausmustern und zu ihrem bevorzugten Modell migrieren. Der Migrationsprozess wird sich zwar über die nächsten Jahre hinziehen, doch sollten Unternehmen so bald wie möglich damit beginnen, ihre Zeitpläne für die Einführung von SASE festzulegen.