Tierney - stock.adobe.com
Mit SASE der sich verändernden Sicherheitslage begegnen
Die fortschreitende Digitalisierung des Arbeitsplatzes mit mehr Flexibilität für Mitarbeiter zwingt Unternehmen, die Sicherheit ihrer IT-Infrastruktur neu zu definieren.
Große Unternehmen verfügen nach wie vor vermehrt über umfangreiche Rechenzentren. Darin finden sich nicht nur lokale SaaS-Anwendungen, sondern auch Netzwerkkomponenten wie Firewalls, Load Balancer, Intrusion-Detection- und Prevention-Systeme, Router und Switches.
Noch vor wenigen Jahren war es daher üblich, Netzwerke für Niederlassungen zu entwerfen, die mit einem Rechenzentrum verbunden sind, das interne Anwendungen bereitstellt und den Internetverkehr filtert. Da inzwischen jedoch immer mehr Mitarbeiter dezentral arbeiten und Unternehmen viele Anwendungen in die Cloud verlagern, stellt sich die Frage, ob dieser zentralistische Ansatz, IT-Infrastruktur aufzubauen, immer noch ideal ist.
Infolgedessen wird die Umstellung traditioneller Netzwerke auf das SASE-Modell (Secure Access Service Edge) für viele große Organisationen immer wichtiger. Bereits 24 Prozent der Unternehmen wollen bis 2024 Strategien zur Umsetzung des SASE-Ansatzes entwickeln, das die Gartner-Analysten Joe Skorupa und Nat Smith entworfen haben.
SASE bietet eine Cloud-zentrierte Architektur, die Firmen benötigen, um ihre Mitarbeiter überall zu schützen, ohne deren Arbeitsumfeld zu beeinträchtigen. Der neue Ansatz stellt somit eine Konvergenz von softwaredefiniertem Wide Area Networking (SD-WAN) und hoher Sicherheit in einem strategischen Edge-to-Cloud-Service dar, der weder die Hardwarekosten noch die Komplexität erhöht.
Anders ausgedrückt beschreibt SASE eine Architektur, die Netzwerkdienste und Sicherheitsfunktionen als Cloud-Services dort bereitstellt, wo sie wirken sollen: Auf den Endgeräten und an der Edge, also dort, wo eine ständige Verbindung zu Netzwerken nicht möglich oder notwendig ist.
SASE adressiert eine neue Sicherheitslage
Die Netzwerkperformance und Sicherheit leidet in vielen Unternehmen nicht nur aufgrund einer zunehmenden Zahl von Benutzern, Geräten, Anwendungen und Diensten. Dass sich inzwischen mehr Daten außerhalb als innerhalb der traditionellen Rechenzentren befinden, verstärkt dieses Problem. Daher suchen Firmen eine Lösung, die eine höhere Geschwindigkeit, Leistung und Flexibilität mit einem neuen Maß an Belastbarkeit und Sicherheit verbindet.
Obwohl jedes Unternehmen einen anderen Weg einschlägt, umfasst eine strategische SASE-Vision folgendes:
- Eine grundlegende Verlagerung der Zugangskontrollen dorthin, wo sie benötigt werden – also beim Endbenutzer und dem Cloud Edge.
- Streben nach geringerer Komplexität: Konvergenz der Sicherheitsfunktionen in einem effizienten As-a-Service-Modell.
- Konzentration auf die Unterstützung der geschäftlichen Flexibilität, um auf alle internen und externen Veränderungen reagieren zu können.
- Vereinfachte Bereitstellung, Verwaltung und Durchsetzung von Richtlinien in allen Bereichen.
- Die Fähigkeiten und Ressourcen, um jederzeit und überall einen nahtlosen, skalierbaren und sicheren Internet- und Cloud-Zugang bereitzustellen.
SASE als „Secure-by-Design“-Schnittstelle für Netzwerk- und Cybersicherheit
Die Einführung von SASE erfordert eine Zusammenführung von Fähigkeiten und Fertigkeiten und ein neues Maß an Kooperation zwischen einer Reihe von Fachleuten – Netzwerkingenieuren, Anwendungsentwicklern und Sicherheitsspezialisten. Für einige Unternehmen bedeutet dies, dass sie zum ersten Mal eine gemeinsame Arbeitssprache zwischen IT- und Sicherheitsabteilungen benötigen. Darüber hinaus müssen Organisationen strategische Interessengruppen wie Personal- und Zugriffsmanagement sowie Compliance-Verantwortliche in die Gespräche einbeziehen. Nur so können sie fortschrittliche Richtlinien für Data Loss Prevention (DLP), Cloud Access Security Brokers (CASBs) und Zero Trust Network Access definieren.
Ein SASE-Konzept erfordert die Integration mehrerer Sicherheits- und IT-Dienste von der ersten Verteidigungslinie eines Unternehmens über eine DNS-Schicht und ein sicheres Web-Gateway für Zero Trust, das eine tiefere Prüfung ermöglicht, bis hin zu einer Cloud Firewall, die den Web- und Nicht-Web-Datenverkehr schützt.
„Die Einführung von SASE erfordert eine Zusammenführung von Fähigkeiten und Fertigkeiten und ein neues Maß an Kooperation zwischen einer Reihe von Fachleuten.“
Sebastian Ganschow, NTT
Viele Unternehmen beginnen eine SASE-Reise zunächst mit einer zentralisierten Verwaltung der Richtlinienerstellung und -überwachung. Anschließend implementieren sie erweiterte Sicherheitsdienste vom Rechenzentrum bis hin zu jeder vom jeweiligen Standort, Benutzer oder IoT-Gerät benötigten Cloud. Durch die Kombination mehrerer Sicherheitsfunktionen in einem einzigen Cloud-nativen Service können CIOs und CISOs eine größere zentrale Verwaltungsfähigkeit bei geringerer Komplexität aufbauen.
Mehr als nur technologische Konvergenz
Vereinfachung und Sicherheit sind zwei treibende Prinzipien der Netzwerkmodernisierung. Einer der Hauptvorteile dieses neuen Ansatzes liegt in der zentralisierten Netzwerküberwachung und -verwaltung. Unabhängig von der Überwachung des Rechenzentrums oder des Netzwerkrands senkt die Konvergenz die Kosten und erhöht die stufenübergreifende Transparenz in hybriden Umgebungen.
Ein gemeinsamer Rahmen für die Analyse von Nutzern, Anwendungen und Daten sorgt für ein umfassendes Verständnis aller Probleme und erlaubt eine schnellere Lösung. Die einheitliche Schnittstelle bietet weitaus detailliertere und konsistentere Analysen und Berichte, die eine zügigere Entscheidungsfindung und ein effizienteres Leistungsmanagement gewährleisten.
SASE basiert auf den Konnektivitätsvorteilen von SD-WAN und beinhaltet optimierte MPLS-, Internet- und Hybrid-Konnektivität sowie ein integriertes Sicherheitssystem. Es vereinfacht die Vernetzung von Niederlassungen, indem es die Vielzahl die in vielen Unternehmen vorhandenen Netzwerkgeräten durch ein einfaches System ersetzt, das Zugang zu einer breiten Palette von Diensten bietet.
Dieser Ansatz reduziert den Zeit- und Arbeitsaufwand für die Konfigurationsüberwachung und Fehlerbehebung von Netzwerk- und Sicherheitsfunktionen erheblich. Und schließlich können neue Anwendungen oder Dienste viel schneller implementiert werden. Dies ist nicht nur ein weiteres Argument für die Automatisierung, sondern vielmehr ein Sprung nach vorn bei der zügigen, granularen Definition von Richtlinien, um den sich rasch ändernden Geschäftsanforderungen gerecht zu werden.
Über den Autor:
Sebastian Ganschow ist Director Cybersecurity Solutions bei NTT Ltd..
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.