Alex - stock.adobe.com

SASE-Betriebsprobleme und wie sie sich lösen lassen

SASE bietet Unternehmen eine attraktive Sicherheitsstrategie. Doch es braucht Zeit, bis die Netzwerkteams über die nötige Sichtbarkeit und Managementübersicht verfügen.

Secure Access Service Edge (SASE) ist in Unternehmensnetzwerken mittlerweile allgegenwärtig. Das liegt zum Teil daran, dass viele der einzelnen Komponenten – darunter Software-defined WAN und die per Cloud bereitgestellten Services, die den Sicherheits-Stack der SASE-Architektur bilden – bereits weitverbreitet sind.

Die einzige Aufgabe, die noch zu bewältigen ist, besteht darin, diese Komponenten in einer einheitlichen Architektur zusammenzuführen.

Aber genau an dieser Stelle wird es schwierig. Laut einer Studie von Enterprise Management Associates (EMA) aus dem Jahr 2023, in der WAN-Strategien untersucht wurden, bezeichneten nur 26 Prozent der IT-Fachleute den Übergang von Software-defined WAN (SD-WAN) zu SASE als „sehr einfach“.

Bei SD-WAN verbrachten Netzwerktechniker Monate damit, Hunderte von Site-to-Site- und Site-to-Cloud-Tunneln über das WAN-Underlay aufzubauen. Bei SASE müssen sie alle Tunnel auf verschiedene Cloud-Sicherheits-PoPs (Points of Presence) ausrichten. Außerdem müssen sie Change Management, Richtlinienmanagement und Observability sowohl in SD-WAN- als auch Cloud-Sicherheitstechnologien integrieren.

Betriebsprobleme von SASE

Im Jahr 2024 hat sich EMA eingehender mit SASE beschäftigt. Im Rahmen der Ausgabe für 2024 unserer alle zwei Jahre durchgeführten Studie Network Management Megatrends haben wir Netzwerkmanager gebeten, uns mitzuteilen, was sie beim Management und Monitoring der SASE-Technologie als größte Herausforderung empfinden. In unserer Umfrage unter 401 IT-Fachleuten gaben mehr als 39 Prozent an, dass ihnen die Verwaltung von Sicherheitsrichtlinien und -kontrollen in SASE große Schwierigkeiten bereite.

Eigentlich handelt es sich bei SASE um eine praktikable Sicherheitsstrategie. Warum sollte es so schwierig sein, die Sicherheit auf einer Sicherheitsplattform in den Griff zu bekommen?

1. Single-Vendor versus Multivendor

Zwei offensichtliche Probleme stechen hervor. Erstens sind die meisten SASE-Bereitstellungen Multivendor-Lösungen. Mehr als die Hälfte der Unternehmen, die auf die WAN-Studie von EMA geantwortet haben, gaben an, Multivendor-SASE-Optionen zu verfolgen. Das macht es schwierig, Sicherheitsrichtlinien und -kontrollen koordiniert und konsistent anzuwenden.

Zweitens sind viele Single-Vendor-SASE-Optionen nicht auf ein einzelnes Produkt beschränkt. Stattdessen nutzen die Anbieter Software, die sie bei früheren Fusionen erworben haben, um ein SASE-Produkt zusammenzustellen, das alle von den Anbietern geforderten Funktionen abdeckt.

2. Sichtbarkeit

Unternehmen haben außerdem mit dem Monitoring von Zustand und Performance der SASE-PoPs zu kämpfen. Entsprechend stufen sie die Sichtbarkeit als zweitgrößte Managementherausforderung ein. Der gesamte Netzwerk-Traffic wird über SASE-PoPs geroutet, wo er entweder einer mehrstufigen Sicherheitsprüfung unterzogen wird oder als einfaches Web-Browsing direkt ins Internet gelangt. Performance-Probleme an SASE-PoPs können zu enormen Latenzen bei einer Netzwerksitzung führen. Es ist wichtig, Störungen zu erkennen, weil Netzwerktechniker den Traffic dann über einen alternativen SASE-PoP routen können. Leider haben viele Netzwerkmanager anscheinend Schwierigkeiten, diesen kritischen Überblick zu gewinnen.

Darüber hinaus gaben fast 34 Prozent der Befragten an, dass es ihnen schwerfalle, Einblick in den Traffic zwischen SASE-PoPs und der Cloud-Infrastruktur zu erhalten – ein Problem, das sich nach Ansicht von EMA noch verschärfen wird. Ein Großteil dieses Traffics ist verschlüsselt, was die Sichtbarkeit für Netzwerk-Operations-Teams zu einer noch größeren Hürde macht. Vor SASE konnte eine Probe am Netzwerk-Edge die Netzwerkpfade von diesem Edge zur Cloud verfolgen und überwachen. Jetzt lässt sich dieser Datenverkehr verbergen, nachdem er den SASE-PoP passiert hat.

Ein Netzwerksicherheitsarchitekt eines Fortune-500-Cybersicherheitsunternehmens erklärte kürzlich gegenüber EMA: „Die Dinge haben sich drastisch verändert, seit wir SASE implementiert haben. Die Benutzer werden durch diese SASE-PoPs geleitet, wodurch sich das Troubleshooting etwas verändert hat. Es ist schwierig, weil wir die Dinge nicht mehr vom Laptop aus in Richtung der Anwendung betrachten. Es geht jetzt vielmehr darum, die Dinge vom SASE-Knoten aus zu betrachten, und zwar in die Richtung, die der Benutzer vorgibt.“

3. Integration

Integrationen zwischen verschiedenen SASE-Komponenten zu verwalten, ist ein weiterer Problembereich. Diese Integrationen finden auf der Management-, Control-Plane- und Data-Plane-Ebene statt. Die Integration beginnt damit, Tunnel von den Standorten zu den SASE-PoPs aufzubauen. Hierbei müssen die Teams Regeln erstellen, wohin der Traffic über diese Tunnel geroutet werden soll. Außerdem müssen die Managementschnittstellen dieser verschiedenen Komponenten integriert werden.

4. PoP-Latenz

Fast ein Drittel der von EMA befragten Unternehmen gab außerdem an, dass die Minimierung der Latenz von SASE-PoPs ein ständiges Problem darstelle. Genauer gesagt müssen die Unternehmen darauf achten, dass der Benutzer-Traffic den insgesamt besten Pfad zu seinem Ziel nimmt. SASE-PoPs werden üblicherweise global bereitgestellt, so dass der Benutzer-Traffic zum nächstgelegenen PoP und von dort aus zur nächstgelegenen Cloud gelangen sollte.

Zu diesem Zweck müssen die Techniker sicherstellen, dass diese Pfade effizient sind und sich im Laufe der Zeit nicht ändern. Downtime an einem SASE-PoP könnte beispielsweise dazu führen, dass der Datenverkehr zu einem zweiten PoP umgeleitet wird, wodurch sich die Latenz erhöht. Kurzfristig mag diese Lösung in Ordnung sein. Sobald jedoch der erste SASE-PoP wieder online ist, sollte das Netzwerkteam dafür sorgen, dass der Traffic wieder über den effizienteren Netzwerkpfad läuft.

Dies erfordert ein sorgfältiges Monitoring während aller Phasen der SASE-Implementierung und des laufenden Betriebs. Ein IT Operations Manager einer großen Regierungsbehörde berichtete, sie seien aktuell mit diesem Problem konfrontiert.

„Wir führen alle möglichen Arten von Netzwerktests durch, um herauszufinden, ob wir die richtigen Pfade verwenden“, erklärte der Manager gegenüber EMA. „Wir müssen sie regelmäßig durchführen, um eine Baseline der Umgebungen zu erhalten. Das erfordert Zeit und Investitionen.“

Wie Sie die SASE-Betriebsprobleme lösen können

Inzwischen sollte klar sein, dass SASE den Netzwerkbetrieb in jedem Unternehmen lahmlegen kann. Die Frage ist: Wie können Sie das verhindern?

Inzwischen sollte klar sein, dass SASE den Netzwerkbetrieb in jedem Unternehmen lahmlegen kann. Die Frage ist: Wie können Sie das verhindern?

1. Nutzen Sie Single-Vendor SASE

Als Erstes empfiehlt EMA eine Single-Vendor-Option. Die meisten Analysten, Berater und Anbieter drängen ihre Kunden in diese Richtung – und sie haben nicht unrecht. Unsere Untersuchungen haben ergeben, dass Unternehmen besser mit SASE zurechtkommen, wenn sie eine Single-Vendor-Strategie verfolgen.

Denken Sie aber daran, dass Single Vendor nicht unbedingt vollständig einheitlich bedeutet. Evaluieren Sie Single-Vendor-Produkte sorgfältig, um sicherzugehen, dass die Verbindungspunkte zwischen den verschiedenen Produkten unter der Haube den Standards entsprechen.

2. Wie wär‘s mit Managed SASE?

Zweitens, ziehen Sie Managed SASE in Betracht. Solch ein gemanagter Ansatz abstrahiert etliche der in diesem Artikel beschriebenen Komplexitäten. Das gesamte Geschäft eines Service-Providers hängt von seiner Fähigkeit ab, ein SASE-Angebot effektiv und effizient zu implementieren und zu verwalten. Wenn der Provider nicht in der Lage ist, ein aus mehreren Produkten zusammengestückeltes Angebot zum Laufen zu bringen, wird er nicht lange im SASE-Geschäft überleben. Ein Managed-Angebot umfasst auch ein Service Level Agreement (SLA), auf dessen Einhaltung die Kunden strikt achten sollten.

3. Aktualisieren Sie Ihre Sichtbarkeits- und Integrations-Tools

Zu guter Letzt sollten Sie Ihre Tools aktualisieren, damit auch bei der Einführung von SASE as a Service eine ausreichende Sichtbarkeit gewährleistet ist. Die meisten Unternehmen, die SD-WAN und SASE als Managed Services einsetzen, entscheiden sich für ein hybrides Betriebsmodell. Hierbei teilen sich die Netzwerkteams und der Provider die Verantwortung für den täglichen Betrieb, etwa für Monitoring, Troubleshooting und Change Management.

Auf diese Weise kann der Kunde die Einhaltung der SLAs überprüfen. Aber auch das Netzwerk-Operations-Team ist dadurch in der Lage, Probleme schneller zu lösen, als es der Service-Provider allein könnte. Schließlich sind Netzwerke komplex, und ein Managed SASE Service konzentriert sich in der Regel auf das WAN. Er berücksichtigt nicht, was in der Cloud, in Data Centern, in Campus- und Zweigstellennetzen oder im Home-Office von Remote-Mitarbeitern passiert.

Viele SASE-MSPs verfügen noch nicht einmal über eine eigene Internetkonnektivität, die das WAN-Underlay bildet. Sie sehen alles aus der Perspektive der Tunnel, die dieses Underlay durchlaufen. Nur das interne Netzwerkteam kennt diesen Kontext. Somit ermöglicht das Monitoring von SASE mit Ihren eigenen Tools eine vollständige Ende-zu-Ende-Sicht der Dinge. Die EMA-Studie hat folglich auch ergeben, dass 61 Prozent der Unternehmen neue Netzwerk-Monitoring-Tools eingeführt haben, die sich für eine SASE-Überwachung eignen.

Netzwerkteams sind dabei, traditionelle Tools, die Flow Records und Gerätemetriken erfassen, in SASE-Produkte zu integrieren. Zu diesen Integrationen gehören SNMP-MIBs (Simple Network Management Protocol beziehungsweise Management Information Bases) und -Traps sowie API-Aufrufe. Außerdem kommen zunehmend synthetische Netzwerk-Monitoring-Tools zum Einsatz. Viele Netzwerk-Monitoring-Anbieter kooperieren mit SASE-Providern, um ihren Kunden diese Möglichkeit zu eröffnen.

Fazit

An SASE führt kaum noch ein Weg vorbei. Die potenziellen Probleme beim Netzwerkbetrieb liegen auf der Hand, und Ihre Aufgabe ist klar: Setzen Sie diese Lösung gewinnbringend ein, indem Sie sich für die richtige Technologie entscheiden, mit dem richtigen Anbieter zusammenarbeiten und die Tools für eine optimale Observability modernisieren.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Netzwerksicherheit