2jenn - Fotolia

SASE: Freiheit fürs Netzwerk

Home-Office und Verlagerung von Anwendungen in die Cloud haben die Anforderungen an die IT-Sicherheit deutlich erhöht. SASE hilft, meint Axel Hinze von Orange Business Services.

Bei Secure Access Service Edge (SASE) handelt es sich um ein Architekturkonzept, das Netzwerk- und Sicherheitsfunktionen unabhängig davon bereitstellt, wo sich Mitarbeiter oder Anwendungen tatsächlich befinden. Das 2019 von Gartner definierte Modell nutzt Cloud-Technologien, um ein Software-defined Wide Area Network (SD-WAN) mit Security-Funktionen zu verbinden. Damit rücken Sicherheitsfunktionen vom Netzwerkperimeter in Unternehmen an den Netzwerkrand (Edge).

Zum typischen Umfang einer SASE-Architektur gehören Cloud-basierte Firewalls, Secure Web Gateways (SWG), Cloud Access Security Broker (CASB) und ein Zero-Trust-Netzwerkzugang.

Der große Vorteil von SASE ist eng mit dem Trend hin zu hybriden Arbeitsweisen verbunden: Unternehmen sind in der Lage, eine Sicherheitsplattform ins Leben zu rufen, die unabhängig von Standorten, Rechenzentren, Cloud-Services oder Büros greift.

In der Praxis profitieren Organisationen davon, dass IT-Dienste wesentlich schneller bereitgestellt werden können, die Administration für die Netzwerkinfrastruktur deutlich vereinfacht wird und sich vor allem die Kosten für die Bereitstellung von Apps und Security reduzieren. Ein wesentlicher Pluspunkt des SASE-Sicherheitsmodell ist es, dass jeder Zugriff über einheitliche Sicherheitsrichtlinien abgewickelt wird. Für eine zusätzliche Sicherheitsschicht sorgt eine Ende-zu-Ende-Verschlüsselung mit integrierten Webanwendungs- und API-Services.

Herzstück Zero Trust

Im Mittelpunkt der Cloud-basierten Sicherheit steht die Zero Trust Network Architecture (ZTNA). Dabei handelt es sich um ein Suchergeitsmodell, dessen Eigenschaften darauf aufsetzen, keinem Gerät, Nutzer oder Dienst innerhalb oder außerhalb des eigenen Netzwerks zu vertrauen.

ZTNA umfasst umfangreiche Maßnahmen zur Authentifizierung von Anwendern und Diensten sowie zur Prüfung des Netzwerkverkehrs. Ein typisches Beispiel für den Einsatz von ZTNA ist der Zugriff von außerhalb der Unternehmensgrenzen: Anders als im Zusammenhang mit Virtual Private Networks (VPN) segmentiert ZTNA auf Anwendungsebene.

So behandeln ZTNA-Dienste jede Verbindung zu jeder Anwendung als eine separate Umgebung mit individuellen Sicherheitsanforderungen. Sie sind dabei völlig transparent für Anwender. Der ZTNA-Service ist so in der Lage, je nach Risikoprofil für den jeweiligen Anwender und Gruppen selektiv zu verschlüsseln, vordefinierte Richtlinien anzuwenden oder eine zusätzliche Authentifizierung zu verlangen.

Auch kann der Kontext des Mitarbeiters mit in die Regeln aufgenommen werden. So kann ein Mitarbeiter Zugriff auf zum Beispiel SAP-Systeme erhalten, wenn er einen Firmencomputer nutzt, aber nicht, wenn er sich über ein privates Gerät anmeldet. Ebenfalls kann der Ort mit in die Regeln einbezogen werden. ZTNA funktioniert dabei für jede TCP- oder UDP-Verbindung. Dazu gehören native Anwendungsabläufe wie ERP-Systeme oder Netzwerkprotokolle wie Secure Shell (SSH) oder das Remote Desktop Protocol (RDP) von Microsoft.

Niedrige Latenzzeiten im Home-Office

Mit SASE profitieren vor allem Performance-hungrige Services, da Zugriffe von Anwendungen nur einmal überprüft werden müssen. Weil auch Verbindungen zu Netzwerkdiensten nicht mehr über das interne Unternehmensnetz geroutet werden – wie in Verbindung mit VPN der Fall – lassen sich signifikant niedrigere Latenzzeiten im Vergleich zu herkömmlichen Netzwerksicherheitsarchitekturen erreichen. Aber auch für die Benutzerfreundlichkeit bringt SASE deutliche Fortschritte.

Indem sich die Anzahl der Softwareagenten auf Endgeräten und Edge-Appliances an den verteilten Unternehmensstandorten reduziert, erhöht sich die Transparenz für Anwender. Sie sind mit SASE in der Lage, jederzeit und unabhängig von ihrem Standort sowie schnell auf Unternehmensdaten zuzugreifen. Spürbare Pluspunkte gegenüber klassischen Netzwerkinfrastrukturen bringt SASE indes auch im Zusammenhang mit der Administration des Netzwerks.

SASE reduziert die Komplexität und Kosten für das Netzwerk und dazugehörigen Sicherheitsservices merklich: Weil SASE auf Cloud-Technologien aufsetzt, sinken operativer Aufwand und die damit verbundenen Kosten teils erheblich. Das liegt zum Teil daran, dass viele Netzwerkkomponenten an dezentralen Standorten nicht mehr benötigt werden und sich softwarebasierte Agenten auf den Endgeräten größtenteils erübrigen. Ebenso gehören lokale Software-Upgrades durch IT-Verantwortliche der Vergangenheit an. Besonders bemerkbar für Administratoren macht sich die Tatsache, dass die Bereitstellung neuer Dienste nunmehr zentral erfolgen kann.

Implementierung nach Plan

Doch die Implementierung von SASE setzt Fachwissen voraus. Unternehmen sollten bereits bei der Planung nach Anbietern mit tiefgehenden Fachkenntnissen über Cloud-Netzwerke und IT-Sicherheit Ausschau halten. Eine besondere Gefahr bergen kleinere SASE-Anbieter – wenn sie beispielsweise nicht über die notwendigen Netzwerk-PoPs (Point of Presence) und Peering-Beziehungen verfügen.

Eine der grundsätzlichen Herausforderungen besteht darin, SASE in die Netzwerk- und Sicherheitstransformationsstrategie eines Unternehmens einzubinden – nicht zuletzt, da in diesem Zusammenhang mehrere Anbieter hinsichtlich der unternehmenseigenen Anforderungen und Ziele bewertet werden müssen. Damit dies gelingt, müssen IT-Führungskräfte gemeinsam mit SASE-Anbietern eine Roadmap erstellen, die alle Ziele und Anforderungen des Unternehmens berücksichtigen. Unternehmen, die sich optimal auf eine integrierte und konsolidierte SASE-Architektur vorbereiten wollen, sollten nicht zuletzt auch auf die Flexibilität von Verträgen achten, da sich die Lizenzmodelle auf dem noch jungen Markt immer wieder ändern werden.

Die Erstellung und Pflege der Regeln sollte ebenfalls sehr gründlich geplant werden. Werden meist zu Anfang recht einfache Regeln umgesetzt, so lassen sich diese weiter optimieren und anpassen, um den bestmöglichen Schutz auf einer Need-to-know- und regularienkonformen Basis zu erhalten. Diese Pflege erfordert jedoch Aufwand und Fachwissen.

Axel Hinze, Orange Business Services

„An SASE führt, insbesondere für mittelständische und große Unternehmen mit mehreren Niederlassungen, über kurz oder lang kein Weg vorbei.“

Axel Hinze, Orange Business Services

Wie die Einführung vieler disruptiver Technologien erfordert auch die Implementierung von SASE eine starke Beteiligung des Chief Information Security Officer (CISO) oder anderen Sicherheitsverantwortlichen. Das beginnt schon damit, dass ein Konsens darüber herrschen muss, wie das neue Netzwerk vor allem in verteilten Unternehmensstandorten aufgebaut sein soll und welche Netzwerksicherheitslösungen erforderlich sind.

Unternehmen, die SASE implementieren wollen, sollten also im ersten Schritt eine umfassende transformative Strategie ausarbeiten, alle möglichen SASE-Komponenten und Anbieter genau auf die eigenen Unternehmensziele hin evaluieren und auch die Hürden im Blick haben. Und wie immer gilt auch bei diesem Veränderungsprozess: Die Unterstützung durch die Unternehmensführung ist ebenso wichtig wie die Einbindung von Teammitgliedern, die bisher für traditionelle Netzwerk- und Sicherheitsarchitekturen verantwortlich waren. Denn klar ist: An SASE führt, insbesondere für mittelständische und große Unternehmen mit mehreren Niederlassungen, über kurz oder lang kein Weg vorbei.

Über den Autor:
Axel Hinze ist seit November 2019 Managing Director bei Orange Business Services für Deutschland, Österreich und Osteuropa (GEA). Er verfügt über langjährige nationale sowie internationale Management-Erfahrung in der ITK-Branche – zuletzt war er für BT Global Services in Deutschland und der Schweiz, davor für CA-Computer Associates und Peoplesoft (Oracle) in der Geschäftsleitung tätig. Als Managing Director stehen für Axel Hinze besonders die Bereiche Vertriebsstrategie, Marketing, Business Management und Unternehmenskundenentwicklung im Fokus.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

SASE-Komponenten

  • DNS-Reputation
  • Remote Browser Isolation
  • Zero-Trust-Netzwerkzugriff
  • Data Loss Prevention
  • Malware-Schutz
  • Cloud Access Security Broker (CASB)
  • Firewall as a Service
  • Intrusion Detection
  • Intrusion Prevention
  • Secure Web Gateway

Erfahren Sie mehr über Netzwerksicherheit