sdecoret - stock.adobe.com

SASE: Ganzheitliche Architektur für Security und Networking

Die digitale Transformation löst den klassischen Unternehmensperimeter zunehmend auf. Die Antwort auf diese Herausforderung lautet Secure Access Service Edge (SASE).

Die digitale Transformation verändert die Anforderungen an Networking und IT-Security grundlegend. So verlagern immer mehr Unternehmen Anwendungen und Daten in die Cloud. Das tun sie in vielen Fällen freiwillig, um von Flexibilität, Skalierbarkeit und ortsunabhängigem Zugriff zu profitieren.

Oft sind sie aber auch dazu gezwungen, weil Global Player wie Microsoft, SAP oder Salesforce den Support für ihre On-Premises-Lösungen Stück für Stück beenden; und eine wachsende Zahl von Nutzern greift auf diese Anwendungen und Daten von außerhalb des Firmennetzwerks zu.

Dazu gehören etwa mobile Mitarbeiter unterwegs, Mitarbeiter in Zweigstellen und Niederlassungen ohne eigene Rechenzentren oder Remote-Mitarbeiter, beispielsweise im Home-Office. Nicht zuletzt die Coronakrise wird diesen Trend nachhaltig verstärken. Zur „neuen Normalität“ gehört, dass künftig deutlich mehr Menschen von zuhause aus arbeiten werden als in der Vergangenheit.

Die herkömmlichen Netzwerk- und IT-Sicherheitsarchitekturen von Unternehmen sind für diese Entwicklungen nicht optimal ausgelegt. Sie sind für eine Welt geschaffen, in der sich die Anwendungen und Daten ebenso wie die Nutzer innerhalb des eigenen Unternehmens befinden.

Deshalb sichern die Unternehmen das Unternehmensnetzwerk nach außen ab. Beim externen Zugriff auf Cloud-Anwendungen bedeutet das: Damit der Datenfluss auch weiterhin die vorhandenen On-Premises-Sicherheitsvorkehrungen durchlaufen kann, muss er über das zentrale Rechenzentrum umgeleitet werden. Schwache Performance, hohe Latenzen und Verbindungsabbrüche sind die Folgen. Um das zu vermeiden, verbinden viele Unternehmen inzwischen ihre mobilen und Remote-Mitarbeiter direkt mit dem Internet und den Cloud-Anwendungen.

Was der Performance in diesem Falle dient, macht User jedoch zu ungeschützten Angriffszielen, Die unternehmenszentralen Security Gateways werden umgangen.

Security und Networking als ganzheitlicher Cloud-Service

Diese Herausforderungen adressiert das Konzept des Secure Access Service Edge, kurz SASE. Im Jahr 2019 vom Marktforscher Gartner formuliert, schlägt es ein ganz neues Architekturmodell für Networking und Security vor: Sicherheits- und Netzwerkfunktionen sollten in einem ganzheitlichen, Cloud-nativen Service zusammengeführt werden. Damit bringt das SASE-Konzept im Kern Networking und Security dorthin, wo sich auch immer mehr Anwendungen und Daten befinden: in die Cloud.

Abbildung 1: Sicherheits- und Netzwerkfunktionen werden bei SASE in einem ganzheitlichen Cloud-Service konvergiert.
Abbildung 1: Sicherheits- und Netzwerkfunktionen werden bei SASE in einem ganzheitlichen Cloud-Service konvergiert.

Um diesem Konzept gerecht zu werden, müssen SASE-Architekturen alle erforderlichen Konnektivitäts- und Sicherheitstechnologien kombinieren und in der Cloud bereitstellen. Ihre Aufgabe ist es, sichere, verschlüsselte Verbindungen der einzelnen Mitarbeiter zunächst zur Cloud-Plattform selbst und von dort aus zu den gewünschten Cloud-Anwendungen zu gewährleisten.

Das können SASE-Architekturen mit Client-to-Site-VPNs, Site-to-Site-VPNs oder Zero-Trust-Network-Access-Technologien realisieren.

Mit SD-WAN-Technologien lässt sich dabei sicherstellen, dass bei den Zugriffen auf die Cloud-Anwendungen immer der Verbindungsweg gewählt wird, der für die jeweilige Anwendung der optimale ist. Die nötigen Sicherheits-Tools dafür erstrecken sich dabei von Secure Web Gateways und Firewall-as-a-Service bis hin zu Cloud Access Security Brokers und Lösungen für Data Loss Prevention/Data Leakage Prevention.

Aus diesen SASE-Architekturen ergeben sich für Unternehmen zahlreiche Vorteile:

  • Sie können ihre Nutzer und Niederlassungen rund um die Welt über eine einzige Sicherheitsschicht direkt mit der Cloud verbinden und dadurch die Performance erhöhen.
  • Niederlassungen und Zweigstellen lassen sich einfacher und kostengünstiger verbinden. Da der Datenfluss für Cloud-Anwendungen nicht länger über das zentrale Rechenzentrum umgeleitet werden muss, fließt deutlich weniger Verkehr über die kostspieligen MPLS-Leitungen.
  • Die IT- und Sicherheitsverantwortlichen erhalten die einmalige Chance, die Komplexität ihrer Umgebungen zu reduzieren. Sie profitieren von einer vereinfachten Netzwerk- und Security-Verwaltung durch einen zentralisierten Management-Hub.

Cloud Security Gateways setzen SASE-Konzept um

Der Markt für SASE befindet sich naturgemäß noch in einem frühen Stadium. Dennoch sind bereits erste Teillösungen verfügbar, die dem SASE-Konzept folgen. Damit können Unternehmen die Herausforderungen, die Gartner mit seinem Konzept adressiert, bereits heute angehen und erste wichtige Schritte in Richtung SASE-Architektur gehen.

Frank Limberger, Forcepoint

„Mit SASE können Unternehmen ihre Nutzer und Niederlassungen rund um die Welt über eine einzige Sicherheitsschicht direkt mit der Cloud verbinden und dadurch die Performance erhöhen.“

Frank Limberger, Forcepoint

So stehen etwa bereits Cloud Security Gateways zur Verfügung, die sich in Form eines Cloud-Service nutzen lassen. Mit einer solchen Lösung schaffen Unternehmen höhere Transparenz und erhalten mehr Kontrolle und Schutz vor Bedrohungen und Datenverlusten – und zwar völlig unabhängig davon, wo sich die Mitarbeiter befinden.

Dazu kombiniert sie eine Secure Web Gateway mit einem Cloud Access Security Broker (CASB) und einer Lösung für Data Loss Prevention in einem einzigen zentralen Cloud-Service miteinander.

Das Secure Web Gateway schützt dabei vor Gefahren aus dem Internet und ermöglicht die Durchsetzung von Internetrichtlinien. Der Cloud Access Security Broker überwacht und protokolliert die Kommunikation zwischen Anwender und Cloud-Anwendung. Die Lösung für Data Loss Prevention schließlich überwacht Datentransaktionen und blockiert sie gegebenenfalls.

Über den Autor:
Frank Limberger ist Data and Insider Threat Specialist bei Forcepoint.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Netzwerksicherheit