Tierney - stock.adobe.com
Wie man seine Architektur auf SASE vorbereitet
SASE erlaubt es Anwendungen und Nutzer unabhängig vom Standort sicher zu verbinden. Dafür muss die IT über eine Architektur verfügen, die einheitliche Richtlinien ermöglicht.
Die SASE-Architektur (Secure Access Service Edge) ist das neue Must-Have, wenn es um die Vereinbarkeit von Netzwerk- und Sicherheitsanforderungen geht. So veranlassen die Effizienz-, Kontroll- und Sicherheitsvorteile von SASE immer mehr Netzwerkverantwortliche, dieses Framework zu implementieren.
Allerdings sind längst nicht alle Unternehmen dafür bereit. Tatsächlich ist die Einführung von SASE nicht mit der Implementierung anderer Technologie zu vergleichen. Sie erfordert eine enge Koordination zwischen Netzwerk- und Sicherheitsteams, eine optimierte Netzwerk- und Sicherheitsarchitektur sowie ein grundlegendes Verständnis der aktuellen Geschäftsprozesse.
Um von den Vorteilen von SASE nachhaltig profitieren zu können, müssen Unternehmen also zunächst eine umfassende Bewertung ihrer digitalen Infrastruktur vornehmen, um sicherzustellen, dass sie bereit sind, sich auf den SASE-Weg zu machen.
Eine kurze Einführung in SASE
SASE ist eine Cloud-native Technologie, die die Netzwerksicherheit als integrale und eingebettete Funktion der Netzwerkstruktur etabliert. Sie integriert wichtige Netzwerk- und Sicherheitsservices und ermöglicht deren flexible Bereitstellung in jeder Umgebung – das heißt sowohl in der Cloud als auch On-Premises und in hybriden Umgebungen. Dies ermöglicht Benutzern einen nahtlosen, vor allem aber sicheren Zugriff auf Unternehmensressourcen zu jeder Zeit und von jedem Ort aus.
In herkömmlichen Netzwerk- und Sicherheitsarchitekturen werden den Nutzern Dienste in der Regel über Punktlösungen für einen Zweck wie VPN oder einen dedizierten Endpunkt-Client angeboten. Dies führt jedoch nicht nur zu Engpässen im Netzwerk, sondern begünstigt auch kritische Sicherheitslücken in entfernten oder hybriden Umgebungen.
Das liegt daran, dass Sicherheitskontrollen und -richtlinien in der Regel nur auf unternehmenseigenen Systemen durchgesetzt werden, sei es in den Rechenzentren oder in den nativen Cloud-Verzeichnissen. Endnutzergeräte, die außerhalb dieser geschützten Umgebungen laufen, bleiben indes vollkommen unkontrolliert und bieten Cyberangreifern attraktive Einstiegspunkte für weitreichende Angriffe. Tatsache ist, dass ein einziges kompromittiertes Gerät letztlich das gesamte Unternehmensnetzwerk gefährden kann.
SASE setzt genau hier an, indem es Sicherheitskontrollen auf der Benutzerseite durchsetzt und es Unternehmen ermöglicht, Benutzer, Anwendungen, Geräte, Zweigstellen aber auch IoT-Systeme unabhängig von ihrem Standort und ohne VPN oder Endpunkt-Client sicher zu verbinden. Außerdem fasst SASE alle Netzwerk- und Sicherheitskontrollen in einer einheitlichen Struktur zusammen und bieten den Sicherheitsteams so einen konsolidierten Überblick über alle Netzwerkaktivitäten und eine proaktive Kontrolle über alle Benutzerzugriffspunkte und Netzwerkdienste.
Voraussetzungen für eine erfolgreiche SASE-Implementierung
Die erste wichtige Voraussetzung für die erfolgreiche Implementierung von SASE ist eine flexible Architektur. Konkret bedeutet dies, dass Unternehmen über eine Architektur verfügen müssen, die einheitliche Richtlinien für alle Umgebungen ermöglicht. Alle Richtlinien, einschließlich Security-, Netzwerk-, Benutzer-, Anwendungs- und Analyserichtlinien, sollten konsistent sein, unabhängig davon, wo sie eingesetzt werden – ob vor Ort oder in der Cloud. Andernfalls würde das Unternehmen nach der Implementierung von SASE mit redundanten Richtlinien konfrontiert, die nicht zu den integrierten Diensten passen, was eine komplexe Verwaltung nach sich ziehen würde.
Ein weiterer Knackpunkt ist die technologische Ausstattung. So müssen sich IT- und Sicherheitsteams noch vor dem Start ihres SASE-Projektes die Frage stellen, ob ihre derzeit implementierte Technologie überhaupt die Skalierbarkeit und Flexibilität unterstützt, die mit ein Grund für die Einführung von SASE ist.
Ist dies nicht der Fall, müssen zu einem späteren Zeitpunkt (teils mit erheblichem Aufwand) zusätzliche Mittel für neue und modernere Technologien bereitgestellt werden, die – gerade bei Geschäftsführung oder Vorstand – den Eindruck erwecken, das SASE-Projekt sei sehr viel kosten- beziehungsweise ressourcenintensiver als es eigentlich der Fall ist.
Sobald konsistente Richtlinien festgelegt wurden, ist es an der Zeit zu bewerten, wie alle Netzwerkdienste in das gesamte Ökosystem integriert sind. Dienste wie Zero Trust Network Access (ZTNA), Secure Web Gateway (SWG), Cloud Access Security Broker (CASB), Data Loss Prevention (DLP), VPN, Sandboxes, Virtual-Desktop-Integration, Remote-Browser-Isolierung und Firewalls müssen in einen einzigen Software-Stack integriert werden.
Eine Single-Stack-Softwarelösung reduziert nicht nur die Verwaltungskomplexität von Netzwerk- und Sicherheitsdiensten, sondern bietet auch eine verbesserte Leistung, Flexibilität und Integration dieser Dienste. Der entscheidende Vorteil ist aber, dass eine Single-Stack-Lösung Hardware-Neutralität und Multi-Cloud-Fähigkeit bietet. So kann sichergestellt werden, dass alle Dienste über jedes Gerät und zu jeder Zeit bereitgestellt und genutzt werden können, sofern die Benutzer und Geräte die vordefinierten Richtlinien erfüllen.
Warum eine Single-Pass-Architektur wichtig ist
Sobald die Netzwerkstruktur bewertet und optimiert wurde, ist es an der Zeit, sich mit der Sicherheitsarchitektur zu befassen. Die SASE-Implementierung erfordert hier eine Single-Pass-Architektur. Dabei handelt es sich um eine Sicherheitsarchitektur, die es einem Paket von Netzlast-Daten ermöglicht, eine Verarbeitungskette für alle Unterprozesse oder Funktionen einmal zu durchlaufen. Dies ermöglicht einen sehr hohen Durchsatz und eine niedrige Latenzzeit – wobei alle Sicherheitsfunktionen durchgehend aktiv bleiben.
„Die Einführung von SASE erfordert eine enge Koordination zwischen Netzwerk- und Sicherheitsteams, eine optimierte Netzwerk- und Sicherheitsarchitektur sowie ein grundlegendes Verständnis der aktuellen Geschäftsprozesse.“
Pantelis Astenburg, Versa Networks
Darüber hinaus sollte die Sicherheitsarchitektur auch über eine Inline-Verschlüsselung sowie mandantenübergreifende Segmentierung verfügen. Erste ist Voraussetzung dafür, dass SASE-Lösungen verschlüsselte Sitzungen bei Bedarf unterbrechen und überprüfen können.
Zweitere ist erforderlich, da SASE die Sicherheit durch Isolierung und Segmentierung des Netzwerkverkehrs gewährleistet. Das bedeutet, dass jeder Benutzer oder Mandant über eigene Betriebsumgebungen, Berechtigungen, Richtlinien und Konfigurationen verfügen muss. Die mandantenübergreifende Segmentierung des Netzwerks ist also die Basis einer nahtlosen Implementierung von SASE-Lösungen, ohne dass der Überblick über die Netzwerkkomponenten verloren geht.
Das Anpassen der Netz- und Sicherheitsarchitekturen für den SASE-Weg mag recht aufwendig und ressourcenintensiv wirken und den einen oder anderen Netzwerkverantwortlichen vielleicht vom SASE-Vorhaben zurückhalten. Wirklich aufwendig ist der Prozess jedoch nur, wenn jeder Dienst einzeln mit verschiedenen Tools implementiert wird. Setzen Unternehmen hingegen auf ein einziges SASE-fähiges Software-Betriebssystem, welches alle Services für die Implementierung integriert, ist der Prozess überschaubar und kann ohne größeren Zeit- und Ressourcenaufwand umgesetzt werden.
Bei der Auswahl des Anbieters muss aber unbedingt sichergestellt werden, dass das OS tatsächlich sämtliche erforderlichen Dienste, das heißt ZTNA, SWG, CASB, DLP, RBI, NGFW, IDS/IPS, Malware-Schutz, SD-WAN und Echtzeitanalyse, umfasst, damit die Implementierung uneingeschränkt durchgeführt werden kann.
Fazit
Die Vorteile von SASE sind vielversprechend und viele Netzwerkteams würden am liebsten sofort mit der Umsetzung beginnen. Doch nicht jedes Unternehmen ist „SASE ready“. Eine gründliche Planung und Vorbereitung von Netzwerk- und Security-Architektur sind erforderlich, damit es später nicht zu Mehraufwand und zusätzlichen Kosten kommt.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.