3dkombinat - stock.adobe.com
Zugangssicherheit in verteilten Netzwerken gewährleisten
Mehr Home-Office, fortschreitende Cloud-Migration und höherer Datendurchsatz in Unternehmensnetzwerken bringen herkömmliche zentralisierte VPN-Lösungen an ihre technischen Grenzen.
Das traditionelle zentralisierte Rechenzentrum in Unternehmen hat so gut wie ausgedient. Denn Infrastruktur und Workloads werden zunehmend in die Cloud verlagert. Zudem setzen sich, getrieben von der Coronapandemie, hybride Arbeitsmodelle immer mehr durch – sowohl in großen als auch mittelständischen und kleinen Unternehmen.
Unternehmensdaten, Anwendungen und Workloads liegen heute also an vielen verschiedenen Orten verteilt und befinden sich zum Großteil außerhalb des eigenen Rechenzentrums. Mitarbeiter müssen jedoch trotzdem schnell und sicher auf sie zugreifen können – egal, wo sie gerade arbeiten und wo die Daten liegen. Diese drastisch veränderte Arbeitsrealität verpflichtet auch zum Umdenken im Bereich Sicherheit.
Geschwindigkeitsbremse VPN
Lange verwendeten Unternehmen zentralisierte Security-Lösungen wie VPNs, um einen sicheren Remote-Zugriff auf ihr Netzwerk zu ermöglichen. Durch den tunnelartigen Aufbau eines klassischen VPN-basierten Security-Konzepts fließt der gesamte Datenverkehr über das Rechenzentrum. Dies ergibt Sinn, solange alle wichtigen Daten dort liegen. Da Mitarbeiter heutzutage aber vermehrt im Home-Office sitzen und zugleich auf Cloud Services zugreifen müssen, ist dieses Routing zu umständlich: Anfragen gehen erst über den VPN-Tunnel in die Zentrale, um von dort aus über die Firewall ins Internet umgeleitet zu werden.
Das führt zu massiven Geschwindigkeitsverlusten, vor allem wenn viele Mitarbeiter remote arbeiten. Da ein Großteil des Traffics für das Internet bestimmt ist, vervielfacht sich der Datenverkehr im Unternehmensnetzwerk. Darauf sind die Bandbreiten nicht ausgelegt. So kommt es zu Engpässen, die die Performance von Cloud Services ausbremsen und die Nutzererfahrung beeinträchtigen. Wenn Mitarbeiter lange auf eine ERP- oder CRM-Abfrage warten müssen, ist das sogar geschäftsschädigend.
SASE – Eine sichere und direkte Verbindung ins Internet
Doch wie kann man diesen aufwendigen Umweg vermeiden und mehr Performance garantieren, ohne auf Sicherheit zu verzichten? Die Lösung lautet Secure Access Service Edge (SASE) – ein neues Architekturkonzept, das auf SD-WAN (Software Defined Wide Area Network) aufbaut und Security-Funktionen vom Zentrum auf die Endpunkte verschiebt. SASE verbindet SD-WAN, Secure Web Gateway, Zero Trust Network Access, Firewall as a Service und Cloud Access Security Broker (CASB).
Das SD-WAN sorgt für einen Performance-Boost gegenüber VPN, indem Daten auf der schnellsten Route zum richtigen Ziel gelenkt werden. Sollte der Endpunkt auf Cloud Services zugreifen, sichert das Secure Web Gateway vor Malware und anderen Bedrohungen aus dem Internet ab. Firewall as a Service überwacht jeden nicht Web-basierten Traffic und Zero Trust Network Access erlaubt feinstufige Zugangskontrollen. Mit dem CASB ist es Unternehmen möglich sicherzustellen, dass Nutzer nur zertifizierte Cloud-Dienste nutzen.
„Jeder SASE-Anbieter hat eigene Stärken, je nachdem, was sein Spezialgebiet ist. Vor der Wahl des Anbieters ist es demnach für Unternehmen ratsam, eine genaue Aufstellung darüber zu machen, welchen Bedarf sie haben und worauf sie besonderen Wert legen.“
Wolfgang Kurz, indevis
Der Anwender bekommt von all dem nichts mit. Nach der Anmeldung an der SASE-Plattform, verbindet sich das genutzte Endgerät mit dem nächsten POP (Point of Presence) des SASE-Dienstleisters.
Daraufhin bekommt es die spezifischen Security Policies und Routing-Informationen. Der Endpunkt analysiert automatisch, welcher Datenverkehr für welches Ziel gedacht ist und leitet ihn über die schnellste Route dorthin. Traffic, der für das Rechenzentrum bestimmt ist, wird dorthin geschickt, während Anfragen an Cloud-Dienste ohne Umwege direkt ins Internet gehen – Ein großer Performance-Vorteil gegenüber VPN-Lösungen. Durch das Cloud-Modell sparen Unternehmen zudem Hardware-Kosten und gewinnen Flexibilität.
Jeder SASE-Anbieter hat eigene Stärken, je nachdem, was sein Spezialgebiet ist. Vor der Wahl des Anbieters ist es demnach für Unternehmen ratsam, eine genaue Aufstellung darüber zu machen, welchen Bedarf sie haben und worauf sie besonderen Wert legen. Die Kosten sind ebenfalls ein kritischer Aspekt. Ein Managed Security Service Provider (MSSP) kann dabei helfen, all diese Fragen zu beantworten und eine individuell auf das Unternehmen abgestimmte, schlanke Lösung aufzubauen. Auch wer seine IT-Abteilung entlasten möchte, ist mit einem MSSP gut beraten, denn dieser kann sich im Anschluss auch um den Betrieb der Lösung kümmern.
SASE – das Zugangssicherheitskonzept der Zukunft
Unternehmen, die hybride Arbeitsmodelle einsetzen, Cloud Services in Anspruch nehmen und viele verteilte Standorte haben, sollten sich besser früher als später über SASE Gedanken machen. Denn traditionelle Lösungen wie zentralisierte Access Security VPNs, bei denen der gesamte Datenverkehr über das Rechenzentrum läuft, geraten immer mehr zur Geschwindigkeitsbremse.
Dies schädigt Nutzererfahrung und Geschäft – und die Performance-Probleme werden mit der zunehmenden Nutzung von Cloud-Diensten weiter wachsen. SASE erlaubt hingegen, überall schnell und sicher auf Anwendungen und Daten zuzugreifen – ganz gleich, ob im Homeoffice, Büro oder auf Dienstreise. Gartner sieht voraus, dass 60 Prozent der Unternehmen bis zum Jahr 2025 eine auf SASE basierende Strategie verwenden werden. SASE ist jedoch hochkomplex und erfordert spezialisiertes Know-how in vielen unterschiedlichen Bereichen. Ein erfahrender MSSP als Partner kann hier die notwendige Hilfestellung geben.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.