aregfly - stock.adobe.com

Wie Sie eine SASE-Architektur ins Netzwerk integrieren

SASE führt Netzwerk- und Sicherheitsdienste auf einer einzigen Cloud-Plattform zusammen – ein großer Mehrwert. So klappt die Integration in die bestehende Infrastruktur.

Secure Access Service Edge (SASE) beschreibt die Konvergenz von Sicherheit und Netzwerk in einem globalen Cloud-Service. SASE verbindet und sichert alle Ränder des Netzwerks mit einem Service: Standorte, mobile Nutzer, Cloud-Rechenzentren, SaaS und IoT-Geräte.

Gartner hat im Herbst 2019 mit dem Begriff SASE einen wichtigen Trend im Bereich Netzwerke und Sicherheit benannt. Auch wenn Gartner diesen Wandel von diskreten Appliances hin zu einem konvergenten globalen Service vielleicht nicht erfunden hat, so hat sich dieser Ansatz zweifellos durchgesetzt. Bei SD-WAN Experts forderten mehrere unserer Unternehmenskunden in ihren Anfragen für Angebote SASE-Elemente. Mehrere Anbieter wiederum antworteten mit SASE-Pitches.

So radikal die SASE-Architektur auch klingt, ihre Implementierung ist Teil des natürlichen Transformationsprozesses beim Wide Area Network (WAN), der die Branche seit einiger Zeit durchzieht.

Unternehmen sind bereits dabei, von MPLS umzusteigen. In einigen Fällen übernehmen sie beispielsweise das Software-defined WAN (SD-WAN) und die gesamte internetbasierte Konnektivität; in anderen Fällen setzen sie auf ein hybrides Szenario, bei dem sie SD-WAN-Geräte mit MPLS und Internetleitungen verbinden. Die Integration von Cloud und mobilem Zugang zu einem sicheren Netzwerk bildet dabei eine natürliche Erweiterung.

SASE versus SD-WAN

Der Unterschied bei der Entscheidung für eine SD-WAN- oder SASE-Architektur besteht in der Auswahl einer Plattform, die den zukünftigen Anforderungen gerecht wird. Indem SASE alle Netzwerkfunktionen und die erforderliche Sicherheit in einem Service zusammenfasst, wird es zur Plattform.

Diese unterstützt die Änderungen über den Ersatz von MPLS hinaus, das bisher der häufigste Anwendungsfall für SD-WAN war. Mit SASE können Unternehmen globale Konnektivität, Fernzugriff, Cloud-Konnektivität und mehr unterstützen, indem sie Funktionen des Services aktivieren. Bei SD-WAN allein würde jede zusätzliche Stufe erfordern, dass ein Unternehmen ein Angebot einholt, neue Produkte evaluiert, das richtige Produkt auswählt und dann bereitstellt.

Ein sehr gutes Beispiel für die Unterschiede zwischen SASE und SD-WAN war der Ansturm auf Home-Office und Fernzugriff während der COVID-19-Krise. Da Fernzugriff nicht Teil von SD-WAN ist, mussten die SD-WAN-Unternehmen große Anstrengungen unternehmen, um ihren Kunden bei der Lösung von Problemen zu helfen, die mit der Pandemie zusammenhingen.

Im Gegensatz dazu bauen SASE-Plattformen den Fernzugriff in das Netzwerk ein. Die Nutzer sind mit mobilen Clients oder in einigen Fällen mit einem Client-losen Zugang ausgestattet. Beide Optionen ermöglichen einen groß angelegten Einsatz für Tausende von Anwendern innerhalb von Minuten und Stunden – nicht Wochen. Da der Fernzugriff in SASE integriert ist, profitieren die Nutzer an entfernten Standorten vom vollständigen Sicherheits-Stack und von der Netzwerkoptimierung in der SASE-Architektur.

Überlegungen zur Bereitstellung von Netzwerk und Sicherheit

Wenn Firmen die Einführung von SASE in Betracht ziehen, sollten sie komplette Gabelstapler-Migrationen auf einen Schlag vermeiden – den vollständigen Austausch der vorhandenen Infrastruktur.

Wie SD-WAN unterstützen SASE-Implementierungen schrittweise Migrationen, die nicht nur mit bestehenden Netzwerkdiensten, sondern auch mit bestehenden Sicherheitsservices funktionieren. Auf der Netzwerkseite umfassen SASE-Angebote SD-WAN-Edge-Geräte, und Unternehmen könnten sogar ein SASE-Angebot als SD-WAN-Alternative einsetzen. Fernzugriff und Cloud-Konnektivität sollten optional sein.

Auf der Sicherheitsseite ersetzen SASE-Angebote eine Vielzahl von Sicherheitsfunktionen, darunter Next-Generation Firewalls (NGFW), Secure Web Gateways (SWG), Cloud Access Security Broker (CASB) und Zero-Trust-Netzwerkzugang. Einige SASE-Anbieter werden begrenzte Implementierungen von heterogenen Anbietern auf verschiedene Weise unterstützen. In diesem Fall bedeutet begrenzt, dass sie die Granularität der Site-by-Site-Bereitstellung unterstützen; Firmen sollten dabei nicht erwarten, dass sie einige ihrer Sicherheitskomponenten gegen Angebote anderer Anbieter austauschen können.

Unternehmen können Standorte ohne die Sicherheitsdienste des SASE-Anbieters betreiben oder sie nur zum Schutz einiger Zweigstellen aktivieren. Im letzteren Fall können sie Legacy Firewalls über IPsec-Tunnel mit der SASE-Plattform verbinden, während die Sicherheitsdienste des SASE-Providers die übrigen Standorte schützen.

Wenn Unternehmen darauf bestehen, die bestehenden Firewalls aufrechtzuerhalten, insbesondere in der Niederlassung, können sie das sogenannte Firewall Bursting als Ansatz in Betracht ziehen. Ähnlich wie beim Cloud Bursting, bei dem eine Anwendung in einer Private Cloud oder einem Rechenzentrum in eine Public Cloud wechselt, wenn die Nachfrage nach Rechenkapazität sprunghaft ansteigt, bleibt beim Firewall Bursting die alte Firewall-Appliance am Netzwerkrand (Edge) stehen, sodass überschüssiger Datenverkehr zur Verarbeitung in die SASE-Cloud geladen wird.

So radikal die SASE-Architektur auch klingt, ihre Umsetzung ist Teil des natürlichen WAN-Transformations-Prozesses, der die Branche seit einiger Zeit durchzieht.

Viele Kunden sind überrascht zu erfahren, wie sehr sich die Sicherheitskosten mit SASE reduzieren. Die traditionellen Sicherheitskosten umfassen Rack-Platz, Strom, Internetkonnektivität, MPLS-Konnektivität, Hardwarekosten und Wartung. Auch die Betriebs- und Lizenzkosten sowie eventuelle Upgrade- und Ersatzkosten für die Sicherheitsinfrastruktur können recht erheblich sein.

Darüber hinaus müssen Unternehmen die Sicherheitsinfrastruktur ständig warten. Wenn Sicherheitsteams einen neuen Angriff oder eine neue Schwachstelle entdecken, sind sie genötigt, ihre Infrastruktur im Wettlauf mit der Zeit aufzurüsten. SASE-Anbieter unterhalten die Sicherheitsinfrastruktur selbst und gehen dieses Problem an.

Da Sicherheitsfunktionen möglicherweise anders lizenziert werden, müssen Unternehmen mit noch nicht vollständig abgeschriebenen Investitionen für Sicherheitsmaßnahmen entscheiden, ob sie SASE-Sicherheitsfunktionen aktivieren oder nicht. In vielen Fällen können Unternehmen ihre Sicherheitsinvestitionen bis zum Vertragsende aufrechterhalten, um die Kosten für eine solche Funktion im SASE-Angebot zu sparen. In den meisten Fällen ziehen es Unternehmen jedoch vor, solche Investitionen aufgrund der höheren betrieblichen Effizienz abzuschreiben, die das neue Angebot mit sich bringt.

Die SASE-Architektur ist eine überzeugende Option

SASE bildet einen natürlichen Fortschritt bei der Entwicklung des WAN. Cloud, Fernzugriff und mobiler Zugriff sind zu wesentlich, als dass man sie getrennt von anderen Standorten betrachten könnte. Sicherheit ist mittlerweile untrennbar mit Konnektivität verbunden. Unternehmen können den Nutzern unmöglich Zugang zu Anwendungen oder Daten gewähren, wenn diese Verbindungen nicht abgesichert sind.

Die Einführung von SASE ist dann weniger eine Frage des Ob, sondern vielmehr des Wann. Ich glaube, die meisten Unternehmen werden SASE in den nächsten fünf Jahren einführen. Die Vorteile sind einfach zu überzeugend.

Erfahren Sie mehr über LAN-Design und Netzwerkbetrieb