Wie SASE-Konvergenz organisatorische IT-Silos beeinflusst
Die meisten Unternehmen arbeiten mit getrennten Abteilungen. SASE vereint Netzwerk- und Sicherheitsfunktionen, durchbricht diese Strukturen und erfordert mehr Teamkommunikation.
Die SASE-Architektur (Secure Access Service Edge) fördert die Konvergenz von Netzwerk- und Sicherheitsfunktionen am Netzwerkrand. Eine erfolgreiche SASE-Implementierung erfordert jedoch Kommunikation, integrierte Geräte und eine ganzheitliche Planung.
Vor der Einführung von SASE waren Unternehmen hauptsächlich an softwaredefinierten WANs (SD-WAN) für ihre Edge-Standorte interessiert. SD-WAN bot die Möglichkeit, von Telekommunikationsanbietern geführte Architekturen zu verdrängen und etablierte Anbieter davon abzuhalten, das WAN-Geschäft von Unternehmen zu monopolisieren. Der direkte Internetzugang (DIA) und die Breitbandkonnektivität an entfernten Standorten führten jedoch zu einem Verwaltungsproblem hinsichtlich der Sicherheitsanforderungen an diesen Edge-Standorten.
Sicherheit auf Unternehmensebene nutzt eine Reihe von Funktionen, die oft als Geräte-Stack bereitgestellt werden. Während diese Strategie in zentralisierten Fällen kosteneffizient sein kann, erfordert die Gestaltung von Zweigstellen oder Außenstellen ein anderes Modell. Aus Leistungsgründen wünschten sich Unternehmen eine Aufteilung des Zugriffs zwischen sicheren Tunneln zu Services und DIA für Anwendungen wie Microsoft 365.
Hier setzte SASE an.
SD-WAN adressiert die Skalierung, kompliziert aber die Sicherheit
Intelligentes Routing mit SD-WAN-Technologie löst viele Probleme in Bezug auf Skalierbarkeit und Leistung für Unternehmen, aber nicht das der komplexen Sicherheit. Wenn überhaupt, kann SD-WAN das Problem noch verkomplizieren.
Die meisten frühen SD-WAN-Nutzer entschieden sich dafür, die Sicherheit als separaten Prozess zu belassen. Infolgedessen nutzten die Anwender in den Zweigstellen die SD-WAN-Verbindung zu einem Data Center, genau wie bei MPLS, wo die demilitarisierte Zone (DMZ) des Unternehmens den Internetzugang ermöglichte. Eine Zweigstelle mit DIA- oder Breitbandverbindung nutzte also das Internet, um ins Internet zu gelangen.
Die beiden folgenden Ansätze entstanden aus dem Versuch, die Sicherheitslage von SD-WAN zu verbessern. In beiden Fällen arbeiten die Sicherheits- und die Netzwerkteams völlig unabhängig voneinander.
1. Colocation Hubs
Bei diesem Modell wurden neue Sicherheits-Stacks geschaffen, die vom Sicherheitsteam betrieben werden und geografisch verteilt sind, um die Client-Performance zu verbessern. Hierbei wurde aber eine vollständige Trennung auf einem zugelassenen Sicherheits-Stack beibehalten.
Ein Beispiel ist die Referenzarchitektur Equinix Performance Hub, in der Clients SD-WAN-Traffic aggregieren und Sicherheits-Stacks auf Enterprise-Niveau einrichten können, die Internet-, SaaS- und Cloud-Konnektivität ermöglichen.
2. Security as a Service
Zscaler war Vorreiter des Security-as-a-Service-Modells, bei dem die Zweigstelle über sichere Tunnel zu den Data Centern des Unternehmens und separate Tunnel zu den Zscaler Data Centern verfügt. Auch Netskope hat mit diesem Modell begonnen.
Strukturbedingte Hindernisse für SASE
Die Hindernisse für SASE sind in erster Linie organisatorischer Natur und werden durch die geteilte Natur von IT-Teams verursacht.
Die IT-Abteilungen großer Unternehmen wuchsen im Laufe der Zeit und führten notgedrungen zu Organisationskulturen, die separate Silos für Netzwerke, Server, Desktops und Sicherheit schufen. In der Welt vor SD-WAN war die Sicherheitsausrüstung in Data Centern zentralisiert und wurde von einem separaten Team verwaltet.
Daher sind die Hindernisse für SASE in erster Linie organisatorischer Natur und werden durch die geteilte Natur der IT-Teams verursacht. Für eine erfolgreiche SASE-Implementierung müssen Unternehmen die Remote-Kundenendgeräte (CPE) und ihre Netzwerk- und Sicherheitsfunktionen ganzheitlich betrachten.
Zum Beispiel benötigt ein Mitglied des Security-Operations-Teams möglicherweise Lesezugriff auf einen Router und Schreibzugriff auf eine Firewall. Umgekehrt braucht ein Netzwerktechniker eventuell Schreibzugriff auf einen Router, aber Lesezugriff auf das Intrusion-Prevention-System (IPS) und die Firewall. Organisationen mit diesen Silos befolgen die ITIL-Trennung und bieten abgestuften Zugriff auf Infrastrukturgeräte.
Es gibt jedoch Situationen, in denen Unternehmensteams die Geräteverwaltung nicht gemeinsam nutzen. Das ist selbst der fall, wenn die Verwaltungsschnittstellen für Sicherheits- und Netzwerkfunktionen vollständig voneinander getrennt sind. Hier kollidieren Logik und Realität.
SASE-Entwicklung und Anbieter-Updates
Gartner hat seine Kategorisierung der SASE-Architektur und -Funktionalität in zwei Untereinheiten weiterentwickelt:
WAN-Edge-Services
Security Service Edge (SSE)
Sicherheitsteams verfolgen oft Best-in-Class-Ansätze für den Sicherheits-Stack. Das Feedback war jedoch, dass herstellerübergreifende Ansätze in SASE, insbesondere mit SSE, überarbeitet werden müssen. Obwohl viele Anbieter alles aus einer Hand anbieten möchten, hat sich die Praxis bewährt, dass ein einzelner Anbieter die SSE-Funktion übernehmen sollte. Warum ist das so? WAN-Edge-Funktionen werden in der Regel am Rand ausgeführt, während viele SSE-Funktionen in der Cloud stattfinden müssen. Infolgedessen führt die Aufteilung von Funktionen innerhalb von SSE häufig zu ineffizientem Datenverkehr zwischen SSE-Anbietern, was zu erheblichen Latenzzeiten führt.
Abbildung 1: Gartner-Detailansicht der SASE-Funktionen in zwei Kategorien – WAN-Edge und SSE.
In der Zwischenzeit hat es als Reaktion auf die Entwicklung von SASE eine Konsolidierung der Anbieter gegeben. Frimen wie Cisco, HPE, Fortinet, Palo Alto Networks und Versa Networks haben sich dazu entschlossen, SASE-Angebote aus einer Hand zu entwickeln, die Netzwerk- und Sicherheitsfunktionen kombinieren.
Unabhängig davon boten Netskope und Zscaler bereits konsolidierte SSE-Funktionen an, obwohl Netskope den SD-WAN-Anbieter Infiot kaufte, um in den Bereich Single-Vendor-SASE einzusteigen.
Darüber hinaus entsteht eine neue Klasse von Anbietern, die Ende-zu-Ende-SASE-Dienste anbieten. Zu diesen Firmen gehören Cato Networks und Cloudflare, die SD-WAN und Netzwerksicherheit in globalen, cloudnativen Diensten zusammenführen.
Was bei der betrieblichen Konvergenz von SASE und SSE zu beachten ist
Ein organisatorisches Konstrukt mit starren, in Stein gemeißelten Silos wird wahrscheinlich kein natives SASE- oder SSE-Angebot in Betracht ziehen, sollte es aber. Die Kostenvorteile integrierter Angebote sind enorm, da sie weniger Geräte, weniger Lieferantenverträge und weniger Wartungsaufwand bedeuten.
Unternehmen sollten prüfen, ob eine SASE- oder SSE-Plattform die folgenden vier Aspekte unterstützt:
Ein integriertes universelles CPE-Gerät (uCPE), das alle lokalen Netzwerk- und Sicherheitsfunktionen ausführen kann.
Ein Single-Pass-Verfahren für alle Netzwerk- und Sicherheitsfunktionen, ob im uCPE oder in der Cloud.
Ein Cloud- oder Content-Delivery-Netzwerk-Angebot zur Bereitstellung der zentralisierten Funktionen des SASE-Modells, zum Beispiel DNS und Cloud Access Security Broker (CASB).
Eine rollenbasierte Zugriffssteuerung (RBAC), die die Trennung von Management und Betrieb für Netzwerk- und Sicherheitsfunktionen ermöglicht.
Netzwerkteams und Sicherheitsteams kennen den Wunsch ihrer Organisation nach Veränderungen und Kostensenkungen. Lassen Sie potenzielle Anbieter diese Fragen beantworten, und die Optionen werden sich herauskristallisieren.
