sdecoret - stock.adobe.com
Zwischen Realität und Hype: 5 SASE-Produkte im Vergleich
SASE kann gängige Netzwerk- und Sicherheitsprobleme angehen, befindet sich aber immer noch in der Entwicklung. Wir vergleichen in unserer Übersicht fünf führende Plattformen.
Nur ein Jahr nach seiner Vorstellung durch Gartner hat sich Secure Access Service Edge (SASE) als treibende Kraft in der Netzwerk- und Sicherheitsbranche für Unternehmen etabliert. Heute behauptet fast jeder größere Akteur aus den Bereichen IT-Sicherheit oder Netzwerk, irgendeine Form von SASE-Angebot im Portfolio zu haben. Doch potenzielle Käufer müssen klar trennen zwischen den vollmundigen Marketingsprüchen der Anbieter und dem, was sich mit SASE-Produkten tatsächlich erreichen lässt.
Die SASE-Architektur definiert einen Cloud-Service, der alle Unternehmens-Endpunkte – Standorte, mobile Nutzer, Cloud-Ressourcen und IoT-Geräte – über jedes physische Netzwerk verbindet und absichert. Das Ziel eines SASE-Systems besteht darin, die verschiedenartigen Sicherheitswerkzeuge und -netzwerke zu vereinheitlichen. Diese haben zusammen zu hohen Kapitalkosten und kompliziertem Troubleshooting geführt, was Lücken in der Sicherheitsinfrastruktur verursacht hat.
Zwischen dem SASE-Hype und der Realität zu unterscheiden, kann eine Herausforderung sein. Potenzielle SASE-Kunden sollten bei der Produktauswahl sowohl die aktuellen Fakten als auch das, was sie sich erhoffen, berücksichtigen.
SASE: Die Theorie
SASE entstand als Reaktion auf die Einführung von Cloud- und Mobility-Lösungen in Unternehmen. Ältere Firmennetzwerke setzten voraus, dass die Nutzer in Büros arbeiten und auf Daten und Anwendungen im Data Center zugreifen. Aus Sicherheitsgründen stand den Anwendern der Internetzugang in der Regel über ein sicheres Gateway in der Zentrale oder im Data Center zur Verfügung.
Doch angesichts der Verlagerung von immer mehr Daten und Anwendungen in die Cloud und der zunehmenden Verbreitung von Remote-Arbeit denken Unternehmen über neue Wege nach, wie sie einen sicheren Netzwerkzugang bereitstellen können. Das Backhauling (Rückführen) des Datenverkehrs zu einem Rechenzentrum fügt zu viel Latenz hinzu, und Legacy-Netzwerken fehlt es an Bandbreite. Außerdem ist der klassische Sicherheitsperimeter, bei dem eine feste Firewall das Unternehmensnetzwerk vor dem unsicheren Internet schützt, in einer Infrastruktur wenig sinnvoll, in der Benutzer und Daten sich außerhalb des Perimeters befinden.
Organisationen brauchen eine ganzheitlichere Verteidigungsstrategie, die eine Vielzahl von Technologien vom Endpunktschutz über die Malware-Prävention bis hin zur Content-Inspektion umfasst – ein Aspekt, den etwa die US-Bundesbehörde Cybersecurity and Infrastructure Security Agency in ihrem Cyber Essentials Toolkit betont hat.
In der Praxis erweist sich die Durchführung eines solchen ganzheitlichen Ansatzes als Herausforderung, insbesondere für mittelständische Unternehmen. Lücken in der Sicherheitsinfrastruktur sind ein gefundenes Ziel für Angreifer, und spezielle Fähigkeiten zum Schutz vor derartigen Vorfällen erhöhen die Personalkosten. Häufig hindern die Anforderungen des Tagesgeschäfts schlanke IT-Teams daran, strategische Best Practices, etwa Penetrationstests oder die proaktive Entwicklung von Incident-Strategien, zu implementieren.
SASE nimmt sich dieser Netzwerk- und Sicherheitsherausforderungen an, indem es ein globales Netzwerk von Points of Presence (PoP) vorsieht, die durch einen hochperformanten Backbone miteinander verbunden sind. Im Idealfall läuft die Sicherheits- und Netzwerksoftware auf einer Cloud-nativen, mehrmandantenfähigen Plattform im PoP. Dadurch erhält SASE alle Elastizitäts-, Skalierbarkeits- und Kostenvorteile eines Cloud-Services.
Unternehmen verbinden ihren Netzwerk-Edge mit diesen PoPs über eine beliebige verfügbare lokale Internetverbindung. Die Edges umfassen Software-defined WAN (SD-WAN) zur Standortanbindung, VPN-Clients und clientlosen Zugriff für Remote-Nutzer, native Verbindungen oder virtuelle Appliances für die Cloud. Somit kann SASE theoretisch globale MPLS-Netzwerke, Site-to-Site-VPNs, Remote-Access-VPNs, Cloud Gateways und direkte Cloud-Verbindungen von Legacy-Netzwerken ersetzen.
Ein Portfolio von Sicherheitsfunktionen kann den gesamten Traffic untersuchen, der an die PoPs gesendet wird. Gartner ermittelte eine breite Palette an Sicherheitstechnologien, die eine SASE-Plattform implementieren sollte. Dazu zählen sicheres DNS, Next-Generation Firewall (NGFW), Secure Web Gateway (SWG), Cloud Access Security Broker (CASB), Zero Trust Network Access (ZTNA) und Data Loss Prevention (DLP). Eine einzige Plattform, in der alle genannten Technologien integriert sind, ermöglicht eine Sicherheitsinfrastruktur, die sich sowohl einfacher betreiben als auch warten lässt.
Die Konvergenz von Technologien bringt aber auch noch andere Vorteile mit sich. Das Troubleshooting ist für IT-Admins einfacher, da alle Networking- und Sicherheitsdaten theoretisch über eine einheitliche Konsole zur Verfügung stehen sollten. IT-Administratoren müssen nicht mehr zwischen den Schnittstellen wechseln, was das Troubleshooting erschwert.
Wenn man alle Technologien zusammenführt, verbessert das die IT-Flexibilität. Nach Untersuchungen von SD-WAN-Experten bestand eine der Herausforderungen von COVID-19 darin, dass Unternehmen plötzlich ihre Remote-Access-Plattformen ausbauen mussten. Diese waren nur dafür ausgelegt, dass 10 Prozent bis 15 Prozent der Belegschaft wenige Stunden am Tag darüber arbeiteten. Nun mussten alle Beschäftigten den gesamten Tag zugreifen.
Diese Änderungen bedeuten, dass Unternehmen mehr VPN-Serverressourcen anschaffen müssen und mehr Internetkonnektivität benötigen, da der Traffic an diesen VPN-Servern enden muss. Möglicherweise sind mehr VPN-Server erforderlich, sei es aus Gründen der Verfügbarkeit oder um Anwender anzubinden, die weltweit verteilt arbeiten. Die Unternehmen müssen nach wie vor sicherstellen, dass alle Sicherheitsrichtlinien und Performance-Optimierungen vorhanden sind, um ihren Mitarbeitern einen sicheren Firmen-Remote-Zugriff zu bieten. Die SASE-Architektur geht genau diese Fragen direkt an.
SASE: Die Realität
Die Realität von SASE weicht jedoch erheblich von der Theorie ab. SASE als Architektur bleibt für die nächsten drei bis fünf Jahre immer noch ein unfertiges Produkt. Derzeit erfüllt keine Plattform alle Gartner-Kriterien.
Nach aktuellem Stand unterscheiden sich SASE-Produkte beträchtlich in der Funktionalität. Mit vielleicht einer Ausnahme sind die Networking- und Security-Anbieter einfach noch nicht in der Lage, die Vision von SASE vollständig umzusetzen. Das ist die simple Wahrheit. Von daher lautet die wichtigste Frage, die Käufer stellen sollten: Welche Teile der SASE-Vision werden von der Architektur eines Anbieters derzeit in dessen SASE-Produkt implementiert?
Erfahrungsgemäß wird von allen echten SASE-Providern erwartet, dass sie Folgendes bieten:
-
Networking- und Security-Integration: Der Umfang und das Ausmaß dieser Integration werden aber unterschiedlich sein.
-
Unterstützung für Remote-Nutzer und -Standorte: Dies könnte momentan jedoch die Bereitstellung kleiner SD-WAN-Geräte in Home-Offices erfordern.
-
Unterstützung für einen globalen privaten Backbone: Der Backbone kann entweder von Ihnen selbst oder von Dritten zur Verfügung gestellt werden, etwa Azure, AWS oder anderen. Schließlich unterliegt das globale Internet Schwankungen, sodass sich nicht vorhersehen lässt, ob überall auf der Welt eine dauerhaft niedrige Latenz erreicht werden kann.
In Zukunft sollten Kunden erwarten, dass SASE-Systeme:
-
sich zu echten Cloud-Services entwickeln und durch eine Cloud-native Architektur zur Kostenreduzierung beitragen;
-
über eine einzige Managementkonsole verfügen, die sowohl Sicherheits- als auch Netzwerkdomänen konvergiert; und
-
identitätsgetrieben sind, sodass alle Networking- und Sicherheitsrichtlinien nicht von einer Geräte-IP-Adresse, sondern vom Nutzer abhängen.
Nachfolgend werfen wir einen kurzen Blick auf fünf SASE-Plattformen, die auf dem aktuellen Markt eine relevante Rolle spielen. Wir haben jeden Anbieter um Angaben zu den folgenden fünf Bereichen gebeten:
-
Beschreiben Sie kurz Ihre SASE-Architektur.
-
Identifizieren Sie alle mehrmandantenfähigen Komponenten in Ihrer SASE-Plattform.
-
Bieten Sie einen privaten Backbone? Falls ja, wie viele PoPs bieten Sie in jeder Region (Nordamerika, Lateinamerika, EMEA, APAC und China)?
-
Welche drei Funktionen verschaffen Ihnen einen entscheidenden Vorteil gegenüber Ihren Wettbewerbern?
-
Beschreiben Sie Ihr Preismodell.
Cato Networks
Cato nennt sein Produkt Cato Cloud. Es verbindet laut Herstellerinformationen alle Filialstandorte, Remote-Nutzer und Cloud-Ressourcen zu einem globalen und sicheren Cloud-Service.
Nach Angaben von Cato ist die Lösung so gestaltet, dass sie alle wesentlichen SASE-Anforderungen erfüllt: Konvergenz von Networking und Sicherheit in eine identitätsbasierte Single-Pass Engine, Cloud-basierter und Cloud-nativer Service, globaler Fußabdruck und Unterstützung für alle Edges.
Cato Cloud besteht aus einem globalen privaten Backbone von mehr als 60 PoPs und Fully Managed Security Services. Dazu gehören NGFW, SWG, Next-Generation Anti-Malware, ein Intrusion Prevention System (IPS), native Cloud-Integration, Remote Access, Unified Management und ein SD-WAN-Gerät – der Cato Socket.
Cato offeriert seine Services in Form eines Jahresabonnements. Der Preis richtet sich nach der Kapazität auf der letzten Meile von angebundenen Filialstandorten und der Anzahl der Remote-Nutzer.
Open Systems
Ganz gleich, ob Branch-Standorte oder Clouds irgendwo auf der Welt: Die Managed-SASE-Produkte von Open Systems verbinden die Benutzer eines Unternehmens sicher mit Anwendungen. Das Unternehmen gibt an, die digitalen Assets der Kunden zu schützen und permanent zu überwachen, um Bedrohungen proaktiv zu erkennen und darauf zu reagieren.
Die Managed-SASE-Plattformen des Unternehmens basieren auf der einheitlichen, zukunftssicheren Plattform von Open Systems, die wichtige Networking- und Security-Services integriert. Dazu zählen SD-WAN, Anwendungsoptimierung, NGFW, SWG, CASB und Remote Access. Open Systems bietet keine mehrmandantenfähigen Komponenten oder einen privaten Backbone. Kunden wird daher empfohlen, auf Backbones von Dritten auszuweichen.
Open Systems legt ein nutzerbasiertes Preismodell zugrunde. Eine einmalige Einrichtungsgebühr deckt Projektkosten, Design und Implementierung ab. Die monatlich anfallenden Kosten sind für Software- und Hardwarelizenzen, Lifecycle-Management und Support.
Palo Alto Networks
Die SASE-Plattform von Palo Alto nutzt den SD-WAN Edge des Tochterunternehmens CloudGenix mit Prisma Access von Palo Alto, um SD-WAN-Endpunkte und mobile Nutzer abzusichern. Außerdem kommt Prisma SaaS zum Einsatz, um sanktionierte SaaS-Anwendungen zu schützen. Prisma Access ist eine mehrmandantenfähige Anwendung, die es Kunden erlaubt, mehrere Instanzen auf einer einzigen Panorama-Appliance zu hosten. Prisma-Access-Mandanten erhalten ihre eigenen dedizierten Instanzen, die nicht zwischen Mandanten geteilt werden.
Zwar stellt Palo Alto keinen privaten Backbone bereit, gibt aber an, eine konsistente, Cloud-basierte Sicherheit per Multi-Cloud-Architektur zu bieten, die über 100 Standorte in 76 Ländern umfasst.
Die aktuellen Preismodelle basieren auf der genutzten Bandbreite.
Versa Networks
Versa bietet SASE-Services sowohl On-Premises als auch über die Cloud und nutzt dazu sein Versa Operating System (VOS). Versa SASE ist als Private-Cloud-Service verfügbar, den Unternehmen mit ihren eigenen privaten Versa Cloud Gateways betreiben, verwalten und hosten können.
Die Services von Versa SASE beinhalten SWG, NGFW, Virtual Desktop Infrastructure (VDI), sicheres DNS, Edge-Compute-Schutz, VPN, ZTNA und SD-WAN. Der VOS-Software-Stack wird über eine einzige Managementschnittstelle verwaltet.
Versa Cloud Gateways sind über 90 Standorte verteilt. Versa stellt keinen Backbone zur Verfügung, ermöglicht es aber, Gateways über private Backbones innerhalb von Azure, AWS und Equinix miteinander zu verbinden. Remote Browser Isolation, eine Netzwerk-Sandbox und CASB sind im Beta-Stadium.
Versa SASE ist als abonnementbasierter Service erhältlich. Der Preis richtet sich nach den Funktionen und Einsatzmöglichkeiten, die die Benutzer benötigen.
VMware
Die SASE-Plattform von VMware konvergiert Cloud Networking, Cloud Security und ZTNA mit Websicherheit. Sie enthält VMware Edge Network Intelligence für eine zusätzliche Nutzersichtbarkeit.
Die VMware-SASE-Plattform ist als Managed Service oder DIY-Lösung verfügbar. Sie stützt sich dabei auf ein globales Netzwerk von über 2.700 Cloud-Service-Knoten bei mehr als 100 PoPs. Diese PoPs dienen als Zugänge zu SaaS- und anderen Cloud-Services. VMware bietet keinen Backbone, sondern greift stattdessen auf Service-Provider-Partner zurück.
Networking- und Security-Services können für Filialstandorte, mobile Nutzer, Campusse und IoT-Geräte intrinsisch oder sequenziert bereitgestellt werden. Alle Komponenten sind mehrmandantenfähig.
VMware verwendet ein abonnementbasiertes Preismodell. Physische VMware-Edge-Geräte werden sowohl zum Kauf als auch zur Miete angeboten. Darüber hinaus gibt es spezielle Softwarepakete, um auch langfristige Anforderungen für das Arbeiten im Home-Office abzudecken.