3 Tipps zum Einstieg in Security Service Edge
SSE hat aus Sicherheitssicht nahezu alle Vorteile von SASE. Gleichzeitig verzichtet das Konzept aber auf einen großen Teil des Overheads und oft gar nicht benötigte Funktionen.
Security Service Edge oder abgekürzt SSE ist ein noch junger Ansatz zum Absichern von Daten, Anwendungen und Geräten – und zwar unabhängig davon, wo sie sich gerade befinden.
Am besten stellen Sie sich SSE als reduzierte, rein auf die Sicherheit fokussierte Version von Secure Access Service Edge (SASE) vor. SASE umfasst neben der IT-Sicherheit zusätzlich auch Netzwerkdienste, was in der Praxis für viele Unternehmen aber eine zu große Belastung darstellen kann.
SSE unterstützt drei der wichtigsten Sicherheitstechnologien, die auch zu SASE gehören:
- Cloud Access Security Broker (CASB)
- Secure Web Gateways (SWGs)
- Zero Trust Network Access (ZTNA)
Andere Fähigkeiten lässt SSE jedoch weg. Die wichtigste dürfte die WAN-Unterstützung (Wide Area Network) von SASE sein. Durch einen Umstieg auf SSE und den Verzicht auf SASE erhalten Unternehmen einen großen Teil der Sicherheitsvorteile und haben zudem meist eine leichtere und schnellere Migration.
Im Folgenden stellen wir drei praktische Tipps für den Einstieg in SSE vor.
1. Führen Sie den Einstieg in SSE in Phasen durch
Die Einführung von SSE setzt voraus, dass CASB-, SWG- und ZTNA-Technologien vorhanden und im Einsatz sind. Jede dieser Techniken benötigt allerdings ihre eigenen, meist umfangreichen Planungen und Migrationsanstrengungen. Sie sollten daher die Anwender, Geräte, Daten und Applikationen nur in sorgfältig vorbereiteten und aufeinander aufbauenden Phasen auf SSE umstellen.
Dieses Prinzip gilt hier genauso wie für andere größere technische Umstellungen. Entwickeln und setzen Sie am besten erst ein kleines Pilotprojekt um, mit dem Sie größere Probleme erkennen und bereits im Vorfeld beheben können. Erweitern Sie anschließend dieses Projekt in kleinen Schritten um zusätzliche Nutzer, Devices, Daten und Anwendungen.
Ein Hinweis zur Vorsicht: Allgemein gesagt, muss ein Unternehmen immer erst alle seine Nutzer und lokalen sowie Cloud-basierten Dienste und Anwendungen zu SSE migrieren, bevor es die vollständigen Vorteile aus Sicherheitssicht genießen kann.
Eine der größten Verbesserungen von SSE ist, dass nach der Umstellung nicht mehr von überall aus auf Dienste und Anwendungen zugegriffen werden kann. Stattdessen kontaktieren legitime Nutzer erst SWGs, die dann dafür sorgen, dass die Sicherheitsrichtlinien auch wirklich durchgesetzt werden.
Außerdem überwachen sie alle durchgeführten Aktivitäten auf potenzielle Bedrohungen. Der Einsatz von CASBs und ZTNA bringt aus Sicherheitssicht weitere Vorteile wie Authentifizierung, zuverlässige Zugriffskontrollen und verhaltensbasierte Analysen mit sich.
Bis aber alle Anwender erst einmal zu SSE migriert sind, bleiben die von ihnen genutzten Dienste und Anwendungen einem erhöhten Risiko ausgesetzt. Die Migrationsphase sollte deswegen kurz gestaltet werden, um so früh wie möglich von der mit SSE erreichbaren höheren Sicherheit zu profitieren.
2. Erst überwachen, dann Sicherheitsrichtlinien durchsetzen
Manche SSE-Komponenten, ganz besonders ZTNA, sind weit restriktiver als die Vorgängertechnologien, die sie ersetzen sollen. Zum Beispiel prüft SSE regelmäßig den Zustand der Endgeräte, das Verhalten der Nutzer und andere typische Charakteristiken. Das wirkt sich sehr positiv auf die allgemeine Sicherheitslage in einem Unternehmen aus. Anfangs kann es aber zu unerwarteten Überraschungen und gelegentlich auch Unterbrechungen von Diensten führen.
Wann immer es möglich ist, sollten Sie Ihre SSE-Umgebung daher während der Pilotphase in einem reinen Monitoring-Modus laufen lassen, ohne dass Sie dabei schon die Richtlinien scharf schalten. So erfahren Sie, was die eingesetzten Techniken geblockt hätten und warum dies der Fall ist. Oft lassen sich so Verletzungen der geplanten Sicherheitsrichtlinien entdecken. Manchmal wird dadurch aber auch deutlich, wo eine SSE-Richtlinie zumindest vorübergehend entschärft werden muss, um sie an das Geschehen in der realen Welt anzupassen.
3. Identifizieren Sie Kontrollmaßnahmen zur Ergänzung Ihrer SSE-Strategie
Abhängig davon, welche CASB-, SWG- und ZTNA-Techniken ein SSE nutzt, gibt es möglicherweise die eine oder andere Lücke in den Sicherheitsmaßnahmen. Glücklicherweise ist es in den meisten Fällen recht einfach, die blinden Flecken durch den Erwerb weiterer Security-Services für Ihr Netzwerk zu schließen. Beispiele dafür sind SASE-Techniken wie FaaS (Firewall as a Service) oder Data Loss Prevention (DLP).
Wenn die SSE-Umgebung eines Unternehmens aber gleich mehrere zusätzliche Maßnahmen benötigt, ist es manchmal besser, einen Schritt zurückzutreten und eventuell doch gleich eine vollständige SASE-Implementation anzuvisieren. Es hat durchaus Vorteile, auf eine einzige SASE-Plattform zu setzen, statt mehrere unterschiedliche SSE- und SASE-Komponenten nach und nach miteinander zu verbinden. Wenn aber SASE zu groß oder zu teuer für ein Unternehmen sein sollte, ist das Hinzufügen einzelner Maßnahmen zu einer SSE-Umsetzung die bessere Herangehensweise.