Tierney - stock.adobe.com
Die 5 Top-Vorteile von SASE und auch einige Nachteile
Eine Cloud-basierte verteilte Architektur, zentralisiertes Management und endpunktspezifische Sicherheitsrichtlinien sind nur einige der Vorteile von Secure Access Service Edge.
Secure Access Service Edge – abgekürzt SASE und wie das englische Wort sassy ausgesprochen (also sässi) – wurde ursprünglich von Gartner in zwei Marktforschungsberichten beschrieben: Market Trends: How to Win as WAN Edge and Security Converge Into the Secure Access Service Edge (Markttrends: So gewinnen Sie, wenn WAN-Edge und Sicherheit zum Secure Access Service Edge zusammenwachsen) und The Future of Network Security Is in the Cloud (Die Zukunft der Netzwerksicherheit liegt in der Cloud). Aber was ist SASE genau, und wo liegen die entscheidenden Vorteile von SASE?
Zunächst sollte man wissen, dass der sichere Unternehmensperimeter mit offenem, internem Zugriff größtenteils verschwunden ist. Moderne Bedrohungen stammen von Malware, die über Spear-Phishing-Angriffe auf interne Systeme gelangt. Der Netzwerk-Edge existiert nun überall dort, wo Mitarbeiter sich gerade aufhalten, wenn sie sich mit dem Unternehmensnetzwerk verbinden. Das kann beispielsweise von zu Hause aus, in einem Café oder im Urlaub sein. SASE legt die Mechanismen fest, die benötigt werden, um IT-Sicherheit integriert mit Netzwerkkonnektivität am Zugriffspunkt bereitzustellen.
Anwendungen sind vom unternehmenseigenen Data Center zu Cloud- und SaaS-Providern ausgelagert worden. Während eine Anwendung möglicherweise noch in einem Data Center des Unternehmens verbleibt, ist eine andere Anwendung bereits in eine Public Cloud gewandert. Eine dritte Anwendung wiederum wird von einem SaaS-Provider bereitgestellt. Andere Anwendungen sind auf Daten angewiesen, die von IoT-Geräten erfasst werden. Deren Authentifizierungs- und Autorisierungsdaten kommen aber nicht von einem Menschen. Entscheidend ist, dass sich die Muster des Netzwerk-Traffics geändert haben. Entsprechend müssen sich Netzwerk- und Sicherheitssysteme anpassen.
IT-Sicherheit und Netzwerk-Performance sehen sich der Herausforderung gegenüber, dass Netzwerk-Traffic-Ströme durch Kommunikationsinfrastruktur fließen, die nicht mehr der Kontrolle der unternehmenseigenen Networking- und Sicherheitsteams untersteht. Stattdessen muss die Netzwerksicherheit identitätsorientiert werden, und zwar für Geräte, Beschäftigte, Partner und Kunden gleichermaßen.
SASE sieht die optimale Netzwerk-Performance für alle Anwendungen vor und integriert zudem Sicherheitskontrollen näher am Nutzer. Die Technologie ersetzt den sicheren Perimeter durch integrierte Sicherheit im gesamten Netzwerk. Die Endpunkte verbinden sich mit Cloud-basierten SASE-Analyseinstanzen. Diese liefern die Sicherheitsdienste und leiten dann zugelassenen und sicheren Netzwerk-Traffic zum vorgesehenen Ziel weiter. Aufgrund des Cloud-basierten Standorts lässt sich Traffic bequem an Cloud- und SaaS-Anwendungen weiterleiten. Optimales Routing und Quality of Service (QoS) werden genutzt, um Traffic zu Anwendungen zu routen, die sich im Data Center des Unternehmens befinden.
Es ist offensichtlich, dass SASE einige Innovationen rund um die Netzwerk-Edge-Sicherheit einführt. Beschäftigen wir uns also etwas eingehender mit fünf wesentlichen Vorteilen von SASE.
Was sind die Vorteile von SASE?
1. SASE kümmert es nicht, wo sich Anwendungen befinden
Anwendungen können in einem Corporate Data Center, einer Private Cloud oder Public Cloud beziehungsweise im Rahmen eines SaaS-Angebots bereitgestellt werden. Zentralisierte Netzwerkkonnektivität und -sicherheit sind für diese großflächige Verteilung von Anwendungen nicht optimal. Die verteilte Architektur von SASE erleichtert die Ausführung der Sicherheitsfunktionen in der Nähe des Endbenutzers und vereinfacht gleichzeitig die Konnektivität mit den Anwendungen.
2. Zentralisierte, dynamische, rollenbasierte Policies optimieren den Betrieb
Ein zentrales Management der Sicherheitsrichtlinien optimiert sowohl die Networking- als auch die Sicherheitsaspekte von Remote-Arbeitern, unabhängig von deren Standort. Im Wesentlichen befindet sich der Netzwerkperimeter dort, wo auch der Endpunkt ist, selbst wenn er sich in einem Netzwerk aufhält, das nicht von den Mitarbeitern der eigenen Organisation kontrolliert wird. Sicherheit wird dynamisch angewendet, wobei die Richtlinien auf der Rolle der sich verbindenden Entität basieren.
Zum Beispiel erhält ein Vertriebsmitarbeiter eine andere Policy als ein IoT-Gerät. Die Richtlinie dafür unterscheidet sich wiederum von solchen für nicht verwaltete Geräte, wie Telefone und Tablets. Diese Konfiguration ist hervorragend für das Sicherheitsmanagement von Geräten geeignet, die sich üblicherweise aufgrund von Alter, Anbieter oder Funktion nur schwer absichern lassen. Dazu gehören etwa medizinische Geräte.
Darüber hinaus bietet Remote Browser Isolation (RBI) eine Webkonnektivität, die das Quellgerät vor Malware schützt. Auf ähnliche Weise helfen Schutzmaßnahmen für IoT-Hardware, das Hijacking dieser Geräte zu verhindern.
Identitätsmanagement ist eine grundlegende Voraussetzung, um die Rolle des Endpunkts zu identifizieren, und nutzt entsprechende Sicherheits- und Konnektivitäts-Policies. Netzwerkparameter wie QoS und dynamische Pfadwahl – letzteres eine SD-WAN-Funktion (Software-defined WAN) – werden automatisch pro Endpunkt bereitgestellt. Dies optimiert die Anwendungs-Performance und ermöglicht die Sicherheitsrichtlinien, die sich für die Rolle des jeweiligen Endpunkts eignen.
Die Integration von Sicherheit und Networking ins zentralisierte Management reduziert die laufenden Kosten für die Verwaltung und Wartung des Systems. Das zentrale Management verringert die Wahrscheinlichkeit menschlicher Fehler, die zu unerwünschten Sicherheitslücken führen können.
3. Integration von Sicherheit und Routing
SASE integriert mehrere Sicherheitsfunktionen in ein System:
- DNS-Reputation
- Remote Browser Isolation
- Zero-Trust-Netzwerkzugriff
- Data Loss Prevention
- Malware-Schutz
- Cloud Access Security Broker (CASB)
- Firewall as a Service
- Intrusion Detection
- Intrusion Prevention
- Secure Web Gateway
Mit der richtigen Struktur können SASE-Mechanismen eine Netzwerkverhaltensanalyse durchführen, um Fälle zu erkennen, in denen Malware beginnt, die interne Infrastruktur zu untersuchen und anzugreifen.
Die Konsolidierung von Funktionen in ein Produkt nur eines Anbieters kann die Komplexität, eine umfassende Sicherheitsfunktionalität bereitzustellen, erheblich reduzieren. Die Aufgabe der Mitarbeiter wandelt sich und beschränkt sich nicht mehr auf die Policy-Pflege pro Gerät, sondern erstreckt sich auf systemweite Policy-Services, was die Produktivität steigert. Natürlich müssen Sie darauf achten, dass die Funktionen gut integriert sind und es sich um zueinanderpassende Komponenten handelt, die irgendwie miteinander verbunden werden.
Die Integration mit dem Routing gewährleistet, dass der Traffic sicher ist und ordnungsgemäß über die gewünschten Links geroutet wird. Sie sollten sich bei Ihrer Produktrecherche mit den Details befassen, wie der Traffic geroutet wird und wo sich die Sicherheitskontrollen befinden. Einige Anbieter verlassen sich auf ein VPN zu Cloud-basierten Sicherheitssystemen, während andere vielleicht auf CPE-Geräte (Customer Premises Equipment) angewiesen sind.
4. Reduzierte WAN-Kosten
Die Routing-Komponente, über die SASE von Haus aus verfügt, funktioniert ähnlich wie SD-WAN. Sie sollten davon ausgehen, dass Sie die WAN-Kosten kontrollieren, indem Sie die Notwendigkeit für kostspieligeres MPLS und gemietete Leitungen zugunsten von VPN-Konnektivität über das öffentliche Internet reduzieren oder ganz beseitigen. Technologien zur WAN-Optimierung lassen sich auch verwenden, um das WAN effizienter zu gestalten.
Cloud-basierte SASE-Implementierungen können die Traffic-Ströme weiter optimieren, indem sie die Cloud-Konnektivität zu großen SaaS-Anbietern ausnutzen. Diese Verbindungen sind in der Regel redundant und hochgradig zuverlässig. Dies dürfte zu einer besseren Anwendungsverfügbarkeit führen.
5. Verteilte Architektur
Um eine Effizienzsteigerung zu erzielen, basiert SASE auf einer verteilten Architektur mit zentralisiertem Management, genau wie SD-WAN. Zentralisiertes Management findet häufig in einer Cloud-Instanz statt. Endpunkte und Filialbüros können dedizierte CPE-Geräte nutzen oder sich mit einer Cloud-Instanz verbinden, die die Sicherheitsmechanismen zur Verfügung stellt. Die Netzwerk-Traffic-Ströme werden optimal zu ihrem Ziel geroutet. Die Cloud-basierte Architektur kann resilienter sein, falls es zu DoS-Angriffen (Denial of Service) kommt.
SASE bietet eine bessere Netzwerklatenz als bei Nutzung einer VPN-Verbindung zu einem Rechenzentrum des Unternehmens, wo Sicherheit normalerweise implementiert ist. Traffic, der entweder durch die CPE-Geräte oder die Cloud-Sicherheitssysteme abgesichert worden ist, wird direkt zu seinem Ziel geroutet. Trombone Routing von Traffic zu einem Data Center und von dort wieder zurück, nur um die Sicherheitssysteme zu durchlaufen, ist nicht mehr notwendig.
Was sind die Nachteile von SASE?
Sie fragen sich jetzt wahrscheinlich, ob es irgendwelche Nachteile von SASE gibt. Denn es hört sich zu gut an, um wahr zu sein. Alle Technologien oder Frameworks haben ihre Kritiker und SASE ist keine Ausnahme.
1. Teamintegration
Die größte Herausforderung dürfte ein Nebeneffekt aufgrund der engen Integration von Networking und Sicherheit sein. In Organisationen mit unabhängigen Security- und Networking-Teams wird wohl ein kultureller Wandel unumgänglich sein. Gartner empfiehlt, dass SASE von einer Führungskraft auf CIO-Ebene vorangetrieben werden sollte, da Security und Networking zusammenarbeiten müssen.
2. Mangelnde Produktklarheit
Sie sollten daran denken, dass SASE weder ein bestimmtes Produkt noch eine Compliance-Vorgabe ist, sondern eine Richtschnur oder ein Rahmen. Wie bei jeder Technologie sollten Sie deren Leistungsfähigkeit verstehen, sie mit ihren Anforderungen abgleichen und anhand Ihrer Analyse entsprechende Anbieter auswählen.