Sergey Nivens - stock.adobe.com
Die wichtigsten Unterschiede zwischen SASE und SSE
SSE ist nicht das Gegenteil von SASE, sondern ein auf die IT-Security-Maßnahmen reduzierter Teil. Damit eignet sich das auch von Gartner entwickelte Konzept als Einstieg in SASE.
Secure Access Service Edge (SASE) ist ein Konzept, das mittlerweile den meisten IT-Security-Profis bekannt sein dürfte. Bei dem neueren Security Service Edge (SSE) ist das aber wohl noch nicht der Fall.
Der Begriff SASE wurde im Jahr 2019 von der Marktforschungsgesellschaft Gartner geprägt. Eine SASE-Lösung sorgt dafür, dass für das Netzwerk benötigte Dienste, Services zum Managen von Identitäten und sicherheitsrelevante Dienste in einer einzigen, einheitlichen Struktur zusammengeführt werden. SASE soll also die Sicherheitsmaßnahmen im Unternehmen bündeln und damit effektiver machen.
Das Konzept soll auch die Maßnahmen reduzieren, die normalerweise für die Absicherung von sowohl Edge-Umgebungen als auch einzelnen Anwendern benötigt werden. SASE erledigt dies durch die Schaffung einer einzigen, einheitlichen Vermittlungsstruktur, die alle unterschiedlichen Netzwerkdienste umfasst, die ein Unternehmen nutzt. Eine weitere Besonderheit ist, dass alle diese bisher getrennt voneinander eingesetzten Dienste jetzt von einer einzigen, zentralen Stelle aus verwaltet werden können.
Ende 2021 hat Gartner dann mit SSE ein weiteres Konzept vorgestellt. Security Service Edge konzentriert sich aber mehr auf die Sicherheitsfunktionen und weniger auf die Verbindungen im Netzwerk oder die Infrastruktur.
Eine der wichtigsten Säulen von SASE ist Software-defined Networking (SDN). Die Betonung liegt dabei auf den Verbindungen zwischen verteilten Niederlassungen und entfernten Standorten durch eine einheitliche Cloud-Umgebung. Auch wenn SSE manche dieser Elemente ebenfalls enthält, ein Beispiel sind etwa die Zugriffe auf das Netzwerk und die Unterstützung beim Verbindungsaufbau, ist das neue Konzept doch mehr auf Endnutzer ausgerichtet als dies bei SASE der Fall ist.
Lassen Sie uns im Folgenden daher die wichtigsten Aspekte untersuchen, die SSE ausmachen.
Zero Trust Network Access
Zero Trust Network Access oder abgekürzt ZTNA konzentriert sich hauptsächlich darauf, wie Endnutzer auf die Cloud und andere Online-Dienste sowie auf Daten zugreifen. Dazu gehören zum Beispiel Richtlinien, die bestimmen, wer mit den Ressourcen interagieren darf und von welchen Systemen aus. Ebenfalls Bestandteil sind verhaltensbasierte Prüfungen beim Zugriff, mit denen unerwünschte oder böswillige Vorgehensweisen erkannt werden sollen.
Die wesentlichen Elemente von ZTNA:
- Starke Authentifizierung sowie Autorisierung von Endpunkten und Nutzer-Accounts,
- adaptive Zugangsrichtlinien, die die Zugehörigkeit zu Gruppen und gewährten Berechtigungen überprüfen und die das Verhalten auf bekannte verdächtige Hinweise überwachen sowie
- Browser-Isolierung plus Sandboxing, um Infektionen durch Malware und andere Browser-basierte Bedrohungen zu verhindern.
Secure Web Gateways
Zu den wichtigsten Funktionen eines Secure Web Gateways (SWG) gehören das Filtern von Inhalten, URL-basierte Zugriffskontrollen, Überwachung der DNS-Daten (Domain Name Service) sowie Sicherheitskontrollen für Browser. Die meisten SWG-Plattformen bieten ein solches Überwachen von Inhalten sowie Möglichkeiten zur Data Loss Prevention (DLP). Ebenso enthalten sind oft Werkzeuge zur Isolierung möglichweise riskanter Browser-Inhalte. Sandboxen schützen dann die Anwender, wenn sie bestimmte Webseiten besuchen.
Cloud Access Security Broker
Ein Cloud Access Security Broker (CASB) analysiert die Kommunikation mit Cloud-Diensten (vor allem SaaS, aber auch Dienste und Anwendungen in PaaS- und IaaS-Umgebungen), um etwa API-Aufrufe (Application Programming Interfaces) oder Verhaltensweisen zu überwachen. Dadurch sollen sich ungewöhnliche Ereignisse leichter aufzuspüren lassen.
Viele aktuelle Cloud-Applikationen sind eigentlich komplex aufgebaute Webdienste, die ein breites Feld von API-Aufrufen einbinden. CASB-Services erlauben deshalb eine weit tiefergehende Untersuchung von spezifischen Interaktionen innerhalb bestimmter Cloud-Anwendungen.
Network Traffic Control und Firewall as a Service
Eine weitere von vielen Anbietern angepriesene Fähigkeit ist die Kontrolle des Netzwerkverkehrs, auch gerne als Firewall as a Service (FWaaS) beworben. Diese Lösungen sollen Next Generation Firewalls (NGFWs) mit einem Cloud-basierten Modell ersetzen.
SSE kann in diesem Zusammenhang sehr hilfreich sein, etwa wenn es um die Kontrolle von Protokollen für den Remote Access wie SSH oder RDP (Remote Desktop Protocol von Microsoft) geht. Auch für anderen Nicht-Web-basierten und möglicherweise bösartigen Traffic kann die Technik nützlich sein.
SASE für den umfassenden Schutz
Aus mehreren Gründen sollten Sie SSE, wenn es um die Frage „SASE versus SSE“ geht, als Bestandteil von SASE ansehen. SSE umfasst meist weitgehend identische Sicherheitskontrollen, aber nicht die Möglichkeiten zur Kontrolle der Bandbreite oder zum Optimieren des Wide Area Networks (WAN), wie sie SASE bietet.
SASE ist daher die besser geeignete Option für alle Unternehmen, die eine komplette Lösung zum Verwalten ihrer Verbindungen und zugleich eine Richtlinien-basierte Sicherheit benötigen, die sowohl die Endanwender als auch komplette Niederlassungen abdeckt. Damit können sie sich vom früher üblichen, meist sternartig aufgebauten Modell bei Netzwerkverbindungen verabschieden. Für entfernt tätige Anwender bietet SSE identische Sicherheitsoptionen ohne gleichzeitig eine weitere Ebene für Software-defined Networking und SDN-Traffic-Management einzuziehen, die hier gar nicht benötigt wird.
Den meisten Unternehmen reicht daher heutzutage, was SSE zu bieten hat: Ein Set aus Sicherheitsmaßnahmen und -kontrollen, das aus der Ferne tätige Mitarbeiter durch den Einsatz eines Zero-Trust-Modells vor bösartigen Angriffen schützt. Damit lassen sich dann auch Bereiche wie Überwachung, Sicherheit von Browser- und Cloud-Verbindungen sowie Schutz der übertragenen Daten abdecken. Viele Provider bieten bereits sowohl SASE als auch SSE an. Meist unterstützen sie ein Lizenzmodell für SSE, bei dem ein Kunde jederzeit zu SASE umsteigen kann, wenn es für ihn nötig werden sollte.