Maksim Kabakou - stock.adobe.com
Secure Access Service Edge: Was Unternehmen wissen müssen
Mit dem von Gartner vorgeschlagenen Secure Access Service Edge sollen WAN- und Security-Dienste vereinfacht werden. Dabei wird statt dem lokalen Rechenzentrum die Cloud genutzt.
Die Nutzungsmöglichkeiten für Cloud-Dienste nehmen kontinuierlich zu. Das ändert auch die Zugriffsszenarien. Viele Unternehmen erweitern ihre Nutzung von SaaS (Software as a Service) und steigen etwa in hybride Cloud-Umgebungen ein oder entscheiden sich für Multi-Cloud-Lösungen.
Dadurch nehmen auch die Verbindungen zwischen den verschiedenen Angeboten zu. Das oft noch vorhandene Bedürfnis ihre traditionellen Rechenzentren zum Zentrum dieser Maßnahmen zu machen, wirkt jedoch wie ein Hemmschuh. Dabei ist es gleichgültig, ob es um einen Zugriff der Endnutzer auf die von ihnen benötigten Anwendungen und Dienste geht oder um Verbindungen zwischen dem Rechenzentrum und diversen Filialen oder weiteren Nebenstellen.
Um besser auf diese Anforderungen eingehen zu können, hat die Marktforschungsgesellschaft Gartner ein neues Servicemodell entwickelt. Es nennt sich Secure Access Service Edge oder abgekürzt SASE. Dieses Modell schnürt verschiedene Elemente von Cloud-Diensten und IT-Sicherheit zu einer einheitlichen Struktur zusammen.
Was sind die Bestandteile von Secure Access Service Edge?
Das SASE-Modell ist auf die Bereiche Netzwerkzugang, Kontrolle sowie Architektur ausgerichtet. Software-defined Networking (SDN) und Security umfassen bereits auch Software-defined Wide Area Networks (SD-WAN). Dadurch werden Verbindungen zwischen lokalen Umgebungen und der Infrastruktur der Cloud-Provider durch einen einzigen Backbone oder Lösungen eines einzigen Anbieters möglich. Diese Art von Netzwerkdiensten bieten in der Regel gemeinsame Fähigkeiten wie Routing, Bandbreitenkontrolle, Quality of Service (QoS) und zentrale CDN-Dienste (Content Delivery Services), mit denen sich spezifische Inhalte und Services priorisieren lassen.
Cloud Security as a Service ist die zweite wichtige Kategorie in SASE. Dazu gehören etwa von einem Cloud Access Security Broker (CASB) bereitgestellte Services wie Data Loss Prevention (DLP), Content Filtering, Malware Detection and Response, Cloud Provider Reputation Scoring sowie User Behavior Monitoring.
Secure Access Service Edge umfasst weitere Angebote aus dem Bereich Security as a Service wie Techniken zum VPN-Replacement, Web Application Firewalls (WAF) und traditionelle Firewall-Leistungen wie Filtering. Dazu kommen Intrusion Detection and Prevention (IDS/IPS) sowie Remote Browser Isolation.
Die Bedeutung von modernen Sicherheitsmaßnahmen in der Cloud nimmt weiter zu. Die meisten Cloud Security Service Provider werden ihre Angebote deswegen kontinuierlich überarbeiten und ausweiten. Das SASE-Modell versucht diesem Trend Rechnung zu tragen, indem es Konzepte wie CASB, CDN und Identity as a Service integriert. Außerdem ist es darauf ausgelegt, weitere Netzwerkfähigkeiten und Kontrollmöglichkeiten aufzunehmen und in einem Brokering-Modell zusammenzufassen. Auf diese Weise sollen die aktuell genutzten Netzwerk- und Sicherheitskontrollen vereinfacht werden.
Was sind die Vorteile und Auswirkungen von Secure Access Service Edge?
Aus der Nutzung von Secure Access Service Edge ergeben sich mehrere Chancen für Unternehmen. Ein struktureller Vorteil ist etwa die Vereinheitlichung von Backbone und Edge-Diensten, die normalerweise von unterschiedlichen Anbietern und Providern übernommen werden.
Heutzutage sind die wichtigsten Backbone-Provider, seien es TK-Konzerne, Data-Center- oder Colocation-Spezialisten sowie große Cloud-Provider wie Amazon, Microsoft und Google allein für ihre Backbone- und API-Fähigkeiten verantwortlich.
Secure Access Services Edge könnte jedoch dafür sorgen, dass ein einmal definierter Backbone mit Edge-Diensten wie CDNs, CASBs und VPN-Replacement oder Edge Networking Services kombiniert werden kann, Ein einziger Provider könnte dann sowohl Cloud-Dienste als auch einen Internetzugang für Endnutzer anbieten.
Diese Fähigkeit kann auch auf Dienste und Plattformen für Rechenzentren oder auf IoT-Devices (Interest of Things) ausgeweitet werden. Zum Einsatz käme dabei eine kombinierte Networking and Security Fabric. Diese Fabric könnte durch die Networking- und Security-Teams in einem Unternehmen gemeinsam definiert und verwaltet werden. Auch Entwickler sowie Administratoren sollten dabei einbezogen werden.
Für Unternehmen, die sich für einen Einstieg in Secure Access Service Edge interessieren, gelten ein paar Punkte, die sie beachten sollten. Zuerst sollten sie entscheiden, ob eine vereinheitlichte Strategie mit einem einzigen Provider für mehrere wichtige Dienste überhaupt in ihr Geschäftsmodell passt. Der wichtigste Vorteil ist der vereinfachte Betrieb sowie eine reduzierte Liste von Anbietern und Providern. Auf der anderen Seite schaffen sie dadurch einen Single Point of Failure (SPoF), der zu einem Verlust von wertvollen Daten führen kann.
Zweitens sollten sie die angebotenen Fähigkeiten genauestens unter die Lupe nehmen. Die meisten SASE-Anbieter waren ursprünglich auf die Bereiche SD-WAN, CASB oder VPN spezialisiert und erweitern nun ihre bestehenden Dienste durch Akquisitionen oder indem sie versuchen, schnellstmöglich neue Funktionen hinzuzufügen. Manchmal geht das allerdings schief. Nicht zuletzt dürfen sie auch die Auswirkungen auf den Betrieb Ihrer IT und die entstehenden finanziellen Kosten nicht vernachlässigen. Sie spielen eine erhebliche Rolle bei der Entscheidungsfindung.
Secure Access Service Edge ist ein noch junger Trend, der aller Voraussicht nach noch etwas reifen muss. Wenn ein Unternehmen bereits einige der genannten Vorteile für sich realisieren konnte, dann sollte es sich daher nicht überstürzt in diesen Bereich bewegen – sofern keine eiligen Gründe dafür sprechen. Viele der genannten Verbesserungen werden sich aller Wahrscheinlichkeit nach auch zunehmend im restlichen Cloud-Segment verbreiten, wo sie dann ebenfalls genutzt werden können.