Jakub Jirsák - stock.adobe.com
Wie SASE die Sicherheit und Zugriffskontrollen verbessert
SASE betrachtet nicht mehr nur Nutzer oder Gruppen als Identität, sondern auch etwa Edge-Standorte. Dadurch werden das Identitätsmanagement und die Sicherheit gestärkt.
Mit Secure Access Service Edge (SASE) hat die Marktforschungsgesellschaft Gartner im Jahr 2019 ein neues Servicemodell für die Cloud entwickelt, das nicht nur die wichtigsten Architekturen abdeckt, sondern auch zahlreiche, zum Teil neue Funktionen beschreibt.
SASE besteht aus einer Vielzahl an Diensten, die hauptsächlich auf dem Zugang zu Software-defined Networks (SDNs), auf Cloud Service Access Management, VPN Replacement und von Cloud Access Security Brokern (CASB) angebotenen Services basieren.
Eine der faszinierenden neuen Fähigkeiten von SASE ist die damit mögliche Zugriffsverwaltung auf Basis eines erweiterten Identitätsbegriffs, der weit über das hinaus geht, was mit traditionellen Netzwerkkontrollen und -diensten erreicht werden kann.
Wie SASE die Definition des Identitätsbegriffs erweitert
SASE geht mit dem Thema Zugriffsmanagement anders als eher traditionelle Konzepte um. Das hängt mit der Art und Weise zusammen, wie Gartner Identitäten definiert. Das bisher verwendete Modell zur Definition einer Identität auf zum Beispiel Basis von Nutzern, Gruppen oder Rollen gilt aber trotzdem weiterhin.
Darüber hinaus bezieht SASE auch alle Standorte am Rand eines Netzwerks und alle in einem WAN (Wide Area Network) organisierten Niederlassungen und lokalen Netze ebenfalls als eigene Identitäten mit ein. Entscheidungen über sichere Zugriffe sollten in einem Cloud-orientierten Unternehmen dann auf Basis der Identität der anfragenden Einheit und der Quelle dieser Verbindung erfolgen. Dazu gehören zum Beispiel Anwender, Geräte, vernetzte Filialen, IoT-Devices (Internet of Things) und Standorte am Edge.
Wie sich das Identitätsmodell von SASE auf seine Richtlinien auswirkt
Die Identität der Nutzer, Gruppen, Geräte und eingesetzten Dienste ist das primäre Element der mit SASE umsetzbaren Richtlinien. Interessanterweise entwickeln sich die mit SASE möglichen Identitätsrichtlinien so, dass sie zusätzlich noch weitere relevante Identitätsquellen mit einbeziehen können.
Allerdings nur unter der Voraussetzung, dass sie eine Bedeutung für die Entscheidung und Anwendung der Richtlinien haben. Mögliche weitere Faktoren sind etwa der Ort, an dem sich eine Identität befindet, die aktuelle Tageszeit, eine Sicherheitsbewertung des dabei verwendeten Geräts oder auch eine Einschätzung über das ihm entgegen gebrachte Vertrauen.
Unternehmen erhalten so die Möglichkeit, eine moderne Strategie für Zugriffe nach dem Prinzip der geringsten benötigten Rechte aufzubauen und kontinuierlich zu verbessern. Damit ist es dann etwa möglich, sehr strenge Zugriffskontrollen durchzusetzen.
Das große Versprechen von SASE ist, dass das Modell den Unternehmen ermöglichen kann, alle Interaktionen mit relevanten Ressourcen weit gründlicher zu kontrollieren als es bisher möglich war. Eine besondere Rolle spielen dabei zusätzliche variable Attribute wie Zugriffe auf bestimmte Anwendungen, die Identität der anfragenden Einheit oder auch die Vertraulichkeit der Daten, auf die zugegriffen werden soll.
Wie sich SASE in ein umfassendes Identitätsmanagement integriert
Schon seit einiger Zeit befindet sich das Security- und Identitätsmanagement in vielen Unternehmen im Umbruch. Insbesondere die Bedeutung von Trends wie Zero Trust Network Access oder eine Micro-Segmentierung auf Basis einzelner Anwendungen und Identitäten belegen diese Entwicklung. Historisch gesehen hat sich dieser Wechsel bisher vor allem auf die intern verwendete Technik ausgewirkt.
Mittlerweile wirken sich die Veränderungen jedoch auch auf die breite Masse der Unternehmen aus. Das erleichtert den Einsatz von identitätsgestützten Kontrollen für zum Beispiel komplette Büros, aktuell im Home Office arbeitende Nutzer, IoT-Devices und vieles mehr.
Das SASE-Modell verbessert die bisher genutzten Strategien zum Teil erheblich, indem es nicht mehr nur Informationen aus dem eigenen Netzwerk zur Identifizierung hinzuzieht. Für diese Daten werden bislang zum Beispiel IP-Adressen und -Ranges oder Informationen über Devices am Netzwerk-Edge benötigt.
Stattdessen sorgt SASE dafür, dass die Richtlinien auf erweiterten Informationen über Anwendungen, Daten, Geräte und Nutzer basieren. Damit lassen sich neue Vorgaben für Zugriffe formulieren. Sobald ein SASE-Dienst einmal für den Zugriff auf eine bestimmte Ressource authentifiziert und autorisiert wurde, kann er außerdem ähnlich wie ein VPN (Virtual Private Network) als Vermittler für weitere Services aktiv werden.
Das SASE-Modell sorgt damit für einen Schutz der gesamten auf einer Entität basierenden Sitzung, unabhängig davon wohin sie sich verbinden will oder woher sie kommt. Ähnlich wie im Zero-Trust-Modell können SASE-Systeme zudem über flexible Optionen verfügen, um Sitzungen von Ende zu Ende zu verschlüsseln.
Darüber hinaus sind sie in der Lage, zusätzliche Schutzmaßnahmen für Webanwendungen einzuführen, die verwendeten APIs zu überprüfen und Security-Einschätzungen abzugeben. Dazu kommen Inhaltsüberprüfungen zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP) sowie weitere Security-Dienste, die das aktuelle Zugriffsmodell erweitern.
Wie SASE Unternehmen sicherer macht
Ein großer Teil der Attacken auf Unternehmen kann in Zukunft mit einer effektiven Anwendung von SASE-Diensten abgewehrt werden. Mit einem starken und einheitlichen Richtlinienmanagement kann eine gründlichere Überprüfung von Verbindungen zu Niederlassungen und freigegebenen IoT-Geräten durchgeführt werden als es bisher möglich war.
Dadurch wird ein sicherer Betrieb von entfernten Standorten und der dort genutzten Edge-Services möglich. Auch bei der Abwehr von MitM-Angriffen (Man-in-the-Middle), Spoofing und anderem bösartigem Traffic wirkt sich SASE hilfreich aus.
Selbst Endanwender profitieren von dem neuen Modell. Erste SASE-Anbieter ermöglichen etwa bereits eine sichere Verschlüsselung des gesamten Datenverkehrs von entfernt eingesetzten Geräten, gleichgültig wo sie sich befinden. SASE ermöglicht zudem ein deutlich strengeres Vorgehen, wenn es um die Prüfung öffentlicher Zugriffe geht, die etwa von Hotspots an Flughäfen oder in Cafés ausgehen.
Abhängig von der Identität des Nutzers und des von ihm verwendeten Geräts können die Sicherheitsmaßnahmen und das erforderliche Routing etwa auch abhängig von der Region erfolgen, aus der die Zugriffe stammen.
Der Trend zur Einführung von Zugriffsmodellen auf Basis von Identitäten benötigt jedoch nichtsdestotrotz noch ein wenig Zeit, bis er sich breit durchsetzen kann. Er erfordert zudem zum Teil erhebliche Anstrengungen, um in Zukunft auf veraltete Zugriffsmodelle zu verzichten, die nur auf einer Nutzung von zum Beispiel IP-Adressen als Entscheidungshilfe über Zugriffe basieren.
Die Ergebnisse dürften den Aufwand allerdings deutlich rechtfertigen, wenn man bedenkt, wie die mit SASE möglichen Richtlinien die IT-Sicherheit in Unternehmen erhöhen können und wie sie es Angreifern erschweren, ihre Attacken durchzuführen.