Mit SASE in eine neue Ära : „Secure Access Service Edge“ liefert mehr als Ersatz für ausgediente VPN-Technologie
Klassische Sicherheitsarchitekturen mit Virtual Private Networks (VPN) und Firewalls geraten angesichts hybrider Arbeitswelten, Cloud-First-Strategien und global verteilter Infrastrukturen an ihre Grenzen. „Secure Access Service Edge“ (SASE) bietet Unternehmen einen neuen, ganzheitlichen Ansatz, um Netzwerke sicher, performant und effizient zu betreiben – und eröffnet dabei weit mehr Potenziale als vermutet.
Hybride Arbeitsmodelle und die Verlagerung geschäftskritischer Anwendungen in die Cloud erfordern neue Sicherheitsarchitekturen, die Flexibilität, Skalierbarkeit und Effizienz bieten. Noch setzen viele Unternehmen auf zentrale Rechenzentren, VPN-Lösungen und lokale Firewalls. Dieses Modell gerät jedoch in Zeiten von Cloud-Transformation, Homeoffice, dem Internet of Things (IoT) und globalen Infrastrukturen an seine Grenzen: Die Umleitung des Datenverkehrs über zentrale Standorte verursacht hohe Latenzen, der Verwaltungsaufwand für Appliances, Policies und Zugriffe steigt, was Kosten und Komplexität erhöht.
Außerdem basieren VPNs auf dem Prinzip des „Vertrauens nach Verbindung“ und gewähren oft umfassenden Netzwerkzugriff, was bedeutet, dass ein kompromittiertes Gerät potenziell Zugang zu vielen Ressourcen hat – das erhöht die Angriffsfläche und somit das Sicherheitsrisiko erheblich. Zudem fehlt bei den klassischen Modellen die Transparenz über Datenflüsse und Schatten-IT; „Secure Access Service Edge“ (SASE) bietet hier eine attraktive Alternative.
Das Besondere ist dabei die konsequente Zusammenführung von Netzwerk- und Sicherheitsdiensten auf einer zentralen Cloud-Plattform: Statt separate Systeme für SD-WAN (vgl. [1]), Firewalls, VPN, Secure Web-Gateway (SWG) oder Cloud-Access-Security-Broker (CASB) zu betreiben, integriert SASE alle Funktionen in einem konsistenten Framework. Ergänzend kommen Data-Loss-Prevention (DLP), Zero-Trust Network-Access (ZTNA) oder spezialisierte Security-Services für IoT und/ oder Operational Technology (OT) hinzu. So entsteht eine mehrschichtige Sicherheitsarchitektur, die den Zugriff granular regelt, Transparenz schafft und den Schutz von Cloud- und On-Premises-Umgebungen zentralisiert und automatisiert.
Verborgenes SASE-Potenzial
Doch SASE umfasst weit mehr als eine modernere Form von VPN: Die Technologie integriert Zero-Trust Network-Access (ZTNA), das auf einen identitätsbasierten Zugriff setzt, und bietet Lösungen für Herausforderungen, an denen klassische Sicherheitsmodelle regelmäßig scheitern. Gleichzeitig eröffnet sie neue Möglichkeiten, um globale Infrastrukturen sicher und effizient zu betreiben: So verhindern strenge Exportbeschränkungen – etwa nach Russland, Iran oder China – oft den Versand von Security-Appliances mit kryptografischen Funktionen. SASE löst dieses Problem elegant, da für den Betrieb fast keine dedizierte Hardware benötigt wird: Einfache Sockets verbinden sich per „Plug and Play“ mit der Cloud-Plattform. Da diese Sockets keine kryptografischen Funktionen enthalten, unterliegen sie in der Regel keinen Exportrestriktionen. Alle Sicherheitsfunktionen werden zentral aus der Cloud bereitgestellt (vgl. [2,3]), ohne eine lokale Installation von Security-Appliances – das spart Zeit, Kosten und Komplexität beim internationalen Roll-out.
Auch beim Datentransfer von und nach China bietet SASE entscheidende Vorteile: Denn die dortige staatliche „Great Firewall“ blockiert klassische VPN-Lösungen und führt zu hohen Latenzen durch Umwege über Drittstaaten. Einige SASE-Anbieter hingegen verfügen über Points of Presence (PoPs) direkt in China, die über Hongkong angebunden sind und lokale Partner nutzen, um alle gesetzlichen Vorgaben zu erfüllen. Das ermöglicht eine stabile, regelkonforme Verbindung zwischen globalen Standorten und China.
Schatten-IT und Performance-Probleme sichtbar machen
Viele IoT-Geräte wie Scanner, Überwachungskameras oder Sensoren sind in Unternehmen mit klassischen IT-Sicherheitsarchitekturen oft unzureichend geschützt und schwer zu patchen. Mit SASE lassen sich hingegen IoT-spezifische Protokolle erkennen und Geräte automatisch identifizieren. So entsteht ein ganzheitlicher Überblick über das Security-Level der IT-Infrastruktur, der gleichzeitig die Silos zwischen IT- und OT-Security aufbricht.
Zusätzlich adressiert die Lösung auch ein zunehmendes Problem in Unternehmen: Schatten-IT. Denn Mitarbeiter* nutzen immer häufiger nicht-autorisierte Cloud-Dienste oder unsichere Plattformen zur Kollaboration, ohne sich der potenziellen Sicherheitsrisiken bewusst zu sein. SASE deckt diese auf und verbessert mit seinen Cloud-Access-Security-Broker-(CASB)-Funktionen (vgl. [4]) sowie durch granulare Analysen und umfassende Netzwerktransparenz die Compliance und die Einhaltung regulatorischer Anforderungen.
Darüber hinaus leisten Features wie Netzwerksegmentierung und Digital-Experience-Monitoring (DEM) auf unterschiedliche Weise einen Beitrag zur Sicherheit und Performance von IT-Infrastrukturen: Netzwerksegmentierung ermöglicht es, besonders gefährdete oder nicht patchbare Geräte gezielt vom restlichen Netzwerk zu isolieren und so das Risiko potenzieller Angriffsvektoren zu minimieren. DEM hingegen konzentriert sich auf die kontinuierliche Überwachung der Nutzererfahrung – es liefert Einblicke in die Anwendungs- und Netzwerkperformance, unterstützt Support-Teams bei der schnellen Problemanalyse und kann bei Auffälligkeiten automatisiert Alarme auslösen oder Tickets erstellen. Das spart wertvolle Ressourcen – besonders in hybriden Arbeitsmodellen, in denen es oft schwer nachvollziehbar ist, ob Performance-Probleme auf die lokale Infrastruktur des Mitarbeiters, eine Applikation oder das Unternehmensnetzwerk zurückzuführen sind.
Kosten senken, Effizienz steigern
Auch wirtschaftlich bringt SASE erhebliche Vorteile. Der Wegfall lokaler Firewalls und Security-Appliances spart Investitions- und Wartungskosten. Gleichzeitig reduziert die zentrale Verwaltung aller Sicherheitsfunktionen den Betriebsaufwand erheblich und ermöglicht konsistente Sicherheitsrichtlinien für alle Standorte. Durch das flexible Lizenzmodell von SASE können Unternehmen je nach Nutzung skalieren und vermeiden unnötige Kosten für brachliegende Ressourcen. Eine vorausschauende Planung ist jedoch trotzdem unerlässlich, um bestehende Hardware-Investitionen sinnvoll in die SASE-Umgebung zu integrieren und die gewünschten Kostenvorteile zu erzielen.
Erfolgreiche Einführung
Trotz aller Vorteile bleibt die Implementierung von SASE ein komplexes Transformationsprojekt, das sorgfältig geplant werden muss. Zu Beginn empfiehlt sich eine umfassende Bestandsaufnahme der bestehenden Netzwerk- und Sicherheitsinfrastruktur, um abzuklären, welche Systeme zu ersetzen, zu integrieren oder anzupassen sind – inklusive hybrider Szenarien mit Cloud- und On-Premises-Anteilen. Anschließend helfen Pilotprojekte in ausgewählten Bereichen, erste Erfahrungen zu sammeln, Integrationsprobleme zu identifizieren und Migrationspfade für die Organisation abzuleiten.
Dabei ist es wichtig, interne IT- und Security-Teams gezielt zu schulen, da SASE neue Kompetenzen in Cloud-Security, Zero Trust, Policy-Management und Automatisierung erfordert. Für Nutzer sollte man klare Sicherheitsrichtlinien definieren, die an die neue Architektur angepasst sind und nicht zuletzt den Zugriff auf Cloud-Services und mobile Geräte regeln. Fehlt intern das Know-how für eine professionelle Einführung von SASE, können Unternehmen die Hilfe von erfahrenen Anbietern und Managed-Security-Service-Providern (MSSP) in Anspruch nehmen. Diese können bei der Auswahl der richtigen Lösung unterstützen, die Plattform als Managed Service für den Kunden betreuen, bewährte Best Practices einbringen, Architekturen prüfen, Migrationspfade anlegen und Schulungsprogramme aufsetzen.
Fazit
SASE ist kein Hype, sondern die logische Weiterentwicklung der Netzwerksicherheit im Zeitalter von Cloud und hybriden Arbeitswelten. Unternehmen, die frühzeitig auf SASE setzen, profitieren von höherer Sicherheit, verbesserter Performance, geringeren Kosten und mehr Agilität.
Der Erfolg hängt jedoch von einer durchdachten Strategie, realistischen Zielen und einer engen Abstimmung zwischen IT, Security und Business ab! Richtig umgesetzt können Unternehmen mit SASE dann aber nicht nur ihre IT-Sicherheitsarchitektur modernisieren, sondern auch die Basis für eine flexible, widerstandsfähige und zukunftssichere digitale Infrastruktur schaffen.
Mareen Dose ist Presales Consultant bei indevis.
Literatur
[1] Jörg Jakobi, Optimierter Datenfluss mit SD-WAN, 2023# 6, S. 58, www.kes-informationssicherheit.de/print/2023-6/optimierter-datenfluss-mit-sd-wan/ (<kes>+)
[2] N. N., Security in und aus der Cloud, Expertenumfrage, 2020# 1, S. 49, www.kes-informationssicherheit.de/print/titelthema-security-in-und-aus-der-cloud/security-in-und-aus-der-cloud/ (<kes>+)
[3] Laurence Pitt, Am Rand kommt alles zusammen, Wie Netzwerkmanagement und Security mit SASE in der Cloud zusammenwachsen, 2020# 6, S. 60, www.kes-informationssicherheit.de/print/titelthemanetzwerksicherheit-zero-trust-sase-caa-casb/am-randkommt-alles-zusammen/ (<kes>+)
[4] Carsten Hoffmann, Blitzableiter, Wie Unternehmen mit einem Cloud-Access-Security-Broker (CASB) die Risiken der Cloud-Nutzung reduzieren können, 2020# 6, S. 62, www.kes-informationssicherheit.de/print/titelthema-netzwerksicherheit-zero-trust-sasecaa-casb/blitzableiter/ (<kes>+)
[5] Hugo Vliegen, One SASE Fits All? Mitnichten!, Warum modernes SASE maßgeschneidert sein muss, 2021# 4, S.32, www.kes-informationssicherheit.de/print/titelthema-wer-wie-was-identity-und-accessmanagement/one-sase-fi ts-all-mitnichten/ (<kes>+)