Mit <kes>+ lesen

Am Rand kommt alles zusammen : Wie Netzwerkmanagement und Security mit SASE in der Cloud zusammenwachsen

Das Secure-Access-Service-Edge-(SASE)-Konzept verspricht eine Reduzierung von Komplexität und Kosten durch Konsolidierung von WAN- und Security-Services bei gleichzeitig mehr Flexibilität und Geschwindigkeit sowie besserer Sicherheit – fast zu schön, um wahr zu sein?

Lesezeit 5 Min.

Von Laurence Pitt, London (UK)

Secure-Access-Service-Edge (SASE) ist ein recht neues Architektur-Konzept, das mit dem traditionellen Perimeter-Sicherheitsmodell endgültig bricht. SASE kombiniert dazu mehrere Netzwerksicherheitsfunktionen, unter anderem diejenigen von Secure-Web-Gateways (SWG), Cloud-Access-Security-Brokers (CASB, s. S. 62), Firewalls as a Service (FWaaS) und Zero-Trust-Network-Access (ZTNA, vgl. S. 52), sowie Wide-Area-Network-(WAN)-Fähigkeiten (etwa für Software-defined WANs, SD-WAN).

Ziel von SASE ist es, die heute geforderten dynamischen, sicheren Zugriffsanforderungen von Unternehmen besser zu unterstützen als es andere Modelle können. SASE wird in erster Linie als „as-a-Service“-Modell angeboten – zum Paket gehören üblicherweise auch Compliance- und Sicherheitsrichtlinien. Zusätzlich zu allen Services können Unternehmen Verfahren und Dienste verschiedener Anbieter in dieser neuen Architektur konsolidieren. Das Ergebnis: Die Orchestrierung für IT- und Sicherheitsteams wird deutlich einfacher.

Im Wesentlichen nimmt SASE Security-Anwendungen und Services, die derzeit auf einer NextGeneration-Firewall (NGFW) laufen, und migriert sie in die Cloud. So können sich IT- und Sicherheitsteams mit SASE bei einem Webportal anmelden und personalisierte Richtlinien einrichten, die sich auf alle für das Unternehmen relevanten Benutzer, Anwendungen und Dienste anwenden lassen.

Schlüsselkomponenten

Einer der größten Vorteile einer SASE-Architektur ist die Integration von Security-Features, die zuvor als separate Anwendungen implementiert wurden. Während IT- und Security-Teams bisher oft disparate Anwendungen getrennt pflegen mussten, ist dies bei SASE idealerweise nicht mehr notwendig: Anwendungen wie FWaaS (einschließlich URL-Filterung, Intrusion Prevention – IPS, sowie Malware-Abwehr – AV) sind bereits integriert, ebenso eine Advanced-Threat-Protection (ATP), die Bedrohungen isoliert und sie damit unschädlich macht. SWG und eine CASB-Lösung sind ebenso Teil der Architektur – Dateikontrolle und Schutz vor Datenverlusten wird durch eine Web-Application-Firewall (WAF) ermöglicht.

Letztlich sollen Unternehmen in einer SASE-Architektur kontrollieren können, wer von wo aus und auf welchem Gerät Zugriff auf Daten und Anwendungen hat. Bedrohungen lassen sich so klassifizieren, identifizieren und stoppen, bevor sie der Organisation und Daten ernsthaften Schaden zufügen können. Darüber hinaus kann eine integrierte NGFW automatisch den gesamten Datenverkehr einsehen, den das Netzwerk abwickelt – und erhöht die Sicherheit weiter, da sie auch externen Datenverkehr kategorisieren kann, der zum Beispiel von Mitarbeitern im Homeoffice oder unterwegs generiert wird, die Zugang zum Netzwerk haben. Damit wird eine wichtige Sicherheitslücke geschlossen, die vielerorts zu Beginn der Pandemie noch bestanden hat. Oft lag (oder liegt) die Priorität von Unternehmen zunächst auf der Geschäftskontinuität und nicht auf der Sicherheit – mit einer flexiblen SASE-Architektur lässt sich indessen beides gewährleisten.

Vorteile und Herausforderungen

Die Umsetzung von SASE adressiert einen großen Kopfschmerz, den Unternehmen momentan haben: die Komplexität des Netzwerks zu reduzieren. Der größte Vorteil von SASE besteht denn auch darin, dass sich die Architektur zentral orchestrieren lässt, was alle Abläufe vereinfacht. Gleichzeitig wird die Zeit reduziert, die Netzwerk- und Sicherheitsteams für die Wartung der Architektur benötigen.

Organisationen, die SASE nutzen wollen, sollten jedoch die anfänglichen Investitionskosten nicht unterschätzen – eine stufenweise Implementierung könnte ein guter Ansatz sein. Ein detaillierter Plan dieser Phasen und ihrer Umsetzung ist erforderlich. Firmen sollten nicht nur die verschiedenen Phasen selbst, sondern auch ihren Zeitplan und die erwarteten Ziele sorgsam abwägen. Für einige Unternehmen könnte es auch sinnvoll sein, die Einführung auf Basis unterschiedlicher Standorte durchzuführen – zum Beispiel indem man zunächst in einer Niederlassung ein Pilotprojekt durchführt und dann nach erfolgreichem Abschluss SASE an weiteren Standorten ausrollt.

Ein weiterer kritischer Aspekt bei jeder Migration zu einer SASE-Architektur ist, dass Unternehmen nicht einfach ihre alte Infrastruktur herausreißen und durch eine neue ersetzen können, die den SASE-Prinzipien entspricht – sie müssen zumindest einen Teil der alten Architektur behalten und weiterhin verwalten. Ein Beispiel: Finanzinstitute sind nach wie vor auf On-Premises-Mainframes angewiesen, auf denen ihre proprietären Anwendungen laufen, denn diese wurden speziell für diese Umgebung programmiert und lassen sich nicht in die Cloud migrieren.

Eine zentrale Überlegung sollte sein, wie sich die Komplexität so weit wie möglich reduzieren und das Management so einfach wie möglich halten lässt. In einem traditionellen Wide-Area-Network (WAN) mit Multiprotocol-Label-Switching (MPLS) wird der Datenverkehr von Zweigstellen und Niederlassungen an ein zentrales Rechenzentrum weitergeleitet – in der Regel an die Unternehmens- oder Konzern-Zentrale. Bei steigendem Datenvolumen kann dies jedoch die Zuverlässigkeit und Zugänglichkeit beeinträchtigen. Hinzu kommen Security-Layer, die oft aus Insellösungen verschiedener Anbieter bestehen.

Da SASE diese Security-Lösungen zusammenfasst, erhalten IT- und Security-Teams einen transparenten Überblick über alle Netzwerkaktivitäten. Dazu gehört die Kontrolle und Klassifizierung des Verkehrs auf allen Ports – und zwar ohne zusätzlichen Verwaltungsaufwand, denn die Teams müssen ohnehin untersuchen, welche Anwendungen welche Ports nutzen, um dann entsprechende Richtlinien und Regeln zu konfigurieren.

Da SASE in der Cloud residiert, lässt es sich einfach zentral orchestrieren. Darüber hinaus werden durch den Wechsel von einem CapEx- zu einem OpEx-Modell die Kosten nicht nur reduziert, sondern sind auch einfacher zu budgetieren.

Abgrenzung

Im Vergleich zur mittlerweile etablierten SDWAN-Technologie zentralisiert eine SASE-Architektur die Kontrolle über Anwendungen, Daten und Benutzer. Kontrolle und Berichterstattung erfolgen über ein zentrales Dashboard, das es Sicherheits- und IT-Teams ermöglicht, Warnungen und Vorfälle zu korrelieren. Während SDWAN ein virtuelles Software-Overlay für die angeschlossenen Zweigstellen verwendet, schafft SASE eine verteilte Cloud-Architektur, die sich auf die Verbindung von Endpunkten konzentriert – dabei kann es sich um Büros, aber auch um einzelne Geräte, wie Laptops oder Smartphones, handeln.

Außerdem ist „Security by Design“ Teil von SASE, was bei SD-WAN nicht der Fall ist – und das macht einen großen Unterschied für die heutigen verteilten Arbeitsplätze. Kurz gesagt: SASE kann als Konvergenz von Netzwerk und Sicherheit definiert werden, mit vernetzter Security im Kern. Auf diese Weise ist jeder autorisierte Anwender und jedes autorisierte Gerät Teil des Verteidigungs- und Schutzsystems der Sicherheit – unabhängig von seinem Standort.

Ausblick

Im Angesicht der Pandemie ist die verteilt arbeitende Belegschaft exponentiell gewachsen – und das wird sich höchstwahrscheinlich 2021 nicht wesentlich ändern. Für SASE liefert das die perfekte Gelegenheit, um sich von einem Early-Adopter-Konzept zu einer breit eingesetzten Infrastruktur-Methode zu entwickeln. Mehrere Branchen haben SASE bereits eingeführt und können als Erstanwender betrachtet werden – hierzu gehören beispielsweise das Gesundheitswesen und der Einzelhandel. Verschiedene andere Industriezweige beobachten diese Erfolge und evaluieren SASE entweder bereits oder sind in der Einführungsphase.

Viele Unternehmen beginnen, ihre Architektur zu überdenken – vor allem, weil die derzeitigen Modelle nicht zukunftssicher sind. Intelligente Unternehmen bewerten ihre Services und Richtlinien bereits neu! Grund dafür ist, dass Cyber-Angriffe immer raffinierter werden und schwieriger zu entdecken sind – das macht sie umso gefährlicher. Künftig müssen sich nicht nur die Sicherheitsrichtlinien selbst verändern, sondern auch ihre Anwendung. Das ist vor allem deshalb notwendig, weil eine dezentrale Belegschaft verwundbarer ist. Aufgrund der Pandemie hat sich der Zeitplan von Unternehmen beschleunigt, aber auch danach sollte man ein zügiges Tempo beibehalten. Das ist auch ein Garant dafür, das eigene Geschäft zu sichern und wettbewerbsfähig zu bleiben.

Laurence Pitt ist Global Security Strategy Director bei Juniper Networks.

Diesen Beitrag teilen: