One SASE Fits All? Mitnichten! : Warum modernes SASE maßgeschneidert sein muss

Von Hugo Vliegen, Menlo Park (US/CA)

Die Netzwerksicherheit durchläuft aktuell einen signifikanten Wandel: Neue Konzepte wie „Secure Access Service Edge“ (SASE) verschmelzen Netzwerkfunktionen mit umfassender Security zu einer einzigen, integrierten Lösung. Entstehen soll so eine neue Architektur, die optimal dafür gerüstet ist, den Spagat zwischen Sicherheit und Effizienz im digitalen Unternehmen zu meistern.

Doch warum ist dieser Ansatz überhaupt nötig? Schließlich hat in den vergangenen Jahrzehnten das Multiprotocol-Label-Switching (MPLS) im professionellen Umfeld für einen hoch performanten Netzwerkverkehr über das Internet gesorgt?! Andererseits hat sich diese Technik nicht selten als teuer und wenig flexibel erwiesen, um die unterschiedlichsten Arten von Unternehmens-Traffic und dessen massiv steigende Menge passgenau und effizient zu verarbeiten. Immer mehr und unterschiedlichere Daten sowie eine zunehmende Zahl von Zugangspunkten zum Unternehmensnetz führen zu zwei Problemen: Der finanzielle und personelle Aufwand für effiziente Unternehmensnetze erhöht sich, während das Sicherheitsnetz der Unternehmen immer löchriger wird, weil die Angriffsmöglichkeiten steigen.

Netzwerksicherheit der Zukunft

Genau aus diesen Gründen braucht es SASE: Ein hoch performantes und softwaregesteuertes Weitbereichsnetz (SD-WAN), zu dem Unternehmen über weltweit verteilte „Points of Presence“ (POPs) Zutritt erhalten, ohne weiterhin auf Service-Provider und Peering-Technologie angewiesen zu sein. Das Ergebnis ist ein leistungsstarker Datenaustausch, vergleichbar mit dem einer LAN-Infrastruktur. Doch auch ein SD-WAN muss in die Sicherheitsarchitektur und -strategie der Unternehmen integriert werden! SASE-Anbieter und Unternehmen müssen daher klären, welche Sicherheitslösungen von welchem Anbieter genutzt werden sollen, ob diese vor Ort (on Premises) oder als Services in der Cloud bereitzustellen sind und wer diese Lösungen managen soll.

Das Tor zur SASE-Welt stellt das Teilnehmernetzgerät (Customer-Premises-Equipment, CPE) an den verschiedenen lokalen Standorten eines Unternehmens dar. Es bietet die erforderlichen WAN-Services und kann gleichzeitig weitere benötigte Anwendungen vor Ort hosten – etwa eine Next-Generation-Firewall.

Wichtig ist, sich zu vergegenwärtigen, dass es sich bei SASE keineswegs um neuartige, innovative Security- oder Netzwerk-Funktionalität handelt. SASE bezeichnet lediglich das Verschmelzen bestehender Mechanismen zu einem kombinierten Angebot, dessen Ziel darin besteht, die Leistung vorhandener Funktionen zu erhöhen und deren Betrieb und Wartung einfacher zu gestalten.

Ursprünglich entwickelt wurde das Konzept 2019 in dem Artikel „The Future of Network Security Is in the Cloud“ von Gartner [1]. In ihrer Definition sprechen die Analysten von einem „predominantly Cloud-based Service“. Und in der Tat: In der Regel wird SASE als sogenannte Heavy-Cloud-Lösung zur Verfügung gestellt, die den Großteil ihrer Securitydienste in der Cloud erbringt, während nur wenige Komponenten wie VPN oder die Next-Generation-Firewall auf dem Teilnehmernetzgerät des Kunden „on Premises“ zur Verfügung stehen (sog. Thin Branch).

Ausgangslagen so verschieden wie die Unternehmen

Mit dieser Definition schließt Gartner also die Möglichkeit nicht aus, einen Teil der Netzwerk- und Security-Funktionalität auch in den Niederlassungen on Premises zur Verfügung zu stellen, sollte dies gewünscht oder erforderlich sein. Und der Bedarf hierfür besteht in der Tat, wie unter anderem Aryakas jährlicher „Global State of the WAN“-Report [2] ermittelt hat: Sowohl bezüglich der Frage, ob der entsprechende Security-Stack hauptsächlich in der Cloud oder lokal vor Ort betrieben werden soll, divergieren die Wünsche der Anwender stark. So würden sich nur 53 % der befragten Firmen für die ausschließliche Bereitstellung in der Cloud entscheiden, während 47 % ihren Security-Stack weiterhin bei sich im Unternehmen implementiert haben wollen. Darüber hinaus möchte mehr als die Hälfte die Zusammenarbeit mit ihren bisherigen Sicherheitsanbietern fortsetzen, während nur ein Viertel der Unternehmen vollständig auf Systeme des SASE-Anbieters migrieren würde.

Das Spektrum der individuellen Anforderungen an eine SASE-Infrastruktur ist folglich groß – für die Hersteller eine Herausforderung, denn „das eine“ SASE kann es somit nicht geben! Damit die Infrastruktur der Zukunft zum Erfolg werden kann, lautet das Gebot der Stunde: Flexibilität. Eine solide SASE-Lösung muss Möglichkeiten bieten, die spezifischen Anforderungen moderner Unternehmen lückenlos zu unterstützen.

Single Vendor vs. „Best of Breed“

Kaum ein Anbieter am Markt wird allein in der Lage sein, all die Funktionalität zu liefern, die eine umfassende, moderne Sicherheitsarchitektur erfordert – kein einzelner Hersteller ist imstande, in ausnahmslos jedem Funktionsbereich die beste Lösung am Markt zu liefern. Schließlich war Enterprise-Security noch nie als Disziplin bekannt, in der eine monolithische Lösung jede noch so kleine Unternehmensanforderung abdecken konnte; und das wird sich auch in absehbarer Zukunft nicht ändern. Unterschiedliche Unternehmen werden immer hochgradig divergierende Sicherheitsanforderungen haben – zugeschnitten auf die regulatorischen und compliancebezogenen Anforderungen an ihre Architektur.

Der Großteil der Unternehmen hat daher bereits heute eine bestehende Sicherheitsstrategie im Einsatz, die passgenau auf ihre Anforderungen zugeschnitten ist. Die Hersteller der entsprechenden Lösungen sind im Unternehmen etabliert, zu ihnen besteht nicht selten ein langjähriges Vertrauensverhältnis. Von diesem abzurücken und ihre Lösungen kurzerhand durch den integrierten Lösungs-Stack eines SASE-Anbieters zu ersetzen, ist daher für viele keine Option. Zumal es sich bei den im Einsatz befindlichen Lösungen nicht selten um signifikante Investitionen handelt, die nicht von heute auf morgen durch neue Systeme ersetzt werden können.

Andererseits wäre sowohl aus Gründen der Effizienz als auch der einfachen Wartbarkeit freilich ein Software-Stack aus einer Hand zu präferieren. Aufgrund des Status quo in Unternehmen müssen SASE-Lösungen jedoch eine Möglichkeit bieten, mit einer Kombination aus eigenen und Drittlösungen zurechtzukommen.

On Premises vs. Cloud

In der Netzwerktechnik hat sich der Trend bereits etabliert, die Securitybranche zieht nun zunehmend nach: Dienste und Funktionen werden schrittweise vom physischen Einsatzort in den Unternehmen in die Cloud verlagert. Die damit verbundenen Vorteile reichen von Kosteneinsparungen bis hin zu mehr Flexibilität und einfacherer Verwaltung.

Während im Bereich Netzwerk die erforderliche Technologie vergleichsweise überschaubar ist, gibt es bei der Security eine ungleich größere Vielzahl an Funktionen und Komponenten: Aufgrund dieser Komplexität handelt es sich bei der Reise in Richtung Cloud-Security um einen Prozess, der noch längst nicht abgeschlossen ist. Obgleich zahlreiche Security-Komponenten bereits heute sehr gut in Form von Cloud-Diensten angenommen werden, setzen Unternehmen bei anderen Aspekten nach wie vor auf On-Premises-Lösungen.

Hinzu kommt, dass verschiedene Branchen teils sehr spezifische regulatorische Anforderungen zu erfüllen haben, denen nur ein maßgeschneidertes Security-Ökosystem gerecht werden kann. So erfordern beispielsweise die strengen Regulierungen in der Finanzbranche die Einhaltung außergewöhnlich hoher Security-Standards.

Ähnliches gilt für die Fertigungswelt, in der gerade im Kontext der smarten Fabrik wertvollste Prozess- und Produktdaten übertragen und verarbeitet werden. Nicht selten kommen hier mehrere Sicherheitsschichten zum Einsatz, um zu verhindern, dass von außen unbefugte Zugriffe erfolgen können.

Dass derartige Unternehmen ihre Sicherheitsarchitektur umfassend kontrollieren und auch lückenlos die Hoheit über sensible Daten behalten wollen, ist nicht überraschend. Gleichzeitig kann es unter Umständen auch für sie sinnvoll sein, zugunsten der Netzwerkleistung zum Schutz weniger kritischen Datenverkehrs oder zur Einbindung von Remote-Anwendern auf Cloud-Security zu setzen. So besteht auch hier kein einheitliches Bild, das mit einer pauschalen Implementierungsvariante abgedeckt wäre.

Do it Yourself vs. Managed Services

Die steigende Komplexität im Securitybereich wird jedoch noch aus einem weiteren Grund zur Herausforderung für Unternehmen: Für den reibungslosen, unterbrechungsfreien Geschäftsbetrieb stellt eine solide Security-Strategie einen zentralen Grundpfeiler dar. Doch vor dem Hintergrund immer neuer technischer Komponenten sowie der sich verschärfenden Bedrohungslage stoßen IT-Abteilungen zunehmend an ihre Grenzen, wenn es darum geht, alle Elemente zuverlässig im Blick zu behalten, die in einer modernen Sicherheitslösung konfiguriert, genutzt und aktualisiert werden müssen.

Bereits im Kontext von SD-WAN hat sich ein wachsender Teil von Unternehmen für dessen Einführung als Managed Service entschieden, um so die Geschäftsagilität zu erhöhen und gleichzeitig den Aufwand der manuellen Verwaltung der Netzwerkinfrastruktur zu senken. Auch beim Thema Security liegt der Gedanke nahe, den entsprechenden Bereich auszulagern und so IT-Teams zu entlasten.

Gleichzeitig finden sich nicht wenige Unternehmen, die eine SASE-Lösung zumindest teilweise in Eigenregie (Do it Yourself, DIY) implementieren und warten wollen – gerade bezüglich der Security-Strategie: Denn dabei handelt es sich um einen sensiblen Bereich, den nicht jede Firma gerne in externen Händen sieht. Besonders Unternehmen, welche die erforderlichen Kompetenzen inhouse zur Verfügung haben, präferieren unter Umständen, ihre SASE-Implementierung in Eigenregie zu nutzen.

Konsequenzen für SASE

Die Bandbreite an Kundenanforderungen macht deutlich: Das Motto „One Size Fits All“ kann den zahlreichen verschiedenen Ausgangslagen nicht gerecht werden, die sich in den IT-Strukturen von Unternehmen finden lassen.

Worauf es bei SASE ankommt, damit sich das Konzept auf breiter Front im Markt durchsetzen kann, sind daher weder die Kombination von Networking und Security an sich noch Art und Umfang der Security-Funktionen noch die alleinige Bereitstellung dieser Kombination in der Cloud. Vielmehr kommt es auf eine Flexibilität auf Angebotsseite an, um Kunden größtmögliche Wahlfreiheit zu bieten – sowohl auf der Ebene der Implementierungsmöglichkeiten als auch in Bezug auf die genutzten Sicherheitsfunktionen und -anbieter.

Was: Von der Hardware-Appliance zur virtuellen Funktion

Um Unternehmen, die Komponenten verschiedener Sicherheitshersteller nutzen oder ihren bisherigen Security-Stack behalten möchten, umfassende Wahlfreiheit zu ermöglichen, muss eine moderne SASE-Lösung verschiedenste Architekturmodelle für die Sicherheit unterstützen, sodass Kunden auf diese Weise ihre ideale Securitylösung passgenau zusammenstellen können. Möglich wird dies beispielsweise durch Partnerschaften mit wichtigen Security-Herstellern, um eine Kompatibilität von deren Technologie mit dem SASE-Angebot zu erzielen. So können bewährte Security-Mechanismen beispielsweise auf dem jeweiligen Teilnehmernetzgerät der SASE-Lösung als virtuelle Netzwerkfunktion bereitgestellt werden – die Notwendigkeit separater Hardware sowie zusätzlicher Konfigurations- und Wartungsaufwand entfallen dann.

Neben einer solchen On-Premises-Unterstützung von Security-Komponenten vor Ort sollten sich auf Basis der Cloud-Funktionalität eines SASE-Anbieters alternativ dessen native Security-Funktionen aus einer Hand beziehen lassen. Dazu wird der an den Standorten anfallende Traffic an den im POP des SASE-Anbieters integrierten cloudbasierten Securitydienst übergeben. Solche Dienste wiederum kombinieren in der Regel die Datenbanken verschiedener Sicherheitsanbieter, sodass auf diese Weise Unternehmen unter Umständen bereit sind, auf dedizierte Security-Software zu verzichten, zu dessen Hersteller bislang noch keine Partnerschaft seitens des SASE-Anbieters besteht.

Wo: Points of Presence verbinden On-Premises- und Cloud-Welt

Einen weiteren Aspekt einer umfassendem Flexibilität stellt die Fähigkeit einer SASE-Lösung dar, verschiedenste Implementierungsarten zu unterstützen: vom On-Premises-Modell über eine Bereitstellung in der Cloud bis hin zu unterschiedlichsten Hybrid-Ansätzen. Dementsprechend muss der SASE-Hersteller neben seiner Cloud-Funktionalität auch die Möglichkeit bieten, den „Thin Branch“ an den physischen Standorten bei Bedarf nach Belieben zu erweitern und die dafür nötigen Anwendungen auf dem Teilnehmernetzgerät zur Verfügung zu stellen.

Um ein konsistentes Sicherheitsniveau über beide Implementierungsvarianten sicherzustellen, müssen beispielsweise Funktionen wie Deep-Packet-Inspection für WAN-Anwendungen sowie für User-Content als eine zentrale Deep-Packet-Inspection-Architektur über On-Premises-Lösungen und den POP hinweg integriert werden. Der Vorteil der Einbettung von cloudbasierter Security auf dem POP eines SASE-Anbieters besteht darin, dass dadurch der Weg für eine engere Integration von Funktionen wie Deep-Packet-Inspection und Policies für Sicherheit und Netzwerk über das gesamte WAN hinweg geebnet wird, da die entsprechende Funktionalität nicht ausschließlich on Premises oder in der Cloud zur Verfügung steht. Durch die Integration steht die diese vielmehr zentralisiert im POP bereit und muss nicht lokal an jeder einzelnen Niederlassung implementiert werden.

Wie: Co-Management als Königsweg

Um schließlich sowohl Kunden zu unterstützen, die ihre SASE-Implementierung als Komplettservice auslagern wollen, als auch denen gerecht zu werden, welche die Implementierung und Verwaltung der Lösung selbst übernehmen möchten, sollte ein SASE-Anbieter auch in diesem Bereich flexibel auf Wünsche reagieren können. Möglich wird dies beispielsweise über das Angebot eines sogenannten Co-Managed-Service: Konkret bedeutet dies, dass Networking- und Security-Stack der SASE-Lösung technisch als Managed Service bereitgestellt werden. Gleichzeitig erhalten Kunden jedoch über ein Co-Management-Portal die Möglichkeit, Konfigurationen selbst vorzunehmen und etwa Netzwerk-Policies selbst zu definieren und zu implementieren. Geführte Workflows sorgen dabei dafür, Konfigurationsfehler zu vermeiden und einen grundlegenden Qualitätsstandard sicherzustellen. Bei Bedarf sollten Unternehmen die Konfiguration vom SASE-Hersteller als genuinen Managed Service übernehmen und die Security-Spezialisten des Herstellers als erweiterte IT-Abteilung nutzen können.

Besondere Relevanz erhält das Co-Management im Bereich Security deshalb, weil dessen Konfiguration im Gegensatz zum Networking deutlich individualisierter erfolgen muss und sich dynamischer verändert. Aufgrund immer zahlreicherer und ausgeklügelterer Bedrohungen müssen Sicherheitsverantwortliche Einstellungen immer wieder überprüfen und gegebenenfalls anpassen. Wegen der Komplexität dieser Aufgabe empfiehlt es sich, die Erstimplementierung der Security-Services durch den SASE-Anbieter vornehmen zu lassen, damit Sicherheit und Netzwerk optimal aufeinander abgestimmt sind – unabhängig davon, ob die Unternehmen die Verwaltung auf Dauer auslagern wollen oder nicht.

Fazit

Eine solide Sicherheitsarchitektur ist heute ein zentraler Erfolgsfaktor für den Geschäftsbetrieb von Unternehmen. Als konsolidiertes Netzwerk- und Security-Konzept bietet „Secure Access Service Edge“ (SASE) in diesem Kontext die Möglichkeit, eine bestehende Sicherheitsarchitektur um leistungsstarke Funktionen zu ergänzen, die Netzwerk-Performance zu optimieren und gleichzeitig IT-Abteilungen umfassend zu entlasten.

Oberste Priorität hat jedoch die Wahlfreiheit der Unternehmen! Dem muss jedes SASE-Angebot Rechnung tragen und darf allem voran nicht ausschließlich auf eigene Sicherheitstools setzen. Offenheit ist gefragt, damit sich die jeweils besten am Markt verfügbaren Komponenten zu einem leistungsstarken Gesamtportfolio zusammenfügen lassen. Ferner sollten SASE-Angebote Sicherheitsansätze sowohl on Premises als auch in der Cloud unterstützen – und Implementierungen in Eigenregie genauso wie das vollständige Auslagern in Form eines Managed Service ermöglichen.

Der Erfolg von SASE hängt im Markt davon ab, dass eben gerade nicht gilt „One Size Fits All“. Erst passgenaue Angebote können die Anforderungen der Unternehmen in puncto Sicherheit und Leistung sowie zur Reduktion von Komplexität erfüllen – und das nicht zuletzt, da sich die Security-Erfordernisse eines jeden Unternehmens heute dynamischer ändern denn je. Somit ist Flexibilität weniger eine Option als eine grundlegende Voraussetzung sowohl für eine performante Sicherheits- als auch Netzwerkinfrastruktur.

Hugo Vliegen ist Vice President Product Management bei Aryaka.