Nicht alle Unternehmen verstehen, was Secure Access Service Edge (SASE) genau bedeutet – ob es sich um eine Reihe von Produkten oder Services, ein umfassendes System oder einfach ein Konzept und eine Methodik handelt. Lassen Sie uns die Antwort herausfinden und gehen wir der Frage nach, wie gross die Marketingkomponente des SASE-Hype ist, welche Vorteile solche Lösungen und Services den Kunden bieten und wer für ihr Funktionieren verantwortlich sein sollte.

Was ist SASE?

Der Begriff SASE wurde ursprünglich vom IT-Forschungsriesen Gartner eingeführt und bezeichnet eine Zusammenführung der Paradigmen „Network as a Service (NaaS)“ und „Security as a Service (SaaS)“. Aufgrund des Übergangs zur Remotearbeit und der zunehmenden Beliebtheit von Cloud-Services hat sich das traditionelle Sicherheitsmodell als ineffektiv erwiesen. SASE-Services bringen die Sicherheit näher an den Endbenutzer und ermöglichen eine nahezu unbegrenzte Skalierbarkeit.

Das heisst im Klartext, SASE ist eine Kombination aus Netzwerk- und Sicherheits-Services. Aus Netzwerkperspektive ermöglicht es Ihnen, die Datenübertragung zu optimieren und den Datenverkehr reibungslos umzuleiten. Vom Standpunkt der Sicherheit hängt alles vom Standort der Ressourcen ab, auf die der Benutzer zugreift. Edge-Computing-Services gehen über herkömmliche Sicherheitsmechanismen in Unternehmen hinaus und schützen Benutzer, wenn sie sich von überall auf der Welt mit der Cloud verbinden.

SASE spielt eine wichtige Rolle bei der Beschleunigung der Nutzung von Cloud-Ressourcen. Er klärt InfoSec und IT-Experten über die Technologien auf, die die Arbeit mit Cloud-Services komfortabel und sicher machen.

Beachten Sie, dass ausser Gartner auch andere Analyseagenturen (z. B. Forrester) Architekturen mit cloudbasierten Sicherheitsfunktionen als Kern vorgeschlagen haben. In Verbindung mit verbesserten Zugriffstechniken bieten diese Services Benutzern alle notwendigen Schutzebenen.

Gartner prägte den Begriff, um die Richtung zu begrenzen, in die sich die Telekommunikationsbranche seit langem bewegt. Es ist eine Synergie aus drei Bereichen: Netzwerke und Backbones, Cloud-Rechenzentren und Sicherheits-Services.

Experten weisen darauf hin, dass SASE kein eigenständiges Produkt ist. Es handelt sich um eine Reihe von Lösungen, die kombiniert werden können, um die Anforderungen eines Kunden vollständig zu erfüllen. Ein Beispiel für Edge-Sicherheits-Services in der Praxis könnte eine Situation sein, in der Mitarbeitenden eines Unternehmens in ein anderes Land oder eine andere Region umziehen. Wenn sie eine Verbindung zum Point of Presence (PoP) am neuen Standort herstellen, erhalten sie ein qualitativ hochwertiges Routing und einen schnellen Zugriff ebenso wie alle erforderlichen Sicherheits-Services.

Viele Unternehmen haben noch nicht in Betracht gezogen, SASE-Lösungen auszuprobieren. Zu den Faktoren, die Entwicklung von SASE hemmen, gehört das mangelnde Vertrauen der Kunden in Cloud-Sicherheitstechnologien. Grösstenteils ist dieses Misstrauen auf die folgenden Faktoren zurückzuführen:

  • Regulatorischer Druck.
  • Widerstand von Sicherheitsexperten, die Angst haben, einige ihrer Funktionen in die Cloud zu übertragen.
  • Der Fokus vieler Unternehmen liegt eher auf dem Inlandsmarkt als auf dem globalen Markt.

Zusammenfassend kann man sagen, dass SASE kein Produkt oder eine Technologie ist, sondern ein Konzept und eine Strategie, die weitgehend durch Marketing gestützt werden.

SASE-Komponenten

Gartner führt 25 Elemente auf, die in einer solchen Lösung enthalten sein können. In dieser Hinsicht fragen sich viele Experten, ob SASE als vollwertig eingestuft werden kann, wenn einige dieser Komponenten fehlen.

Verschiedene Kernelemente bilden den SASE-Stack. Dazu gehören SD-WAN, Secure Web Gateway, Cloud Access Security Broker (CASB)-Lösungen, Firewall as a Service (FWaaS) und ein Zero-Trust-Zugangssystem. Eine Reihe weiterer Tools, wie Mechanismen zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP), Sandboxing, Services zur Isolierung von Webanwendungen und Seiten im Browser WLAN-Segmentschutz sind optional und können vom Kunden nach Bedarf erworben werden.

Betrachtet man SASE unter dem Gesichtspunkt der Kundenbedürfnisse, sollten drei wichtige Services implementiert werden:

  • Datenschutz, sowohl innerhalb der Cloud als auch bei der Übertragung zwischen Services.
  • Sicherer Zugang basierend auf Cloud-Technologie.
  • Lokale Points of Presence (PoPs), die die gesetzlichen Anforderungen erfüllen.

Es gibt keine Lösung, die alle SASE-Anforderungen vollständig und bedingungslos erfüllt. Einige Anbieter sind stärker in Netzwerktechnologien, während andere sich auf Sicherheit konzentrieren. Daher ist es notwendig, von den Zielen des Kunden auszugehen und die für ihn erforderliche Konfiguration des Secure Access Service Edge auszuwählen.

Ein Schlüsselelement von SASE, das dieses Konzept von anderen Zugriffssystemen abhebt, ist das Vorhandensein von ZTNA Zero Trust Network Access (ZTNA)-Services. Sie sind eine gute Alternative zur Verwendung einer Firewall und können dank der Cloud von überall auf der Welt aus aufgerufen werden.

Eine weitere häufig gestellte Frage ist, ob ein virtuelles privates Netzwerk ein unverzichtbarer Bestandteil von SASE ist. Tatsache ist, dass Remote-Zugriff-VPN-Tools in der Regel einheitliche Bedrohungsverwaltung (UTM)-Gateways darstellen, die in Secure Access Service Edge Services implementiert sind.

Ein Übergang zur SASE-Philosophie bedeutet nicht, dass Endpunktschutzsysteme und herkömmliche Mittel zur Sicherung des Perimeter einer Organisation aufgegeben werden. Wozu sollte man also einen weiteren sicheren Zugriff-Service nutzen?

Der Anteil von Mitarbeitenden, die sich vom Büro aus bzw. vom Homeoffice aus mit Unternehmensressourcen verbinden, hat sich seit Anfang 2020 drastisch verändert. Es überrascht nicht, dass sich die Sicherheitsteams von Unternehmen mit einer neuen Kategorie von Geräten auseinandersetzen müssen – private Computer und Laptops, die oft weniger geschützt und anfällig für verschiedene Cyberangriffe sind. Aus diesem Grund ist die Thematik über Edge-Services im Moment von Bedeutung.

Wer sollte SASE einrichten und verwalten?

Ein wichtiger Faktor, der den Erfolg der SASE-Implementierung beeinflusst, ist die Rollenverteilung für den Betrieb und die Konfiguration eines solchen Systems. Die Verwaltung von SASE-Lösungen liegt in der Regel in der Verantwortung von IT-Spezialisten, die in den meisten Unternehmen auch VPN und Firewalls konfigurieren.

Wenn es um die Vorteile der Nutzung dieser Technologie geht, treten wirtschaftliche Faktoren in den Vordergrund. Der bahnbrechende Vorteil des Konzepts ist die Fähigkeit, neuen Büros, Geschäfte und anderen Unternehmensstandorten schnell einen sicheren Zugriff auf Cloud- und Unternehmensressourcen zu bieten.

Unternehmen aus dem Einzelhandel oder andere Unternehmen mit einer grossen Anzahl relativ kleiner Niederlassungen profitieren am meisten von SASE. Besonders praktisch ist die Nutzung von Edge-Sicherheitsservices, wenn sich die Anzahl der Verkaufsstellen ständig ändert, wie es bei Unternehmen der Fall ist, die häufig Geschäfte schliessen und eröffnen.

Das SASE-Konzept liegt etwas näher an der Informationstechnologie als an der Sicherheit. Gleichzeitig betonen Experten die Bedeutung der Zusammenarbeit zwischen den IT- und Sicherheitsabteilungen eines Unternehmens. Erstere gewährleistet Netzwerkkonnektivität, Remote-Konnektivität und nahtlosen Zugriff auf Anwendungen, während letztere die Zugriffssicherheit ebenso wie die Compliance mit Richtlinien und Unternehmensstandards kontrolliert.

Wofür ist der SASE-Anbieter zuständig?

Alle Lösungen verfügen über Service Level Agreements (SLAs), die Cloud-Verfügbarkeitsparameter und Entschädigungen für deren Nichteinhaltung festlegen. Anbieter legen auch die von ihnen verwendeten Netzwerktechnologien und Datenverarbeitungsregeln offen. Darüber hinaus gibt es ein Protokollierungssystem und die Möglichkeit, dass ein Drittunternehmen die Zuverlässigkeit des Services bewertet. In einigen Märkten gibt es Vertragsstrafen für Ausfallzeiten.

Bevor Unternehmen sich für einen verwalteten SASE-Service entscheiden, sollten sie sich mit der Richtlinie des Anbieters zur Datenoffenlegung vertraut machen, in der festgelegt wird, welche Art von Informationen an Strafverfolgungsbehörden oder andere Behörden weitergegeben werden können, die offiziell das Recht haben, diese anzufordern. Eine weitere wichtige Frage ist, wie der Anbieter die Wirksamkeit seiner Sicherheitsfunktionen gewährleistet. Ausserdem sollte auf der Checkliste stehen, dass man Einblicke in die Vorteile der Verwendung der cloudbasierten Secure Access Services des Anbieters gegenüber der Bereitstellung ähnlicher lokaler Systeme erhält.

Besonderheiten der SASE-Implementierung

Unternehmen, die sich für die Verbesserung ihrer Sicherheit mit SASE entscheiden, sehen sich häufig einem Dilemma gegenüber – sollten sie sich für eine „schlüsselfertige“ Lösung eines Anbieters entscheiden oder versuchen, diese Prinzipien selbst umzusetzen. Beide Optionen haben ihre Vor- und Nachteile. Erstere ist einfacher, aber die Kosten und die mögliche Redundanz der Funktionen halten manche Kunden davon ab, bei diesem Trend mitzumachen. Letztere ist kosteneffizienter und kann besser für das digitale Ökosystem eines bestimmten Unternehmens geeignet sein, erfordert jedoch ein angemessenes Mass an internem technischem Fachwissen.

Vorausgesetzt, Ihr IT-Team hat die richtigen Qualifikationen: Betrachten wir einen toolgesteuerten Mechanismus, um das SASE-Modell in die Praxis umzusetzen. Zunächst müssen Sie SD-WAN zwischen der Zentrale und den Niederlassungen implementieren. Diese Technologie bietet aussergewöhnliche Netzwerkflexibilität durch die Unterstützung mehrerer WAN-Transport-Services wie Multiprotocol Label Switching (MPLS), Breitband-Internet und LTE- oder 5G-Mobilverbindungen. Im Gegensatz zum klassischen WAN gibt es kein Backhauling des Datenverkehrs von den Niederlassungen zum Unternehmensrechenzentrum und dadurch wird die Leistung von Cloud-Anwendungen auf ein Maximum erhöht.

Nachdem Sie nun eine nahtlose, cloudbasierte Konnektivität in Ihrer gesamten Unternehmensinfrastruktur hergestellt haben, müssen Sie die Sicherheitslücke schliessen. Um alle Verbindungen zu stärken, können Sie ein Secure Web Gateway, eine Web Application Firewall (WAF), Sandboxing, CASB, DLP und VPN nutzen. Stellen Sie sich eine Kombination vor, die am besten zum Kontext Ihres Netzwerks passt. Die Implementierung der Zero-Trust-Richtlinie verleiht Ihrer SASE-Bereitstellung den letzten Schliff. Führen Sie eine Netzwerksegmentierung durch und stimmen Sie die Berechtigungen von Benutzern und Geräten genau auf ihre Rollen in der Unternehmensumgebung ab.

Zusammenfassung

Das traditionelle Sicherheitsmodell konzentriert sich auf die Stärkung des Netzwerkperimeters durch Firewalls und verschiedene Anti-Malware-Tools. Im Grunde dreht es sich bei diesem Ansatz darum, zu verhindern, dass externe Bedrohungen die digitale Umgebung eines Unternehmens infizieren. Heutzutage ist diese Sicherheitsphilosophie überholt, da mehr Benutzer von verschiedenen Standorten und Geräten auf die kritischen Anwendungen und Daten eines Unternehmens zugreifen müssen.

Rechenzentren am Standort sind nicht mehr die Dreh- und Angelpunkte des Netzwerkverkehrs, da Unternehmensanwendungen zunehmend in die Cloud migrieren und die Nutzung herkömmlicher Router mit der Allgegenwart von Cloud-Diensten, um es milde auszudrücken, nicht sehr gut zurechtkommt.

SASE scheint die Wunderwaffe im Paradigma der Auflösung von Sicherheitsperimetern zu sein. Er gewährleistet eine hohe Leistung von Webanwendungen und eine hervorragende Flexibilität in Bezug auf die unterstützten Verbindungsarten. Darüber hinaus erleichtert SASE die Implementierung von Sicherheitsrichtlinien und neuen QoS-Spezifikationen (Quality of Service) in einem geografisch verteilten Unternehmensnetzwerk, um den Schutz vor unbefugten Zugriffen zu verstärken.