Nicht alle Unternehmen verstehen, was Secure Access Service Edge (SASE) genau bedeutet – ob es sich um eine Reihe von Produkten oder Services, ein umfassendes System oder einfach ein Konzept und eine Methodik handelt. Lassen Sie uns die Antwort herausfinden und gehen wir der Frage nach, wie gross die Marketingkomponente des SASE-Hype ist, welche Vorteile solche Lösungen und Services den Kunden bieten und wer für ihr Funktionieren verantwortlich sein sollte.

Was ist SASE?

Der Begriff SASE wurde ursprünglich vom IT-Forschungsriesen Gartner eingeführt und bezeichnet eine Zusammenführung der Paradigmen „Network as a Service (NaaS)“ und „Security as a Service (SaaS)“. Aufgrund des Übergangs zur Remotearbeit und der zunehmenden Beliebtheit von Cloud-Services hat sich das traditionelle Sicherheitsmodell als ineffektiv erwiesen. SASE-Services bringen die Sicherheit näher an den Endbenutzer und ermöglichen eine nahezu unbegrenzte Skalierbarkeit.

Das heisst im Klartext, SASE ist eine Kombination aus Netzwerk- und Sicherheits-Services. Aus Netzwerkperspektive ermöglicht es Ihnen, die Datenübertragung zu optimieren und den Datenverkehr reibungslos umzuleiten. Vom Standpunkt der Sicherheit hängt alles vom Standort der Ressourcen ab, auf die der Benutzer zugreift. Edge-Computing-Services gehen über herkömmliche Sicherheitsmechanismen in Unternehmen hinaus und schützen Benutzer, wenn sie sich von überall auf der Welt mit der Cloud verbinden.

SASE spielt eine wichtige Rolle bei der Beschleunigung der Nutzung von Cloud-Ressourcen. Er klärt InfoSec und IT-Experten über die Technologien auf, die die Arbeit mit Cloud-Services komfortabel und sicher machen.

Experten weisen darauf hin, dass SASE kein eigenständiges Produkt ist. Es handelt sich um eine Reihe von Lösungen, die kombiniert werden können, um die Anforderungen eines Kunden vollständig zu erfüllen. Ein Beispiel für Edge-Sicherheits-Services in der Praxis könnte eine Situation sein, in der Mitarbeitenden eines Unternehmens in ein anderes Land oder eine andere Region umziehen. Wenn sie eine Verbindung zum Point of Presence (PoP) am neuen Standort herstellen, erhalten sie ein qualitativ hochwertiges Routing und einen schnellen Zugriff ebenso wie alle erforderlichen Sicherheits-Services.

Viele Unternehmen haben noch nicht in Betracht gezogen, SASE-Lösungen auszuprobieren. Zu den Faktoren, die Entwicklung von SASE hemmen, gehört das mangelnde Vertrauen der Kunden in Cloud-Sicherheitstechnologien. Grösstenteils ist dieses Misstrauen auf die folgenden Faktoren zurückzuführen:

  • Regulatorischer Druck.
  • Widerstand von Sicherheitsexperten, die Angst haben, einige ihrer Funktionen in die Cloud zu übertragen.
  • Der Fokus vieler Unternehmen liegt eher auf dem Inlandsmarkt als auf dem globalen Markt.

Zusammenfassend kann man sagen, dass SASE kein Produkt oder eine Technologie ist, sondern ein Konzept und eine Strategie, die weitgehend durch Marketing gestützt werden.

SASE-Komponenten

Gartner führt 25 Elemente auf, die in einer solchen Lösung enthalten sein können. In dieser Hinsicht fragen sich viele Experten, ob SASE als vollwertig eingestuft werden kann, wenn einige dieser Komponenten fehlen.

Verschiedene Kernelemente bilden den SASE-Stack. Dazu gehören SD-WAN, Secure Web Gateway, Cloud Access Security Broker (CASB)-Lösungen, Firewall as a Service (FWaaS) und ein Zero-Trust-Access-System. Eine Reihe weiterer Tools, wie Mechanismen zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP), Sandboxing, Services zur Isolierung von Webanwendungen und Seiten im Browser WLAN-Segmentschutz sind optional und können vom Kunden nach Bedarf erworben werden.

Betrachtet man SASE unter dem Gesichtspunkt der Kundenbedürfnisse, sollten drei wichtige Services implementiert werden:

  • Datenschutz, sowohl innerhalb der Cloud als auch bei der Übertragung zwischen Services.
  • Sicherer Zugang basierend auf Cloud-Technologie.
  • Lokale Points of Presence (PoPs), die die gesetzlichen Anforderungen erfüllen.

Es gibt keine Lösung, die alle SASE-Anforderungen vollständig und bedingungslos erfüllt. Einige Anbieter sind stärker in Netzwerktechnologien, während andere sich auf Sicherheit konzentrieren. Daher ist es notwendig, von den Zielen des Kunden auszugehen und die für ihn erforderliche Konfiguration des Secure Access Service Edge auszuwählen.

Ein Schlüsselelement von SASE, das dieses Konzept von anderen Zugriffssystemen abhebt, ist das Vorhandensein von ZTNA Zero Trust Network Access (ZTNA)-Services. Sie sind eine gute Alternative zur Verwendung einer Firewall und können dank der Cloud von überall auf der Welt aus aufgerufen werden.

Eine weitere häufig gestellte Frage ist, ob ein virtuelles privates Netzwerk ein unverzichtbarer Bestandteil von SASE ist. Tatsache ist, dass Remote-Zugriff-VPN-Tools in der Regel einheitliche Bedrohungsverwaltung (UTM)-Gateways darstellen, die in Secure Access Service Edge Services implementiert sind.

Ein Übergang zur SASE-Philosophie bedeutet nicht, dass Endpunktschutzsysteme und herkömmliche Mittel zur Sicherung des Perimeter einer Organisation aufgegeben werden. Wozu sollte man also einen weiteren sicheren Zugriff-Service nutzen?

Der Anteil von Mitarbeitenden, die sich vom Büro aus bzw. vom Homeoffice aus mit Unternehmensressourcen verbinden, hat sich seit Anfang 2020 drastisch verändert. Es überrascht nicht, dass sich die Sicherheitsteams von Unternehmen mit einer neuen Kategorie von Geräten auseinandersetzen müssen – private Computer und Laptops, die oft weniger geschützt und anfällig für verschiedene Cyberangriffe sind. Aus diesem Grund ist die Thematik über Edge-Services im Moment von Bedeutung.

Wer sollte SASE einrichten und verwalten?

Der Erfolg der SASE-Implementierung hängt von einer klaren Rollenverteilung ab. Das ist in erster Linie die Aufgabe von IT-Spezialisten, die auch für VPNs und Firewalls verantwortlich sind. Aus wirtschaftlicher Sicht liegt der Hauptvorteil von SASE im flexiblen und sicheren Zugang zu neuen Standorten. Das macht es zur idealen Lösung für den Einzelhandel und andere Branchen mit großen und dynamischen Filialnetzen. Eine effektive SASE-Implementierung erfordert die Zusammenarbeit zwischen IT- und Sicherheitsabteilungen. Denn nahtlose Netzwerkkonnektivität und strikte Zugriffssicherheit in Übereinstimmung mit den Unternehmensrichtlinien und -standards sind von entscheidender Bedeutung.

Wofür ist der SASE-Anbieter zuständig?

Alle Lösungen verfügen über Service Level Agreements (SLAs), die Cloud-Verfügbarkeitsparameter und Entschädigungen für deren Nichteinhaltung festlegen. Anbieter legen auch die von ihnen verwendeten Netzwerktechnologien und Datenverarbeitungsregeln offen. Darüber hinaus gibt es ein Protokollierungssystem und die Möglichkeit, dass ein Drittunternehmen die Zuverlässigkeit des Services bewertet. In einigen Märkten gibt es Vertragsstrafen für Ausfallzeiten.

Bevor Unternehmen sich für einen verwalteten SASE-Service entscheiden, sollten sie sich mit der Richtlinie des Anbieters zur Datenoffenlegung vertraut machen, in der festgelegt wird, welche Art von Informationen an Strafverfolgungsbehörden oder andere Behörden weitergegeben werden können, die offiziell das Recht haben, diese anzufordern. Eine weitere wichtige Frage ist, wie der Anbieter die Wirksamkeit seiner Sicherheitsfunktionen gewährleistet. Ausserdem sollte auf der Checkliste stehen, dass man Einblicke in die Vorteile der Verwendung der cloudbasierten Secure Access Services des Anbieters gegenüber der Bereitstellung ähnlicher lokaler Systeme erhält.

Besonderheiten der SASE-Implementierung

Wenn Unternehmen SASE in Betracht ziehen, haben sie die Wahl zwischen einer vorgefertigten Anbieterlösung und der Entwicklung einer eigenen Lösung. Die Anbieterlösung ist unkompliziert, kann aber teuer sein und unnötige Funktionen enthalten. Die Eigenentwicklung ist kostengünstiger und anpassungsfähiger, erfordert aber ein hohes Maß an technischem Know-how.

Für Unternehmen mit kompetenten IT-Teams beginnt die SASE-Implementierung mit der Einrichtung von SD-WAN, um den Hauptsitz mit den Zweigstellen zu verbinden. Dieser Ansatz erhöht die Flexibilität des Netzwerks und optimiert die Leistung von Cloud-Anwendungen, indem herkömmliche Backhauls für den Datenverkehr zum Rechenzentrum vermieden werden.

Um eine robuste Sicherheit in Ihrem Netzwerk zu gewährleisten, sollten Sie Tools wie Secure Web Gateways, Web Application Firewalls, Sandboxing, CASB, DLP und VPNs integrieren. Passen Sie diesen Mix an die spezifischen Anforderungen Ihres Netzwerks an. Schliesslich sollten Sie einen Zero-Trust-Ansatz verfolgen, Ihr Netzwerk segmentieren und die Zugriffsrechte an Benutzer- und Geräterollen anpassen, um Ihr SASE-Framework zu vervollständigen.

Zusammenfassung

Das traditionelle Sicherheitsmodell konzentriert sich auf die Stärkung des Netzwerkperimeters durch Firewalls und verschiedene Anti-Malware-Tools. Im Grunde dreht es sich bei diesem Ansatz darum, zu verhindern, dass externe Bedrohungen die digitale Umgebung eines Unternehmens infizieren. Heutzutage ist diese Sicherheitsphilosophie überholt, da mehr Benutzer von verschiedenen Standorten und Geräten auf die kritischen Anwendungen und Daten eines Unternehmens zugreifen müssen.

Rechenzentren am Standort sind nicht mehr die Dreh- und Angelpunkte des Netzwerkverkehrs, da Unternehmensanwendungen zunehmend in die Cloud migrieren und die Nutzung herkömmlicher Router mit der Allgegenwart von Cloud-Diensten, um es milde auszudrücken, nicht sehr gut zurechtkommt.

SASE scheint die Wunderwaffe im Paradigma der Auflösung von Sicherheitsperimetern zu sein. Er gewährleistet eine hohe Leistung von Webanwendungen und eine hervorragende Flexibilität in Bezug auf die unterstützten Verbindungsarten. Darüber hinaus erleichtert SASE die Implementierung von Sicherheitsrichtlinien und neuen QoS-Spezifikationen (Quality of Service) in einem geografisch verteilten Unternehmensnetzwerk, um den Schutz vor unbefugten Zugriffen zu verstärken.