Haben Sie schon von SASE gehört?

https://network-king.net/wp-content/uploads/2021/03/monitorameno_edge-769x414.jpg

SASE, schön Sie kennenzulernen! Für diejenigen, die SASE noch nicht kennen: SASE ist ein Konzept, das im Jahr 2019 von Gartner mit einem neuen Ansatz für Netzwerkverbindungen und -sicherheit entwickelt wurde. Der Report der Analystenfirma beschreibt eine Reihe von Technologien namens Secure Access Service Edge (SASE), die darauf abzielen, die sich entwickelnden Anforderungen von Unternehmen an einen sicheren Zugang in einer zunehmend cloudbasierten Welt zu erfüllen.

Gartner zufolge haben die wachsenden digitalen Unternehmen, die Einführung von cloudbasierten Diensten und die aufkommenden Edge-Computing-Plattformen dazu geführt, dass sich die Zugriffsanforderungen verändern, weil mehr Benutzer, Geräte, Anwendungen, Dienste und Daten außerhalb statt innerhalb der Unternehmensumgebungen lokalisiert sind. Welche Lösung kann mit diesem Trend mithalten? Wie der Titel des Reports vermuten lässt – The future of network security is in the cloud – liegt die Zukunft der Netzwerksicherheit in der Cloud, basierend auf dem SASE-Modell. Die Idee hinter diesem Konzept ist die Bereitstellung einer Zugangskontrolle und eines Sicherheits-Stacks für Netzwerke aus der Cloud selbst.

Viele bestehende Technologien wurden nicht dazu entwickelt, mit allen Arten von Netzwerkverkehr oder Cybersecurity-Bedrohungen umzugehen. In der Folge müssen viele IT-Umgebungen spezifische Lösungen für jede Art von Anforderungen einführen, beispielsweise für Firewalls, VPNs und SD-WANs (softwaredefinierte Netzwerke in einem Weitverkehrsnetzwerk, die verwendet werden, um Hochleistungs-WANs durch kostengünstige Verbindungen zu schaffen). Darüber hinaus stehen die Unternehmen an einem Scheideweg und müssen sich zwischen Performance, Sicherheit und Kosteneinsparungen entscheiden.

Der SASE-Ansatz kombiniert WAN-Funktionen mit Netzwerksicherheitsfunktionen, wie zum Beispiel SWG (Secure Web Gateway), CASB (Cloud Access Security Broker), FWaaS (Firewall as a Service) und ZTNA (Zero Trust Network Access; „niemals vertrauen, immer überprüfen“) und weitere. Dies kann als Angleichung verschiedener Zugangsmethoden und Sicherheitsfunktionen für Netzwerke gesehen werden.

Warum ist SASE anders?

Dieses Konzept basiert auf einer Cloud-Architektur, die es Unternehmen ermöglicht, einen sicheren Zugang zu gewährleisten, unabhängig davon, wo sich die Benutzer, Anwendungen oder Geräte befinden. Es stellt den Benutzer in den Mittelpunkt, statt sich auf die Verbindungs- und Schutzmechanismen zu konzentrieren.

Das SASE-Modell zielt darauf ab, das mühsame Jonglieren aus dem Weg zu schaffen, um den Datenverkehr im aktuellen Szenario zu und von den Rechenzentren des Unternehmens zu leiten, wenn die Benutzer nur sehr wenig von dem benötigen, was sich in diesen Umgebungen befindet. Statt den Verkehr zu den Prüfmechanismen in den Rechenzentren zu zwingen, stellt SASE diese Mechanismen für Benutzer, Geräte, Anwendungen oder Dienste – die allesamt als Entitäten bezeichnet werden – in der Cloud bereit.

Die Identität der Entitäten ist einer der wichtigsten Bestandteile in diesem Zusammenhang. Es gibt jedoch noch weitere relevante Informationen, die bekannt sein müssen, beispielsweise der Ort, die Zeit, die Einschätzung des Risikos oder Vertrauens des Gerätes sowie die Kritikalität der Anwendung oder der Daten. Anhand dieser Kriterien können die im SASE-Stack verfügbaren Technologien ausgewählt und in der jeweiligen Situation angewendet werden.

Nachfolgend finden Sie einige Beispiele für den Einsatz des SASE-Technologie-Stacks für drei fiktive Entitäten:

  1. Erste Entität Profil: Mitarbeiter eines Drittunternehmens, der mittels eines nicht verwalteten Gerätes über das Web auf eine Unternehmens-Anwendung zugreifen muss, die in einem Kunden-Rechenzentrum gehostet wird; Angewandte Technologien aus dem Stack: ZTNA-Zugriff auf bestimmte Standorte; Schutz vor Angriffe durch WAAP-Dienste (Web Application and API Protection), Überwachung zur Vermeidung des Verlustes vertraulicher Daten durch Überprüfung des verschlüsselten Datenverkehrs.
  2. Zweite Entität Profil: Vertriebsmitarbeiter, der über das WLAN am Flughafen auf ein CRM-System zugreifen muss, während er mit einem verwalteten Gerät im Internet surft; Angewandte Technologien aus dem Stack: QoS-optimierte Verbindung, die Netzwerkressourcen kontrolliert und verwaltet, indem sie Prioritäten nach Datentypen definiert; SaaS Accelerator mit DLP (Data Loss Prevention); Malware-Prüfung; UEBA (User and Entity Behavior Analytics); Wi-Fi-Schutz, SWG-Schutz (Secure Web Gateway) mit DLP für Internet-Browsing.
  3. Dritte Entität Profil: Eine Reihe von Windanlagen, die Edge Computing, Zugang zur Analyse der von Sensoren ermittelten Daten und Mittel zur Übertragung der Ergebnisse an AWS benötigen, ohne Informationen zum Standort der Anlagen; Angewandte Technologien aus dem Stack: ZTNA-Zugang mit niedriger Latenz, der IP-Adressen verbirgt und eine verschlüsselte Verbindung zu AWS herstellt, die weniger empfindlich auf Latenz reagiert, mit Schutz für APIs; FWaaS zum Schutz der Edge-Computing-Umgebung vor Angriffen.

Andere Situationen erfordern die Anwendung anderer sicherer Zugriffsrichtlinien.   

Vorteile

Das SASE-Modell bietet auf konsistente und integrierte Weise eine Reihe von Zugriffs- und Sicherheitsdiensten für Netzwerke. Dadurch ergeben sich die folgenden Vorteile:

  1. Flexibilität: Auf der Cloud basierend kann die SASE-Architektur bedarfsorientiert, einfach und schnell Dienste bereitstellen: sowohl Zugriffsdienste – beispielsweise Routing und Cahing – als auch Sicherheitsdienste – beispielsweise die Abwehr von Bedrohungen, Filterung, Sandboxing, Schutz vor Datenverlost und moderne Richtlinien.
  2. Reduktion der Kosten und der Komplexität: Indem Secure-Access-Services von SASE-Stack-Providern beansprucht werden, die auf dem traditionellen Cloud-Abonnementmodell basieren, können Unternehmen die Kosten für die Anschaffung und Wartung von IT-Ressourcen ebenso wie die entsprechenden Aufwände des Team- und Umgebungs-Managements reduzieren.
  3. Verbesserte Leistung und Latenz: Führende SASE-Anbieter buhlen um die Aufmerksamkeit von Unternehmen, die mit kritischen Anwendungen in Bezug auf Leistung und Latenz arbeiten, zum Beispiel Videokonferenzen, Collaboration-Tools oder Video-Streaming. Für diese Art der Nutzung kann der Datenfluss in Strukturen mit höherer Bandbreite geleitet werden, damit die Sorge um diese Anforderungen verringert wird.
  4. Mehr Sicherheit und Mobilität: Die SASE-Architektur bietet einen konsistenten, schnellen und sicheren Zugang zu allen Ressourcen einer beliebigen Entität an einem beliebigen Ort.
  5. Aktuelle Zugriff- und Sicherheitsfunktionen: Mit dem vermehrten Aufkommen von Bedrohungen können Schutzmechanismen weiterentwickelt werden, ganz ohne die üblichen Kopfschmerzen hinsichtlich der Hardware-Kapazitäten oder der Anschaffung von Tools mit mehr Funktionalitäten. Darüber hinaus können SASE-Anbieter die neuesten und innovativsten Technologien in ihren Stacks zur Verfügung stellen.

Das Leben ist kein Zuckerschlecken

Gartner zufolge wird SASE für Netzwerkzugangs- und Sicherheitsarchitekturen genauso disruptiv sein wie Infrastructure as a Service (IaaS) für Rechenzentren war, indem es die Anschaffung von Hardware und Software und die damit verbundene Komplexität reduziert und gleichzeitig einen sicheren Zugriff ermöglicht, unabhängig vom Standort der Benutzer und Geräte. Allerdings gibt es dazu auch Gegenstimmen.

Eine Seite legt dar, dass SASE kein neuer Markt zu sein scheint, geschweige denn eine neue Technologie oder ein neues Produkt. Außerdem seien die wenigsten Unternehmen dazu bereit, alles von einem einzigen Anbieter zu erwerben. Das Forschungs- und Beratungsunternehmen IDC, wie im Bericht Five Key Enterprise Networking Trends to Watch in 2020 betont wird, ist der Meinung, dass SD-Branch (Software-defined Branch) die natürliche Weiterentwicklung von SD-WAN sein wird, eine Erweiterung mit Ressourcen für andere Netzwerkaspekte. SD-Branch kann zum Beispiel die Implementierung von Software-definierten Versionen von Geräten wie Routern, Switches und Firewalls ermöglichen. Bei der Verkettung dieser Anwendungen bestehen jedoch Schwierigkeiten. Der Gartner-Report selbst warnt, dass die Verkettung vermieden werden sollte, wenn es um SASE geht.

Ausblick und Empfehlungen

Einige der ersten Unternehmen, die in den SASE-Markt eingestiegen sind, sind Cato Networks, Infoblox und Palo Alto Networks. VMware erklärte im Jahr 2019, dass sein VeloCloud SD-WAN eine SASE-Plattform werde. Im Laufe der Monate sind weitere Player hinzugekommen. Obwohl Cisco ein großer Name im IT-Universum ist und über Expertise sowohl im Netzwerk- als auch im Sicherheitsbereich verfügt, brauchte das Unternehmen etwas länger, um seine Ambitionen auf dem SASE-Markt zu demonstrieren, was erst Mitte 2020 geschah.

Der aktuelle Ausblick beinhaltetet eine Ausweitung dieses Marktes, der Sicherheit und Anbieterkonsolidierung kombiniert. Diese Aussage ist Teil eines Berichts der 650 Group, der im Februar 2021 veröffentlicht wurde und bestätigt, dass der Markt von 2020 bis 2025 um das Fünffache wachsen wird. Eine weitere Studie, die im Oktober 2020 von der Dell’Oro Group veröffentlicht wurde, gab Wachstumsprognosen für diesen Markt ab und gab an, mit einer jährlichen Wachstumsrate von 116 Prozent zwischen 2019 und 2024 sowie einem geschätzten Wert von 5,1 Milliarden US-Dollar am Ende dieses Zeitraums zu rechnen.

Auf Kundenseite prognostiziert Gartner, dass mindestens 40 Prozent der Unternehmen bis 2024 explizite Strategien zur Einführung von SASE haben werden, verglichen mit einem Anteil von weniger als einem Prozent Ende 2018.

Gartner rät Unternehmen, die diesen Weg beschreiten möchten, zur Vorsicht. Viele Unternehmen haben verschiedene Teams für Themen rund um Netzwerk- und Informationssicherheit. Jedes von ihnen könne die Einführung von SASE einschränken oder die Führung bei der Verwaltung der neuen Architektur übernehmen wollen. Um dieses Hindernis zu überwinden, sollte die Initiative auf einem Werteversprechen basieren, das verschiedene Silos einschließt und von Fachleuten auf CISO- und CIO-Ebene geleitet wird.

FacebookTwitterLinkedIn