Suchen

Abschied vom Perimeter Ist Ihre Architektur bereit für SASE?

| Autor / Redakteur: Thomas Ehrlich / Peter Schmitz

Im Zeitalter der Cloud befinden sich IT-Infrastrukturen inmitten tiefgreifender Veränderungen, welche die Art und Weise, wie Anwendungen und Daten bereitgestellt und genutzt werden, deutlich umstrukturieren. Immer mehr Unternehmen erkennen, dass sich ihre physische Netzwerk- und Sicherheitsinfrastruktur weiterentwickeln muss, um ihre Umgebungen, in denen sich der Perimeter immer mehr auflöst, effektiv schützen zu können.

Firmen zum Thema

Moderne Unternehmen haben heute keinen „Netzwerk Perimeter“ oder Netzwerkrand mehr. Das neue Security-Framework SASE bringt wesentliche Sicherheitsservices in einem Cloud-nativen Modell zusammen und damit Sicherheit in eine Perimeterlose Infrastruktur.
Moderne Unternehmen haben heute keinen „Netzwerk Perimeter“ oder Netzwerkrand mehr. Das neue Security-Framework SASE bringt wesentliche Sicherheitsservices in einem Cloud-nativen Modell zusammen und damit Sicherheit in eine Perimeterlose Infrastruktur.
(Bild: gemeinfrei / Pixabay )

Cloud-Dienste, Security und Networking konvergieren und schaffen ein neues Modell, bei dem Sicherheit und Networking nicht mehr nur aus einzelnen Anwendungen und Geräten bestehen, sondern als Software-Dienste neben Cloud-basierten Anwendungen bereitgestellt werden.

Gartner hat den Begriff SASE (Secure Access Service Edge) geprägt, um dieses neu entstehende Sicherheits- und Netzwerk-Framework zu beschreiben. Die Analysten weisen auf sieben Bereiche hin, in denen Sicherheits- und Netzwerkteams ihre Architektur mit Blick auf die Vorteile von SASE überprüfen sollten. Im Folgenden werfen wir einen Blick auf diese Bereiche und zeigen die sich hieraus ergebenden Vorteile, um Sicherheits- und Netzwerkteams zu helfen, ihre Position bei SASE einordnen zu können.

Von einzelnen Sicherheitslösungen hin zu richtlinienbasierten Sicherheitsdiensten durch eine Cloud-native, auf Mikrodiensten basierende Umgebung.

Eine Architektur, die auf traditionelle Netzwerk- und Sicherheitsanwendungen gründet, welche lediglich als Software in die Cloud portiert wurden, ist nicht SASE-fähig. Dennoch ist dies ein weit verbreiteter Ansatz, obgleich er nicht skaliert, unter Interoperabilitätsproblemen leidet, nicht in der Lage ist, neue Funktionen schnell bereitzustellen und Sicherheitsservices mit einer viel zu hohen Latenz liefert. Nur eine native Cloud-Architektur kann nahtlose Sicherheitsdienste bereitstellen, die den Anforderungen an die Risikominderung in vollem Umfang entsprechen. Es gibt wenig Zweifel daran, dass Cloud-nativen Umgebungen die Zukunft gehöret, da sie sich schnell an den sich wandelnden Netzwerk- und Sicherheitsanforderungen anpassen können und in der Lage sind, neue Produkte nativ zu erstellen und Sicherheitsservices bereitzustellen, ohne dabei die Produktivität des Unternehmens zu behindern oder die Nutzerfreundlichkeit zu beeinträchtigen. Als entsprechend zukunftssicher gelten Investitionen in diesem Bereich der IT-Security.

Die Kombination von Cloud- und Web-Sicherheitstechnologien vereinfacht den Betrieb und senkt die Kosten.

Eine SASE-Infrastruktur unterstützt Unternehmen bei der Implementierung konsistenter Sicherheitskontrollen für SaaS-, Web- und IaaS-Dienste, wodurch die Angriffsflächen minimiert und sensible Daten geschützt werden. Eine SASE-fähige Infrastruktur bietet Secure Web Gateway (SWG)-Funktionen neben anderen Cloud-basierten Netzwerk- und Sicherheitsdiensten wie Cloud Access Security Broker (CASB), Data Loss Prevention (DLP) und Advanced Threat Protection (ATP). Dies ist notwendig, da Unternehmen ihre Anwendungen in die Cloud verlagern und sich nicht mehr auf lokale Firewalls zum Schutz ihrer Daten verlassen können (etwa weil diese Appliances für modernen Cloud-Verkehr wie API-Aufrufe und JSON blind sind). Unternehmen benötigen tiefergehende Sicherheitskontrollen, um einen genaueren Einblick in die Aktivitäten zu erhalten, die über SaaS-, Web- und IaaS-Dienste sowie über gemanagte und nicht gemanagte Geräte hinweg durchgeführt werden.

Durch die Vereinheitlichung dieser Fähigkeiten innerhalb einer einzigen Architektur ermöglicht das SASE-Konzept Unternehmen die Identifizierung und Dekodierung sowohl des Webverkehrs als auch der Cloud-basierten Anwendungen, wobei detaillierte Zusammenhänge wie persönliche und Unternehmensinstanzen derselben Cloud-Anwendung (z.B. Office 365, Gmail, Slack) aufgezeigt werden können. Unternehmen sind so in der Lage, ein umfassendes Bild der Bedrohungslandschaft zu erhalten, das den Kontext der integrierten Sicherheits- und Netzwerkdienste innerhalb der SASE-kompatiblen Plattform einbezieht. Dieses konsolidierte Cloud-Gateway stellt ein SWG der nächsten Generation (NG SWG) dar: Es erweitert den Schutz durch die Identifizierung, das Management und die Sicherung von Web-Datenverkehr und cloudbasierten Anwendungen, die Erkennung und Eindämmung cloudbasierter Bedrohungen und die Durchsetzung von Schutzfunktionen bei Datenverlusten – alles mit einer einheitlichen Engine zur Definition und Durchsetzung von Richtlinien.

Die erfolgreiche Kontrolle der Bewegung sensibler Daten durch kontextbezogene Kontrollen und ein datenzentriertes Sicherheitsmodell.

Datensicherheit ist ein integraler Bestandteil von SASE. Moderne Cloud-DLP-Lösungen bieten vollständige Transparenz und im besten Fall eine Kontexterkennung der Datenbewegung über die Cloud hinweg sowie eine Begrenzung von Datenverlusten und Exfiltrationen. Um DLP zu skalieren und zu optimieren, müssen die Richtlinien dabei datenzentriert sein und unabhängig vom Endpunkt oder Cloud-Service auf die Daten angewendet und verfolgt werden. Die Verwaltung von DLP-Richtlinien wird innerhalb eines SASE-Frameworks vereinfacht, da dieselben Richtlinien auf alle Cloud-Anwendungen und Websites angewendet werden können. Auf diese Weise wird sichergestellt, dass dieselben DLP-Richtlinien auf abgelegte, „statische“ Daten (data-at-rest) und „dynamische“ Daten, auf die (gerade) zugegriffen wird (data-in-motion), angewendet werden. Zudem sollte ein SASE-fähiges Framework Daten effektiv identifizieren und klassifizieren sowie ein genaues Verständnis zur Unterstützung von Richtlinien auf der Grundlage von Kontexten wie Benutzer, Gerätetyp, Dateityp, Datenkennungen und mehr liefern.

Schutz vor Cloud-basierten Bedrohungen und Kombination von Kontrollen für Bedrohungen und Daten für eine effiziente und umfassende Kontrolle in einem Schritt.

Angesichts der rapiden Zunahme von Cloud-basierten Bedrohungen wie etwa Phishing und Drive-by-Angriffen, bieten traditionelle Lösungen nur eine begrenzte Transparenz und stellen so ein erhebliches Risiko dar. Gefragt ist eine skalierbare native Cloud-Plattform, um den Schutz vor Bedrohungen in der Cloud in Echtzeit (schnelles Scannen) und in der Tiefe (Sandboxing) zu unterstützen. Hierdurch können jegliche Malware und Bedrohungen effektiv erkannt und entsprechend bekämpft werden.

Eine ATP-Lösung, die auf dem SASE-Modell basiert, kann erheblich dazu beitragen, die Komplexität und Kosten für SecOps und Incident Response (IR)-Teams zu reduzieren und gleichzeitig die Wirksamkeit und den Umfang der Bedrohungsabwehr zu verbessern. Sie kann auch dabei helfen, alle Sicherheitsereignisse, die über gemanagte und nicht gemanagte Clouds hinweg gesammelt werden, zu zentralisieren und eine einzige, konsolidierte Ansicht aller Aktivitäten zu erhalten. Um effektiv zu sein, muss diese Lösung umfang- und aufschlussreiche Metadaten aus dem Web- und Cloud-Verkehr zur weiteren Analyse und Untersuchung sammeln.

Zero-Trust-Ansatz als Strategie für Fernzugriffe.

Für den Fernzugriff haben sich Sicherheitsteams traditionell auf komplexe und teure VPN-Appliance-Implementierungen verlassen, die nicht skalierbar sind und wachsende Wartungskosten verursachen, aber gleichzeitig schwer zu verwalten sind. Gleichwohl können durch den traditionellen „offenen“ Netzwerkzugang von VPNs sensible Daten leicht exfiltriert werden und kompromittierte Konten oder (böswillige) Insider sich lateral innerhalb des Netzwerks bewegen. SecOps-Teams benötigen eine moderne Lösung für den sicheren Zugang, die sich leicht skalieren lässt und gleichzeitig den sicheren Zugriff von Remote-Benutzern auf ausgewählte private Anwendungen in öffentlichen Clouds und Rechenzentren unabhängig vom Standort ermöglicht. Ein SASE-Anbieter kann eine Cloud-Sicherheitslösung bereitstellen, die den Zugriff auf private Applikationen auf Anwendungsebene auf der Grundlage von Zero Trust-Prinzipien ermöglicht. Dies umfasst die Authentifizierung von Benutzern sowie die Überprüfung und Klassifizierung des Gerätestatus, bevor Benutzer mit definierten privaten Anwendungen verbunden werden.

Ein robustes, globales Edge-Netzwerk, das hochleistungsfähig ist, eine hohe Kapazität aufweist und „Cloud-lastige“ Kommunikation unterstützen kann, bildet das Rückgrat für SASE.

Die globale Netzwerkarchitektur eines Anbieters ist entscheidend dafür, wie lange Kundendaten zu und von den nächstgelegenen Points of Presence (POP) unterwegs sind, bevor sie verarbeitet werden, was die End-to-End-Latenzzeit potenziell erhöht. Letztlich beeinflusst die zugrunde liegende Netzwerkinfrastruktur den Umfang und die Wirksamkeit der Sicherheitskontrollen, wobei traditionelle Netzwerke für ein SASE-Modell nicht geeignet sind.

Ein Anbieter, der den Prinzipien der SASE-Idee folgt, stellt seine Dienste über ein globales Cloud-Edge-Netzwerk zur Verfügung und bietet Sicherheitsservices, die dem Nutzer am nächsten sind, optimiert das Routing und die Verfügbarkeit und ermöglicht gleichzeitig Sicherheitsfunktionen wie DLP und ATP inline. Dies ermöglicht eine schnelle Verarbeitung mit minimaler Latenz und Unterbrechung für den Anwender. Anbieter, die den Kundenverkehr zu zentralen Rechenzentren zurückführen, handeln im Grunde gegen das SASE-Modell und sind nicht in der Lage, alle erforderlichen Netzwerk- und Sicherheitsdienste zu liefern, die von Unternehmen verlangt werden.

SASE ermöglicht auch eine nahtlose Integration der SD-WAN-Funktionalität in einer Cloud-basierten Architektur, in der die SD-WAN-Funktionalität nativ neben den Sicherheitsservices aufgebaut ist, was die Skalierung der Leistung und Bereitstellung für die Benutzer von Remote-Büros erleichtert. SASE-fähige Architekturen ermöglichen es, SD-WAN-Edge-Lösungen direkt mit dem Edge-Cloud-Netzwerk zu verbinden, wodurch die Komplexität der Bereitstellung physischer SD-WAN-Hubs vermieden und die Kosten und die Komplexität der Bereitstellung mehrerer Netzwerk- und Sicherheitsanwendungen im gesamten Unternehmensnetzwerk reduziert werden. Dieses Zugriffsmodell kann auch dazu beitragen, Overlays zu vereinfachen, die die Komplexität für die Verwaltung des Unternehmensnetzwerks erhöhen.

Integrierte Tools für Management- und Verwaltung reduzieren die Komplexität und steigern die Effizienz.

Die meisten großen Sicherheitsanbieter bieten ein Portfolio von hardware- und softwarebasierten Sicherheitsprodukten an, die durch die Übernahmen anderer Firmen realisiert wurden. Aber auch wenn eine gewisse Integration vorhanden ist, haben die SecOps-Teams mit der komplexen Gestaltung, Konfiguration und Verwaltung ihrer Sicherheitsinfrastruktur zu kämpfen. Im Gegensatz dazu sollte eine SASE-Lösung eine vollständig einheitliche Verwaltung und Administration ermöglichen. Entsprechend sollte man sich vor Produkten hüten, die zwar mit einem „SASE“-Label versehen wurden, aber separate Konfigurationen und Dashboards erfordern, um mehrere Produkte zu gemeinsamen Arbeitsabläufen zu verbinden. Eine „echte“ SASE-fähige Lösung sollte REST-APIs sowie die gemeinsame Nutzung von Bedrohungsinformationen auf der Grundlage von Standards bieten, um ihre Funktionalitäten erweitern zu können.

Ein SASE-Framework bringt wesentliche Sicherheitsservices in einem Cloud-nativen Modell zusammen, das globale Netzwerke mit hoher Kapazität und niedriger Latenz für eine optimierte Anwenderfreundlichkeit nutzt. Unternehmen, die sich für SASE entscheiden, profitieren von einer vereinfachten Umgebung, die auf der Konsolidierung mehrerer Sicherheitstechnologien basiert, sowie von reduzierten Kosten und einer deutlich verbesserten Anwenderfreundlichkeit sowohl für Endbenutzer als auch für Administratoren. Entscheidend ist, dass Unternehmen durch die Einführung einer SASE-Architektur wesentlich besser vor neu auftretenden Bedrohungsfaktoren geschützt und besser gerüstet sind, um den Anforderungen des Datenschutzes und der Datensicherheit auch in Zukunft gerecht zu werden.

Über den Autor: Thomas Ehrlich ist Country Manager DACH von Netskope.

(ID:46667727)