Aspekte von Secure Access Service Edge SASE unter die Lupe genommen

Von Bernhard Lück

Anbieter zum Thema

Bei der von Palo Alto Networks präsentierten SASE Converge 2021 kamen führende Vertreter der Netzwerk- und Sicherheitsbranche virtuell zusammen, um die Lehren aus der Einführung von SASE-Technologien zu diskutieren und zu beschreiben, was diese Technologien möglich machen werden.

Klassische Netzwerk- und Netzwerksicherheitsarchitekturen sind von Grund auf gestört, da sich immer mehr Daten und Anwendungen außerhalb des traditionellen Rechenzentrums befinden.
Klassische Netzwerk- und Netzwerksicherheitsarchitekturen sind von Grund auf gestört, da sich immer mehr Daten und Anwendungen außerhalb des traditionellen Rechenzentrums befinden.
(© – ipopba – stock.adobe.com)

Die Teilnehmer der SASE Converge 2021 am 28. und 29. September 2021 haben Secure Access Service Edge (SASE) mit Blick auf Konvergenz, Sicherheit und Benutzererfahrung untersucht – Schlüsselthemen mit dem Potenzial, die Branche umzugestalten. Palo Alto Networks fasst aktuelle Fragen und Antworten rund um SASE zusammen:

SASE stellt den Benutzer in den Mittelpunkt des Universums

Auf der SASE Converge beschrieb der Analyst Neil MacDonald, Vice President von Gartner, SASE wie folgt: „Da sich mehr Daten und Anwendungen außerhalb des traditionellen Rechenzentrums befinden als innerhalb, sind die klassischen Netzwerk- und Netzwerksicherheitsarchitekturen von Grund auf gestört. SASE stellt diese Modelle auf den Kopf und rückt den Benutzer in den Mittelpunkt des Universums. In Bezug auf die Sicherheit ist der Perimeter nicht länger ein Ort (…), er ist eine Fähigkeit, die dynamisch aus der Cloud bereitgestellt wird.“

Anschließend beschrieb er Ergebnisse, die von der Implementierung einer SASE-Architektur heute zu erwarten sind, darunter:

  • Möglichkeiten zur Anbieterkonsolidierung,
  • Verringerung der Komplexität,
  • Erreichen einer Zero-Trust-Sicherheitsposition.

Am wichtigsten sei jedoch, dass SASE es Mitarbeitern ermögliche, unabhängig von Standort und Gerät bessere Arbeit zu leisten.

SASE ist ein signifikanter Wettbewerbsvorteil

Vor der Pandemie begann die globale Investmentbank Jefferies mit der Einführung von SASE unter Verwendung von Prisma Access, um den Zugang für ihre Benutzer zu sichern und das Arbeiten von überall aus zu ermöglichen. Im Jahr 2020 war die Bank darauf vorbereitet, als die Pandemie sie dazu zwang, ihre Büros zu schließen und ihre gesamte globale Belegschaft von zu Hause aus arbeiten zu lassen. In der Zwischenzeit hatten viele ihrer Konkurrenten im Bankensektor einen weniger nahtlosen Übergang zur Telearbeit zu verzeichnen.

„Wir hatten eine SASE-Architektur aufgebaut, die sowohl die Infrastruktur und die Konnektivität zu unseren Rechenzentren bereitstellt, als auch den kompletten Security-Stack in der Mitte, ganz nah am Endbenutzer, wo auch immer er sich während der Pandemie weltweit aufhielt. Diese Architektur stellte das kritische Rückgrat dar, damit unser Unternehmen unsere Kunden bedienen konnte“, sagte Josh Dye, Senior Vice President of Information Security bei Jefferies. „Wir waren in der Lage, anderen Banken, die sich nicht so schnell umstellen konnten wie wir, Marktanteile abzunehmen, um unseren Kunden diese Dienstleistungen wieder anbieten zu können.“

Durch die Pandemie wird die bisherige Arbeit nie wieder dieselbe sein.

Wie jedes andere Unternehmen musste auch Palo Alto Networks nach dem Ausbruch der Pandemie schnell reagieren, um die Sicherheit und Produktivität aller seiner 10.000 Mitarbeiter zu gewährleisten. Das Unternehmen nutzte die Gelegenheit jedoch auch, um andere Aspekte der Mitarbeitererfahrung neu zu gestalten.

Obwohl Fernarbeit anfangs für die meisten Büromitarbeiter eine Voraussetzung war, stellte sich die Unternehmensführung eine Zukunft vor, in der der Arbeitsort nur eine von vielen individuellen Entscheidungen sein sollte, die ein Mitarbeiter selbst treffen kann. Liane Hornsey, Chief People Officer, erinnerte sich: „Wir erkannten, dass wir, wenn wir dieses Paradigma (dass Mitarbeiter vom Büro aus arbeiten sollten) zerschlagen konnten und keine Produktivitätseinbußen hinnehmen mussten, auch andere Dinge anders machen konnten.“

Im Jahr 2020 führte das Unternehmen Flexwork ein, ein Programm, bei dem die Mitarbeiter selbst entscheiden können, wie sie arbeiten möchten. Es umfasst eine breite Palette von Initiativen, darunter zusätzliche Flexibilität bei den Sozialleistungen, den Schulungsmöglichkeiten und dem Arbeitsort. Auch nach dem Ende der Pandemie sieht Hornsey die Flexibilität des Arbeitgebers in Bezug auf Dinge wie den Arbeitsort als eine Voraussetzung für Unternehmen, um mit einem globalen Pool von Wissensarbeitern wettbewerbsfähig zu bleiben.

Zum Glück war es für die IT-Organisation von Palo Alto Networks recht einfach, den Mitarbeitern die Möglichkeit zu geben, von überall aus zu arbeiten. Da das Unternehmen bereits eine SASE-Architektur implementiert hatte, waren laut CIO Naveen Zutshi keine manuellen Infrastrukturänderungen erforderlich, um das neue Flexwork-Paradigma zu ermöglichen. Darüber hinaus hat die Umstellung auf eine cloudbasierte Infrastruktur die tägliche Arbeitsbelastung reduziert und der IT-Abteilung den Rücken frei gehalten, um neue Programme zu implementieren, die die Zukunft der Arbeit im Unternehmen weiter vorantreiben werden.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

SASE ist die einzige Möglichkeit, Zero Trust für Benutzer zu erreichen

In seinem Vortrag über die Rolle von SASE bei Zero Trust stellte Nir Zuk, Gründer und CTO von Palo Alto Networks, Zero Trust Enterprise vor, ein strategisches Rahmenwerk für das Verständnis und die praktische Umsetzung einer Zero-Trust-Sicherheitshaltung im Unternehmen. Das Framework gliedert das Unternehmen in drei Bereiche (Benutzer, Anwendungen und Infrastruktur) und vier Teile jeder digitalen Transaktion, die überprüft werden müssen (Identität, Gerät/Workload, Zugriff und Transaktion), um jegliches implizites Vertrauen zu beseitigen.

Der Versuch, jede der notwendigen Sicherheitsfunktionen als verschiedene punktuelle Produkte für verschiedene Anwendungsfälle zu erhalten – der „Whac-a-mole“-Ansatz – würde zu unterschiedlichen Sicherheitsniveaus führen und ein gewisses Maß an implizitem Vertrauen erfordern. Daher ist SASE der einzige Weg, um wirklich Zero Trust für die Benutzer zu erreichen. SASE bedeutet die Durchsetzung des Zugriffs mit den geringsten Privilegien und die Überprüfung von Benutzertransaktionen auf die gleiche Art und Weise, unabhängig davon, wo sich der Benutzer befindet und welche Art von Anwendung er verwendet.

„Wir haben die Möglichkeit, die Dinge im Bereich der Cybersicherheit richtig zu machen“, sagte Nir Zuk. „Wir sind dabei, unser WAN und unsere Internet-Sicherheitsinfrastruktur neu zu gestalten. Wir bauen die Sicherheit unserer Rechenzentren und unserer Security Operations Centers neu auf. Wenn es um Zero Trust für die Nutzer geht, ist SASE der beste Weg, dies zu erreichen.“

Mit SASE nicht in die Konvergenzfalle tappen

Herkömmliche Hub-and-Spoke-Architekturen mit disparaten Netzwerk- und Sicherheits-Stacks sind für hybrides Arbeiten und die Cloud nicht geeignet. Die Konvergenz von Netzwerk und Sicherheit in der Cloud mit SASE verspricht, diese Mängel zu beheben, doch nicht alle Angebote können diese Vision verwirklichen.

Die meisten heute verfügbaren SASE-Lösungen sind unzusammenhängend und unvollständig, sodass Kunden bei der Umstellung auf ein cloudbasiertes SASE-Modell inakzeptable Kompromisse hinsichtlich Sicherheitseffizienz oder Netzwerkfunktionalität eingehen müssen. Die alten Herausforderungen beim Zusammenfügen einer Umgebung mit mehreren Anbietern bleiben bestehen, und die Fehlerbehebung ist ein Alptraum.

Digital Experience Management ist die geheime Zutat für SASE

Wenn Benutzer von überall aus arbeiten und auf jede beliebige Anwendung zugreifen, wer ist dann dafür verantwortlich, dass sie ein gleichbleibend gutes Erlebnis haben? Wenn der Benutzer auf ein Problem stößt, selbst wenn es durch einen Ausfall eines Drittanbieters oder durch das Spielen eines bandbreitenintensiven Videospiels durch das eigene Kind verursacht wird, ist der IT-Helpdesk immer noch derjenige, der die Anrufe entgegennimmt. Wie erhält der Helpdesk die nötigen Einblicke, um sicherzustellen, dass die Benutzer produktiv bleiben können?

Anupam Upadhyaya, Vice President of Product Management bei Palo Alto Networks, demonstrierte, wie ADEM von Palo Alto Networks Unternehmen einen durchgängigen Überblick über eine einzige Verwaltungskonsole bietet. Im Gegensatz zu anderen Lösungen, bei denen eine fortgeschrittene IT-Spezialisierung und eine separate Agentenverwaltung auf Endpunkten und Zweigstellen erforderlich sei, ermögliche die Benutzerfreundlichkeit von ADEM selbst unerfahrenen Analysten, tiefe Einblicke in die Anwendungsperformance zu gewinnen. Durch den Einsatz von GlobalProtect-Agenten für die Sichtbarkeit der Endpunkte und die native Prisma SD-WAN-Integration für entfernte Standorte und Zweigstellen könne ADEM für einen möglichst geringen Platzbedarf sorgen.

Verwaltung von Secure Web Gateways mit Prisma Access 2.2

Da Anwendungen immer mehr in die Cloud verlagert werden und Benutzer von überall aus arbeiten, ist es für Sicherheitsadministratoren schwierig, einheitliche Richtlinien für ihre Benutzer unabhängig von deren Standort durchzusetzen. Häufig werden Secure Web Gateways (SWG) getrennt von anderen Sicherheitskontrollen verwaltet, was zu Komplexität und inkonsistenten Richtlinien führt und letztlich Sicherheitslücken entstehen lässt, die Unternehmen gefährden.

Administratoren benötigen einen plattformbasierten Ansatz für die Sicherheit, bei dem SWG als Teil einer SASE-Plattform integriert sind. Prisma Access 2.2 von Palo Alto Networks biete ein nativ integriertes Cloud-SWG mit einem neu konzipierten, benutzerzentrierten Workflow, der von Grund auf so aufgebaut sei, dass er sehr einfache und leicht zu definierende Web-Sicherheitsregeln biete. Mit vordefinierten Empfehlungen und kontinuierlichen Bewertungen auf der Grundlage von Best Practices erhielten Kunden optimale Sicherheit für ihr Unternehmen, unabhängig davon, ob ihre Benutzer mobil oder in Zweigstellen tätig sind. Unternehmen könnten über die traditionellen „Erlauben-oder-Sperren“-Regeln hinausgehen und detailliertere Aktionskontrollen aktivieren, um den neuen Anforderungen ihrer hybriden Belegschaften gerecht zu werden.

(ID:47980484)