Suchen

Secure Access Service Edge (SASE) Sicherheit für Edge und Multicloud

| Autor / Redakteur: lic.rer.publ. Ariane Rüdiger / Peter Schmitz

Das neue Security-Konzept SASE (Secure Access Service Edge) sichert neue Infrastrukturwelten mit mobilen Mitarbeitern, Home-Offices, Niederlassungen, Edge-Systemen und Multicloud-Nutzung.

Firmen zum Thema

Secure Access Service Edge (SASE) bedeutet im Idealfall, dass Unternehmen Sicherheitsfunktionen komplett als Cloud-Service von einem Dienstleister erhalten.
Secure Access Service Edge (SASE) bedeutet im Idealfall, dass Unternehmen Sicherheitsfunktionen komplett als Cloud-Service von einem Dienstleister erhalten.
(Bild: gemeinfrei / Pixabay )

Die IT-Technologiewelt hat sich massiv verändert. Das aktuelle Ideal sind überall und jederzeit aktive Mitarbeiter, Niederlassungen ohne IT-Personal, Massen intelligenter, selbsttätig Daten generierender und kommunizierender Endgeräte am Edge, gepaart mit der Nutzung von Cloud-Services aus unterschiedlichen Quellen.

Im Ergebnis nutzt heute jeder mobile Anwender mehrere unterschiedliche Verbindungen: die zu Office365, die zum Firmen-VPN, und so weiter. Sie alle adäquat zu sichern, wird zur Sisyphusaufgabe. Dazu kommen ständige Softwareupdates für jede App. Am Perimeter orientierte Sicherheitslösungen stoßen an Grenzen. „Allein die Umstellung von Office 365 auf zwei Feature-Updates pro Jahr statt einem hat die Arbeit des Administrators mit der Lösung verdoppelt“, sagt Nils Ullmann, Solution Architect bei Zscaler Germany.

Bildergalerie

Gartner prägt den Begriff SASE

Solche Situationen fördern Neuentwicklungen. Sind sie da, prägen Berater und Marktforschungs­auguren für den neuen Trends einen Namen. So geschehen wieder einmal im Sommer 2019, als Gartner den Terminus SASE (Secure Access Service Edge) erfand. Das bedeutet im Idealfall, Sicherheitsfunktionen komplett als Cloud-Service von einem Dienstleister liefern zu lassen. Anwender können sich die einzelnen Services modular aus dem Portfolio auswählen, über dem eine einheitliche Benutzerschnittstelle liegt.

Um die Latenz zu verringern, befinden sich in der Nähe der einzelnen Anwendungen respektive Anwender Points of Presence des Cloud-Service-Providers. Der Kern der Security-Cloud des Anwenders verwaltet die Regeln, die für jeden Kunden spezifisch sein können, umgesetzt werden sie in der Nähe von Anwendern, Endgeräten und Applikationen.

SD-WAN und identitätsbasierender Netzwerkzugang

Die WAN-Infrastruktur wird softwaredefiniert aufgebaut und immer wieder dem Bedarf angepasst. Innerhalb der Infrastruktur lassen sich Präferenzen für die Beförderung bestimmter Daten festlegen. Beispielsweise müssen echtzeitsensitiver Verkehr und Alarme so schnell wie möglich ans Ziel, gewöhnliche E-Mail darf ein paar Sekunden warten.

Die Cloud des Security-Providers ersetzt beim Anwender von SASE-Services dessen Hardware- oder VM-basierte Sicherheitsmechanismen, etwa das VPN-Gateway. Zugriffe auf Anwendungen erfolgen unabhängig vom Standort und Endgerät immer über die Cloud des Sicherheitsanbieters und damit unabhängig davon, wo sich gegebenenfalls ein Kunden-Rechenzentrum befindet.

Schutz garantiert SASE durch identitätsbasierte Zugangsmechanismen für Anwender und bei IoT auch Endgeräte (Zero Trust Network Access) und klar definierte Rechtestrukturen. Zu einem voll ausgebauten SASE-Servicebundle gehören Funktionen wie Firewall as a Service (FWaaS), Secure Web Gateway, Cloud Access Security Broker (CASB), DNS, ZTNA, Sandboxing sowie Remote Browser Isolation.

Rasantes SASE-Wachstum

Gartner prognostiziert in dem Papier „The Future of Network Security is in the Cloud“ SASE-Services einen rasanten Erfolg: Bis 2020 sollen bereits 20 Prozent der Unternehmen SASE implementiert haben (heute: weniger als fünf Prozent), bis 2024 40 Prozent der Unternehmen eine SASE-Einstiegsstrategie besitzen (heute 1 Prozent). Spätestens in fünf Jahren werde, so vermutet Gartner, mindestens einer der großen IaaS-Anbieter eine SASE-Servicesuite in sein Portfolio integrieren.

Tatsächlich springen immer mehr Anbieter auf den fahrenden Zug auf. Etwas leichter hat es dabei naturgemäß, wer keine Altprodukte pflegen muss, die von den neuen SASE-Angeboten kannibalisiert werden. Das ist die Lage vieler Sicherheits-Startups.

Wer nur auf Cloud-Services setzt, hat es leichter

Ein erfolgreiches Beispiel dafür ist die vor zehn Jahren gegründete Firma Zscaler, deren Sicherheitsdienste von Anfang an Cloud-basiert konzipiert waren. Bis heute bietet Zscaler alle seine Sicherheitsfunktionen als Service an. Anwender können sie über eine Agenten-App oder über APIs nutzen, für die dann der jeweilige Gerätehersteller das Gegenstück programmieren muss. Als VPN-Ersatz für mobile Mitarbeiter gibt es die Variante PA (für Private Access), bei Zugriff direkt übers Web den direkten Internet Access.

Noch mit einem Bein in der alten Sicherheitswelt steckt beispielsweise Palo Alto Networks. Der Anbieter hat zwar mit Prism Access schon ein rein Cloud-basierendes Produkt am Markt, gleichzeitig aber auch noch VM-basierte Schutzprodukte. Ähnlich geht es auch Cisco mit seiner Umbrella-Lösung. Sie muss sich in einem umfangreicheren Security-Produktportfolio behaupten.

Viele liefern bislang nur Bausteine

Andere haben bislang vor allem SASE-Bausteine realisiert, aber noch keine umfassende Lösung. Dazu gehören Fortinet, McAfee oder Proofpoint. Es bleibt der Rückgriff auf Services anderer Anbieter, wenn man trotzdem ein volles Dienstleistungsspektrum realisieren möchte. So nutzt VMware die SD-WAN-Technologie von Velocloud und die NSX-Cloud für weitere Services.

Das Zusammenbauen mehrerer Dienste aus unterschiedlichen Quellen trägt das Risiko einer holprigen Integration. Das gilt auch dann, wenn Anwender auf den Gedanken kommen, sich ihr eigenes SASE-System aus externen Services zusammenzustricken. Vor dieser Vorgehensweise warnt Gartner ausdrücklich. Sie könne arbeitsaufwändig, teuer und im Ergebnis trotzdem unbefriedigend werden.

So vermeidet man Fehler bei Umstieg und Produktauswahl

Professionelle Tests einer ins Auge gefassten SASE-Servicelösung hält Gartner für unverzichtbar. CISO und Chef-Netzwerkarchitekt sollten auf jeden Fall bei der Anbieterauswahl mitwirken. Leitfragen bei der Anbieterauswahl sind neben Preis und Service-Portfolio natürlich die Kompatibilität mit allen verwendeten Cloud-Providern und im Unternehmen genutzten Vernetzungstechnologien. Ausreichend viele POPs überall da, wo Kunden dies benötigen und Kenntnisse in Proxy-Technologie sollten vorhanden sein.

Weil der Markt derzeit noch unübersichtlich ist und jederzeit konsolidieren kann, empfiehlt das Marktforschungsunternehmen kurzfristige Verträge. So kann man gegebenenfalls rasch und schmerzlos umsatteln. Beispielsweise, wenn nach einem Zukauf oder der eigenen Expansion die Abdeckung des bisherigen Providers nicht mehr ausreicht.

Oder wenn er zu teuer ist/wird. Denn die gegenwärtige boomende Marktlage fordere es geradezu heraus, Kunden zu melken, meint Gartner. Daher lohnen sich Preisvergleiche und Verhandlungen auf jeden Fall.

Potentielle Vorteile von SASE

Wer den richtigen SASE-Anbieter gefunden hat, kann Komplexität und Kosten senken – das VPN beispielsweise ist oft überflüssig. Die Lasten des Betriebs trägt der Provider, was die Mittel frei machen sollte, diesen zu bezahlen. Mobile, flexible und agile Geschäftsmodelle werden besser unterstützt.

Die Netzwerkleistung sollte genau wie die Sicherheit steigen. Denn verschlüsselt wird grundsätzlich von Ende zu Ende – ob sich der Anwender nun in der Niederlassung befindet, im Auto oder im Internet-Café. Verkehr auf der Leitung wird nur einmal überprüft, nicht mehrmals, was jeweils Zeit kostet.

Jedwede Verbindung lässt sich optimal auslegen. Alle Edge-Systeme können sicher in die Gesamtinfrastruktur eingebunden und mit Schutzmechanismen auch gegen exotische oder gezielte Angriffsformen ausgerüstet werden. Datenschutz und Datensicherheit lassen sich regulierungskonform und nachweisbar gewährleisten.

Insofern dürften SASE-Services eine große Zukunft haben, wenn nicht die Technologie­entwicklung in ihrer Unvorhersehbarkeit auch diesen Ansatz schon bald durch etwas noch Besseres ersetzt. Durch die vielen Bösewichter, die in den Netzen agieren, bleibt der evolutionäre Druck auf Sicherheitsanbieter hoch, so dass das durchaus nicht unwahrscheinlich ist.

(ID:46371095)

Über den Autor

lic.rer.publ. Ariane Rüdiger

lic.rer.publ. Ariane Rüdiger

Freie Journalistin, Redaktionsbüro Rüdiger