Suchen

SASE bringt Networking und IT Security in die Cloud So bereiten sich Unternehmen heute schon auf SASE vor

Autor / Redakteur: Frank Limberger / Peter Schmitz

Dem SASE-Konzept gehört die Zukunft von Networking und IT-Sicherheit. Auch wenn es noch einige Jahre dauern wird, bis komplette Lösungsangebote dafür zur Verfügung stehen: Unternehmen können bereits jetzt erste Schritte in Richtung SASE-Architektur gehen.

Firmen zum Thema

Durch die SASE-Architektur erhalten Unternehmen die Möglichkeit, ihre Nutzer und Niederlassungen rund um die Welt über eine einzige Sicherheitsschicht direkt mit der Cloud zu verbinden.
Durch die SASE-Architektur erhalten Unternehmen die Möglichkeit, ihre Nutzer und Niederlassungen rund um die Welt über eine einzige Sicherheitsschicht direkt mit der Cloud zu verbinden.
(Bild: gemeinfrei / Pixabay )

Mit Secure Access Service Edge, kurz SASE, formulierte der Marktforscher Gartner 2019 ein neues Architekturmodell für Security und Networking. Dieses Modell schlägt vor, Sicherheits- und Netzwerkfunktionen in einem ganzheitlichen, Cloud-nativen Service zusammenzuführen. Damit sollen die klassischen IT-Sicherheitsarchitekturen von Unternehmen, die ihre Netzwerke mit Hilfe von On-Premises-Tools nach außen hin absichern, langfristig ersetzt werden.

Dieser Ansatz ist die Antwort auf zentrale Entwicklungen der digitalen Transformation. So verlagern immer mehr Unternehmen Anwendungen und Daten in die Cloud; und eine immer größere Zahl von Nutzern greift darauf von außerhalb des Firmennetzwerks zu. Dazu zählen Remote-Mitarbeiter, etwa im Home Office, mobile Mitarbeiter unterwegs, aber auch Mitarbeiter in Zweigstellen und Niederlassungen ohne eigene Rechenzentren.

Die herkömmlichen Netzwerk- und Sicherheitsarchitekturen erzwingen dabei einen Umweg des Datenflusses über das zentrale Rechenzentrum, denn nur so kann er die dortigen Sicherheitsvorkehrungen durchlaufen. Die Folgen sind schwache Performance, hohe Latenzen und damit einhergehende Verbindungsabbrüche. Um das zu vermeiden, verbinden zahlreiche Unternehmen ihre mobilen und Remote-Mitarbeiter sowie ihre Niederlassungen inzwischen direkt mit dem Internet und den Cloud-Anwendungen. Dabei verwenden sie Technologien wie SD-WAN, sind dabei aber gezwungen, die zentralisierten On-Premises-Security-Gateways zu umgehen.

SASE bringt Networking und IT Security in die Cloud

Diese Herausforderungen adressiert das SASE-Konzept, indem es Networking und IT Security in die Cloud bringt – und damit direkt dorthin, wo sich auch die Anwendungen und Daten befinden. Viele Anbieter haben deshalb bereits damit begonnen, Produkte und Lösungen zur Unterstützung von SASE-Architekturen zu entwickeln. Ihre Aufgabe wird es sein, künftig alle erforderlichen Security- und Konnektivitäts-Technologien zu kombinieren und als ganzheitlichen Cloud-Service zur Verfügung zu stellen; von Secure Web Gateway, Firewall-as-a-Service, Cloud Access Security Broker oder Data Loss Prevention/Data Leakage Prevention bis hin zu SD-WAN.

Durch die SASE-Architektur erhalten Unternehmen nicht nur die Möglichkeit, ihre Nutzer und Niederlassungen rund um die Welt über eine einzige Sicherheitsschicht direkt mit der Cloud zu verbinden und dadurch die Performance zu erhöhen. Sie können ihre Verbindungen auch einfacher und kostengünstiger realisieren. Die Sicherheits- und IT-Verantwortlichen bekommen außerdem die einmalige Chance, die Komplexität ihrer Umgebungen zu reduzieren und von einer vereinfachten Netzwerk- und Security-Verwaltung durch einen zentralisierten Management-Hub zu profitieren.

SASE-Markt ist noch im Anfangsstadium

Der SASE-Markt befindet sich natürlich noch im Anfangsstadium. Bis komplette SASE-Portfolios zur Verfügung stehen, wird noch einige Zeit vergehen.. Die Herausforderungen, die es adressiert, sind aber heute schon vorhanden. Aus diesen Gründen sollten Unternehmen schon jetzt prüfen, erste wichtige Schritte in Richtung SASE-Architektur zu gehen.

Zuerst sollten sie dabei die Mitarbeiter und Daten im Zentrum ihrer Cloud-Security-Designs betrachten: Wer muss sich mit welchen Anwendungen verbinden, wo befinden sich diese und wie soll die Verbindung dorthin erfolgen? Mit sicheren SD-WAN-Technologien können Netzwerkperformance und Kosten für die Nutzer in den Niederlassungen optimiert werden. Umleitungen an das zentrale Rechenzentrum über private Verbindungen wie VPNs werden damit entlastet. In vielen Fällen können integrierte Cloud-Security-Services dabei nicht nur für Sicherheit sorgen, sondern auch die Transparenz erhöhen. Für ihre mobilen und Remote-Mitarbeiter sollten Unternehmen die Möglichkeiten der Cloud-Web-Security prüfen. Sie können die Mitarbeiter völlig unabhängig davon, von wo aus sie sich mit dem Internet verbinden, vor eingebetteter Schadsoftware in Webseiten, Download-Dateien oder Links schützen.

Darüber hinaus ist es für Unternehmen wichtig, Transparenz und Kontrolle über ihre Cloud-Anwendungen und -daten herzustellen. Sie müssen wissen, wie sich ihre Nutzer damit verbinden. Verwenden sie dazu firmeneigene oder BYOD-Endgeräte? Cloud Application Security Brokers können den Zugriff auf geschäftskritische Applikationen steuern und die Datensicherheits-Richtlinien von Unternehmen für die dort gespeicherten Informationen durchsetzen. Damit lässt sich die Nutzung von Cloud-Anwendungen sowohl auf verwalteten als auch unverwalteten Endgeräten einfacher absichern.

Als dritten Schritt können Unternehmen damit beginnen, ihren Security-Stack in die Cloud zu migrieren, indem sie integrierte Cloud Web Security, Cloud Application Security Brokers und Cloud-basierte Data Loss Prevention/Data Leakage Prevention nutzen. Der integrierte Ansatz hilft den Unternehmen dabei, die Kontrolle über ihre kritischsten Daten zurückzugewinnen – völlig unabhängig davon, von wo aus die Nutzer darauf zugreifen und damit interagieren.

SASE-Partner mit Bedacht wählen

Der IT-Partner, mit dem Unternehmen diese Schritte gehen, ist natürlich idealerweise später auch der Anbieter für ihre komplette SASE-Architektur. Deshalb sollte er mit besonderer Sorgfalt ausgewählt werden. Vorsicht müssen Unternehmen bei Technologie- und Service-Anbietern walten lassen, die bereits heute vermeintliche SASE-Komplettangebote vermarkten. Hinter solchen Angeboten steht meist nur die Bündelung bereits vorhandener Technologien oder die Zusammenfassung von Produkten in Service Chains. Diese Ansätze entsprechen nicht dem ganzheitlichen SASE-Modell, sondern führen ganz im Gegensatz dazu zu Inkonsistenzen, schwachen Strukturen und zusätzlichen Latenzzeiten.

Über den Autor: Frank Limberger ist Data and Insider Threat Specialist bei Forcepoint in München.

(ID:46845655)