Suchen

SASE – Secure Access Service Edge Umfassende Sicherheit vom Rechenzentrum bis zum Edge

Autor / Redakteur: Uwe Müller / Dipl.-Ing. (FH) Andreas Donner

Die Netzwerksicherheit ist heute nicht mehr auf das Rechenzentrum beschränkt. Sie verlagert sich zunehmend in die Cloud. Damit kann das bewährte, Perimeter-basierte Sicherheitsmodell nicht mithalten. So müssen IT-Teams einen umfassenden Security-Ansatz finden – vom Rechenzentrum über Netzwerk und Cloud bis zum Edge.

Firmen zum Thema

Uwe Müller von Cisco erläutert, was es mit Secure Access Service Edge auf sich hat und wie es funktioniert.
Uwe Müller von Cisco erläutert, was es mit Secure Access Service Edge auf sich hat und wie es funktioniert.
(Bild: Cisco)

Die Nutzung von Cloud-Anwendungen an allen Standorten ist heute zum Normalfall geworden. Nach Untersuchungen der Enterprise Strategy Group sagen 32 Prozent der Unternehmen, dass die Mehrzahl ihrer Anwendungen auf Basis von Software-as-a-Service (SaaS) funktioniert. Dieser Anteil wird in zwei Jahren auf 60 Prozent steigen.

Aufgrund der dadurch entstehenden Performance-Probleme an Niederlassungen und den hohen Kosten für die Datenübertragung ist das herkömmliche, zentralisierte Konzept nicht mehr ideal. Daher nutzen viele Unternehmen heute einen dezentralisierten Netzwerkansatz, um Kosten und die Performance an entfernten Standorten zu optimieren. Dies ermöglicht einen effizienteren direkten Internet-Zugang (DIA) für Zweigstellen, führt aber auch zu neuen Security-Problemen wie

  • Lücken bei der Durchsetzung von Richtlinien: Zentralisierte Security-Richtlinien lassen sich in einem dezentralisierten Netzwerk nicht effektiv verwalten und durchsetzen. Denn der größte Teil des Datenverkehrs von Zweigstellen in die Cloud und das Internet läuft nicht über einen zentralen Punkt. Dies führt zu Transparenz-Lücken, die das Risiko durch erfolgreiche Angriffe oder Compliance-Verstößen erhöhen.
  • Umfangreiche, komplexe Security-Tools: Sicherheitsteams haben bereits jetzt Mühe, Cybergefahren effektiv abzuwehren. Viele nutzen eine große Zahl von Einzellösungen, die schwer zu integrieren und zu verwalten sind. Diese Produkte erzeugen Tausende von Warnmeldungen, die aufgrund ihrer Menge nur teilweise beachtet werden.

Ausweg SASE-Konzept

Im Jahr 2019 veröffentlichte Gartner eine Studie mit dem Titel „The Future of Network Security is in the Cloud“. Sie entwickelte das Konzept Secure Access Service Edge (SASE), das noch mehr Sicherheitsfunktionen als ein Secure Internet Gateway besitzt. Die SASE-Architektur, wie sie auch von Cisco vorgelebt wird, kann neben Rechenzentrum und Netzwerk auch die Ränder von Cloud-, Rechenzentrums- und Zweigstellen-Netzwerken absichern. Zudem bietet sie über verschiedene Verbindungen hinweg eine sichere SD-WAN-Fabric. Die vier wichtigsten Merkmale dieses neuen Konzepts sind

  • Identitäts-basiert: Die Gartner-Studie schlägt vor, dass „die digitale Transformation die Designmuster von Netzwerken und Security-Services umkehrt und den Schwerpunkt auf die Identität des Nutzers und/oder Geräts verlagert – statt auf das Rechenzentrum“. Dabei ist „die Identität des Nutzers/Geräts/Dienstes eines der wichtigsten Elemente des Kontextes, der in die verwendete Richtlinie einbezogen werden kann“.
  • Cloud-native: Gartner sagt, dass moderne digitale Unternehmen „mehr sensible Daten außerhalb des Unternehmensrechenzentrums in Cloud-Diensten haben als innerhalb“. Außerdem ist dort „mehr Datenverkehr von Nutzern für Public-Cloud-Dienste bestimmt als für das Unternehmensrechenzentrum“.
  • Edge Computing: Zur Unterstützung des SASE-Konzepts beschreibt die Studie eine „weltweite Fabric/Mesh von Netzwerk- und Netzwerksicherheitsfunktionen, die bei Bedarf eingesetzt werden können, um Einheiten mit Netzwerkfunktionen zu verbinden, auf die sie Zugriff benötigen“.
  • Weltweit verteilt: Unternehmen sollten auch eine „intelligente Schaltzentrale“ einsetzen, in der „Identitäten über die weltweite Struktur sicherer Zugriffsmöglichkeiten des SASE-Anbieters mit vernetzten Funktionen verbunden werden“.

Zahlreiche Vorteile

Das SASE-Konzept konsolidiert eine große Anzahl von Netzwerk- und Sicherheitsfunktionen, die bislang von mehreren Einzellösungen bereitgestellt werden, in einer einzigen, vollständig integrierten Cloud-nativen Plattform. Zu den Vorteilen des SASE-Konzepts gehören

  • Reduzierung von Kosten und Komplexität
  • Sicherer Fern- und Mobil-Zugriff
  • Latenzoptimiertes, richtlinienbasiertes Routing
  • Sicherer nahtloser Zugang für Nutzer
  • Verbesserte Sicherheit durch konsistente Richtlinien
  • Aktualisierung von Richtlinien sowie des Schutzes vor Bedrohungen ohne Hardware- und Software-Upgrades
  • Eingeschränkter Zugriff auf Basis von Nutzer-, Geräte- und Anwendungsidentität
  • Höhere Effektivität der Netzwerk- und Security-Teams durch zentralisiertes Richtlinien-Management

Die Komponenten von SASE

Zu den wichtigsten Bestandteilen einer SASE-Lösung gehören

  • SD-WAN (Software-Defined Wide Area Network): Damit können Unternehmen jede beliebige Kombination von Diensten zur Datenübertragung nutzen, wie MPLS, LTE, 5G und Breitbandverbindungen. Dabei lässt sich die effizienteste Kommunikationsmethode wählen, um Kosten zu senken und das Management zu vereinfachen.
  • Sicherheit auf DNS-Ebene (Domain Name System): Die DNS-Auflösung ist der erste Schritt, wenn ein Nutzer auf eine Website oder einen anderen Dienst im Internet zugreifen möchte. Die Gewährleistung der Sicherheit auf DNS- und IP-Ebene – etwa durch Cisco Umbrella – ist daher die erste Abwehrmöglichkeit von Angriffen, bevor Nutzer mögliche Malware aufrufen.
  • SWG (Secure Web Gateway): Ein Cloud-basierter Web-Proxy oder SWG bietet Malware-Erkennung, Datei-Sandboxing und dynamische Bedrohungserkennung, SSL-Entschlüsselung, Anwendungs- und Inhaltsfilterung sowie Data Loss Prevention.
  • FWaaS (Firewall-as-a-Service): Die Cloud-basierte Bereitstellung von Firewall-Funktionalität dient zum Schutz des nicht webbasierten Internetverkehrs. Dazu gehören Sichtbarkeit und Kontrolle der Layer 3 und 4 (IP, Port und Protokoll) sowie Richtlinien für Layer 7 (Anwendungskontrolle) und IP-Anonymisierung.
  • CASB (Cloud Access Security Broker): Ein CASB hilft bei der Kontrolle und Sicherung von Cloud-basierten SaaS-Lösungen. Damit können Unternehmen ihre Sicherheitsrichtlinien und Compliance-Vorschriften durchsetzen. CASBs ermöglichen über verschiedene Cloud-Plattformen hinweg Einblicke in Anwendungen und erkennen eine unerlaubte Nutzung. Sie entdecken automatisch die verwendeten Cloud-Apps und identifizieren gefährliche Anwendungen sowie weitere Risikofaktoren. In der Regel bieten sie DLP-Funktionalität sowie Warnmeldungen bei anormaler Benutzeraktivität, um interne und externe Bedrohungen abzuwehren.
  • ZTNA (Zero Trust Network Access): Das von Forrester postulierte Security-Framework Zero Trust verfolgt einen Sicherheitsansatz nach dem Motto „niemals vertrauen, immer überprüfen“. ZTNA verifiziert Nutzer- und Geräte-Identitäten. Dadurch können Unternehmen unbefugten Zugriff verhindern, Vorfälle eindämmen und die Bewegung von Angriffen im Netzwerk einschränken. ZTNA erfordert daher einen starken, Cloud-basierten Ansatz zur Multi-Faktor-Authentifizierung, wie ihn beispielsweise Cisco Duo anbietet.

Das Zusammenspiel der Komponenten

Die verschiedenen Bestandteile einer SASE-Lösung können in der Regel nur dann optimal zusammenarbeiten, wenn sie aus einer Hand bereitgestellt werden. Dabei sollten sie eine Cloud-skalierte SD-WAN-Architektur nutzen, welche die komplexen Anforderungen moderner WANs in drei Bereichen erfüllt:

  • Ständige Optimierung der Anwendungen, um eine vorhersagbare User Experience zu bieten, während sich die Apps weiterentwickeln.
  • Sicherheit auf mehreren Ebenen, um flexibel die optimale Security-Lösung einzusetzen, ob on-Premises oder Cloud-basiert.
  • Einfaches Management, das umfassende Richtlinien vom Nutzer bis zur Anwendung ermöglicht.

Dazu sollte sie Lösungen für die Mangement-, Orchestrierungs- und Steuerungsebene sowie für Edge-Router bieten. Auch eine ausfallsichere, performante Cloud-Infrastruktur ist wichtig. Mithilfe von Anycast-Routing lässt sich jedes Rechenzentrum eines Anbieters auf der ganzen Welt unter derselben IP-Adresse erreichen.

Uwe Mueller.
Uwe Mueller.
(Bild: Cisco)

So werden Anfragen transparent an das nächstgelegene, schnellste Rechenzentrum gesendet, und ein Failover erfolgt automatisch. Dabei sollte die Infrastruktur mit weltweit führenden Internet Service Providern (ISPs), Content Delivery Networks (CDNs) und SaaS-Plattformen zusammenarbeiten, um für jede Anfrage die schnellste Route bereitzustellen. Dies gewährleistet hohe Geschwindigkeit, effektive Sicherheit und optimale Benutzerfreundlichkeit.

Über den Autor

Uwe Müller ist Architecture Lead Datacenter Sales and Presales bei Cisco.

(ID:46975063)