Suchen

Definition SASE (Secure Access Service Edge) Was ist SASE?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Secure Access Service Edge (SASE) ist ein Architekturkonzept, das WAN-Services und Security-Funktionen als eine kombinierte Cloud-basierte Lösung bereitstellt. Die Security-Funktionen wirken am Netzwerkrand (Edge). Sie lösen zentralisierte Sicherheitskonzepte beispielsweise über virtuelle private Netzwerke ab. Für Anwender, Anwendungen und Geräte bestehen identitäts- und kontextbasierte Zugangsmechanismen.

Firma zum Thema

SASE (Secure Access Service Edge) ist der Name für eine Kombination von WAN-Services und Edge-Security-Funktionen.
SASE (Secure Access Service Edge) ist der Name für eine Kombination von WAN-Services und Edge-Security-Funktionen.
(Bild: gemeinfrei / Pixabay )

Die Abkürzung SASE steht für Secure Access Service Edge. Es handelt sich um ein noch recht neues Architekturkonzept, das WAN-Services und Sicherheitsfunktionen zu einer einheitlichen cloudnativen Lösung kombiniert. Geprägt haben den Begriff SASE einige Gartner-Analysten im Jahr 2019. Zentrale Bestandteile des Secure Access Service Edge sind das SD-WAN und Security-Services wie das Secure Web Gateway (SWG), Firewall as a Service (FWaaS), Zero Trust Network Access (ZTNA), sicheres DNS und Cloud Access Security Broker (CASB). Die Bereitstellung der Services erfolgt Cloud-basiert. Die Sicherheitsfunktionen greifen bereits am Netzwerkrand (Network Edge). Zentralisierte Netzkonzepte und Sicherheitslösungen mit einem einzigen Unternehmensrechenzentrum und dediziertem Equipment werden durch Secure Service Edge zugunsten eines Cloud-basierten, dezentralen Architektur- und Sicherheitskonzepts abgelöst.

Wichtige Merkmale von Secure Access Service Edge

Wesentliche Merkmale von SASE sind die Bereitstellung eines globalen SD-WAN-Services über ein privates SASE-Backbone und verteilte PoPs, verteiltes Policy Enforcement, zentrales Policy Management, Verschlüsselung des Traffics, umfangreiche Schutzfunktionen beispielsweise gegen DDoS-Angriffe oder Malware, eine cloudnative Architektur, identitäts- und kontextgetriebene Zugangskontrollen, integrierte DNS-Dienste und lokale Bereitstellungsoptionen für Customer Premises Equipment (CPE).

Grundgedanke und Funktionsweise von SASE

Der Grundgedanke von Secure Access Service Edge ist, dass das Unternehmensrechenzentrum nicht mehr das Zentrum der Architektur bildet. Unternehmen nutzen neben eigenen Rechenzentren eine Vielzahl an Cloud-basierten Services und Internetdiensten. Sicherheits-Policies lassen sich zentral definieren, wirken aber lokal am Netzwerkzugang (Edge). Die Security-Richtlinien sind auf Identitäten und Kontext bezogen. Die WAN-Infrastruktur ist softwaredefiniert. Sie lässt sich flexibel bereitstellen und anpassen. Übertragene Daten können entsprechend ihrer Dringlichkeit oder Wichtigkeit priorisiert werden. Die Zugriffe auf Services und Anwendungen erfolgen immer über die Cloud-Infrastruktur des Providers. Am Point of Presence (PoP) wird der Verkehr überprüft und in das globale SASE-WAN oder in das Internet geleitet. Neben dem identitätsbasierten Zugang für Anwender ist der Zero Trust Network Access auch für IoT-Endgeräte möglich.

Vorteile durch SASE

Das Architekturkonzept Secure Access Service Edge bietet Unternehmen zahlreiche Vorteile. Typische Vorteile sind:

  • Reduzierung von Komplexität und Kosten durch Konsolidierung der WAN- und Security-Services
  • flexibel skalierbare, individuell anpassbare WAN- und Sicherheits-Services
  • schnelle Bereitstellung neuer Dienste
  • Sicherstellung der Performance für echtzeitsensitive Anwendungen durch Reduzierung der Latenzzeiten
  • zentrale Definition und Steuerung der Sicherheitsrichtlinien
  • verbesserte Sicherheit durch Prüfung des Netzwerkverkehrs und der Identitäten am Netzwerkrand
  • hohe Sicherheitsniveau durch Zero Trust Network Access
  • Prüfung der Zugriffssicherheit zu Services und Anwendungen nah am User
  • fein steuerbare Zugriffskontrollen auf Daten, Anwendungen und Geräte
  • hohes Sicherheitsniveau für Anwendungen und übertragene oder gespeicherte Daten
  • Durchsetzung der Security-Policies auf Basis von Identitäten und Kontext
  • Bereitstellung und Verwaltung der Inspection Engines durch den SASE-Provider
  • hohes Schutzniveau vor Malware und DDoS-Angriffen
  • Priorisierungsmöglichkeiten des Datenverkehrs

(ID:46597069)

Über den Autor