:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
SASE - selten richtig verstanden Welches SASE taugt für die Praxis?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/62/55/62559fd04668d/delltech-logo-prm-blue-rgb.png "delltech-logo-prm-blue-rgb (Dell Technologies)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Der von Gartner eingeführte Kategorie SASE (Secure Access Service Edge) bezeichnet ein Architekturmodell, das Netzwerk- und Sicherheitsfunktionen vereint. Ein vollmundiges Versprechen, dass sich in der Praxis nicht immer einlösen lässt. Aber woran liegt es? Machen die Anwender zu häufig Fehler bei der Implementierung oder haben sie sich für das „falsche“ SASE entschieden?
Secure Access Service Edge-Technologien (kurz SASE), in der Tiefe zu durchdringen ist nicht ganz einfach. Schlicht, weil es sich dabei nicht um ein neues, cooles Feature handelt, sondern ein architektonischer Wandel gemeint ist. Dieser Wandel verändert grundlegend wie gemeinsame Netzwerk- und Sicherheitsfunktionen für Benutzer, Standorte und Anwendungen global bereitgestellt werden. Den notwendigen organisatorischen Wandel eingeschlossen. Der von Gartner geprägte Begriff ist in erster Linie ein Versprechen. Es beinhaltet eine simple, agile und ganzheitliche Methode, einen sicheren und optimierten Zugriff für jeden Benutzer, von jedem Ort aus und für jedes Gerät bereitzustellen.
Dieses Versprechen einzulösen ist ganz offensichtlich drängender denn je, denn Firmen aus den unterschiedlichsten Branchen kämpfen mit wachsender Komplexität auf der einen, und hohen Sicherheitsanforderungen auf der anderen Seite. Durch die Digitalisierung und wachsende Mobilitätsanforderungen, wird es für Unternehmen immer schwieriger, die globale Netzwerkleistung ohne inakzeptable Latenzzeiten oder Kostensteigerungen aufrecht zu erhalten. Cloud- und Mobilitätslösungen fordern weitere Network- & Security-Lösungen und bremsen eine Konsolidierung der Hardware. Geht es dann an die Migration in die Cloud, mangelt es oft an der nötigen Visibilität und Datensicherheit bei den Anwendungen.
Gartner führte die Kategorie SASE im 2019 unter dem Titel „The Future of Network Security is in the Cloud“ erschienenen Report ein. Darin heben die Analysten ganz besonders die Konvergenz von Netzwerk und Netzwerksicherheits-Services als in ihren Augen wichtigstes architektonisches Merkmal von SASE hervor. Laut Gartner „führt dieser Markt Netzwerk- (z. B. softwaredefiniertes WAN [SD-WAN]) und Netzwerksicherheitsdienste (z. B. SWG, CASB und Firewall as a Service [FwaaS]) zusammen. Wir nennen das Secure Access Service Edge, wobei die Lösung überwiegend als cloudbasierter Dienst bereitgestellt wird.“
Eindeutig ausgeschlossen ist damit das Aneinanderketten unterschiedlicher Produkte. Denn daraus wird weder aus technologischer- noch aus Managementsicht ein konvergenter Ansatz. Die Botschaft ist durchaus angekommen, und etliche Anbieter haben in der Folge begonnen solche Single-Vendor-Lösungen zu entwickeln.
Die einen konzentrierten sich darauf, die bislang fehlenden Komponenten zu entwickeln wie etwa SD-WAN-Funktionen in eine Hardware-Firewall zu integrieren. Andere haben Komponenten wie SD-WAN, CASB oder Remote Browser Isolation (RBI) zugekauft, um damit auf bestehende Lösungen aufzubauen. Gartner schätzt in seinem Market Opportunity Map: Secure Access Service Edge, Worlwide Report, dass bereits bis 2023 mindestens 10 Anbieter eine SASE-Lösung aus einer Hand anbieten werden. Wenn man das SASE-Versprechen in der Praxis einlösen will, ist Konvergenz eine der Schlüsselvoraussetzungen. Im Moment bewegen sich allerdings viele SASE-Anbieter eher in Richtung einer „One-Stop-Shop“-Lösung, die genau das nicht gewährleistet.
SASE: Plattform („Konvergenz“) ist nicht gleich Portfolio (in einem „One-Stop-Shop“)
Warum das so ist, dieser Frage gehen die Analysten von Gartner in ihrem aktuellen Forschungsbericht unter dem Titel „Predicts 2022: Consolidated Security Platforms Are the Future“ nach. Gartner unterscheidet dabei zwischen Sicherheitsfirmen, die auf einen Portfolioansatz setzen und solchen, die einen Plattformansatz wählen:
„Die Anbieter verfolgen bei der Konsolidierung zwei klare Ansätze:
Plattformansatz
- Das Nutzen von Abhängigkeiten und Gemeinsamkeiten angrenzender Systeme
- Die Integration von Konsolen für gemeinsam genutzte Funktionen
- Unterstützung der Unternehmensziele mindestens so effektiv wie bei einem Best-of-Breed-Ansatz
- Durch Integration und einfache Bedienung gleichzeitig die Sicherheitsziele erreichen.
Portfolioansatz
- Ein Set aus nicht oder lediglich schwach integrierten Produkten in einem Paket
- Mehrere Konsolen mit wenig bis gar keiner Integration und mangelnden Synergien
- Legacy-Ansatz in einem Anbieter-Wrapper
- Verspricht Vorteile durch Konsolidierung, die dann nicht eingehalten werden können.
Und genau in dieser Differenzierung zwischen den beiden Ansätzen liegt nach Ansicht von Gartner der Schlüssel zur Effizienz einer „echten“ SASE-Lösung.
„In der Unterscheidung zwischen diesen Ansätzen liegt der Schlüssel dazu wie effizient eine Suite ist. Das Anbietermarketing wird allerdings in jedem Fall von einer Plattform sprechen. Wenn Sie ein Produkt richtig einschätzen wollen, sollten Sie unbedingt darauf achten, wie gut die Konsolen zur Verwaltung und Überwachung der konsolidierten Plattform integriert sind. Beziehen Sie weitere Sicherheitskomponenten (wie Datendefinitionen, Malware-Engines usw.) in Ihre Bewertung mit ein, und auch, ob Sie diese verwenden können, ohne sie neu definieren zu müssen, und sie sich nahtlos in anderen Bereichen anwenden lassen. Wenn verschiedene Konsolen und unterschiedliche Definitionen im Spiel sind, ist das ein Warnsignal, dass es sich um einen Portfolioansatz handelt, und den sollte man sorgfältig evaluieren.“
Die cloudbasierte Bereitstellung – „Must have“ für eine SASE-Plattform
Die Konvergenz von Netzwerk und Sicherheit ist eine grundlegende Voraussetzung, um das SASE-Versprechen einzulösen. Sie ist allerdings nur ein Schritt. Ein weiterer Schlüsselfaktor ist die cloudbasierte Bereitstellung, wenn man die betrieblichen und sicherheitstechnischen Vorteile von SASE wirklich ausschöpfen will.
Laut Gartner bewegen sich Plattformen flächendeckend in die Cloud, sei es bei der Verwaltung und Analyse oder sogar hinsichtlich der Bereitstellung. Dieses Modell der geteilten Verantwortung auch für die Sicherheit zu nutzen berge für IT-Entscheider nicht zu unterschätzende Vorteile. Für den Anbieter aber vergrößert sich die Angriffsfläche und erfordert zwingend zusätzliche Due Dilligence, etwa beim Management von Drittanbietern.
„Zu den Vorteilen gehören:
- Keine Hardware-Abhängigkeit – Hardware-Amortisation vor einem Anbieter- oder Technologiewechsel entfällt.
- Der Footprint eines Rechenzentrums lässt sich gerade in Bezug auf Schlüsseltechnologien senken oder gänzlich eliminieren.
- Operative Aufgaben (z. B. Patchen, Upgrades, Skalierung der Leistung und Wartung) übernimmt der Managed Service Provider. Das System wird rund um die Uhr gewartet und überwacht, das Personal des Anbieters unterstützt das des Endkunden.
- Kontrollen sind nah bei der hybrid arbeitenden Belegschaft und den verteilten Daten angesiedelt, (...)“ [Anmerkung] und anstatt die Daten zur Verarbeitung in einem Rechenzentrum und dann weiter an den Zielort zu senden, werden sie direkt dorthin gesendet. Das vermeidet Backhauling und hohe Latenzzeiten.
- „Auch wenn sie zu ausgedehnten Zielen werden können, haben Cloud-native Sicherheitsanbieter die notwendige Größe und den Fokus, ihre Infrastruktur besser zu sichern, zu verwalten und zu überwachen als die meisten Einzelunternehmen.“
Die beiden Gartner-Analysten Neil MacDonald und Charlie Winckless prognostizieren, dass „bis 2025 80 Prozent der Unternehmen eine Strategie zur Vereinheitlichung von Web-Services, Cloud-Diensten und privatem Anwendungszugriff über die SSE-Plattform [Secure Service Edge] eines einzelnen Anbieters eingeführt haben werden.“
Eine ihrer wichtigsten Erkenntnisse, die zu dieser Annahme bei der strategischen Planung geführt haben: „Lösungen von einem einzigen Anbieter bieten im Vergleich zu Best-of-Breed eine erheblich höhere betriebliche Effizienz und Sicherheit, unter anderem, weil Client-Komponenten eingesetzt werden müssen, die Integration besser ist, weniger Konsolen nötig sind und an weniger Punkten Daten entschlüsselt, überprüft und neu verschlüsselt werden müssen.“
Für Gartner liegen die Vorteile umso mehr auf der Hand, als dass die Pandemie die Geschwindigkeit, mit der Unternehmen in die Cloud migrieren weiter beschleunigt hat. Auch wenn die Umstellung auf Homeoffice und die Einführung öffentlicher Cloud-Dienste bereits in vollem Gange war, hat COVID-19 an dieser Stelle für einen zusätzlichen Schub gesorgt. SASE ermögliche es Unternehmen auch bei einer verteilt arbeitenden Belegschaft über einen Cloud-zentrierten Ansatz Sicherheitsrichtlinien durchzusetzen. Für die Analysten bietet sich so ganz unmittelbar die Möglichkeit, Komplexität, Kosten und die Anzahl der Anbieter zu senken.
SASE und ZTNA
Der Markt für Sicherheitslösungen durchläuft einen enormen Konsolidierungsprozess, nicht zuletzt angetrieben durch SASE, und mit dem Ziel, Integration und Sicherheit endlich zusammenzuführen. Der SD-WAN- und CASB-Markt legt naturgemäß den Fokus auf die Konsolidierung. Der Markt für ZTNA (Zero Trust Network Access)/SDP (Software Defined Perimeter) wird in den kommenden Jahren einen ähnlichen Prozess durchlaufen. Nach Ansicht der Tech-Analysten von Futuriom wird ZTNA/SDP nicht nur für SASE-Bereitstellungen eine wichtige Rolle spielen, sondern auch die weltweit laufenden Zero-Trust-Bestrebungen weiter vorantreiben und stützen. Verglichen mit anderen SASE-Diensten ist ZTNA relativ neu, der Begriff SDP wurde hingegen schon 2013 von der Cloud Security Alliance (CSA) geprägt. Anbieter, die ZTNA und SDP bedienen, sind mit hoher Wahrscheinlichkeit zur richtigen Zeit am richtigen Ort. Man kann davon ausgehen, dass sich die Angebote der Anbieter verbreitern, insbesondere, was Secure Edge-Funktionalitäten anbelangt. Noch drängen sich in diesem Wachstumsmarkt allerdings Anbieter unterschiedlichster Herkunft.
Jene, die ihre Lösungen cloudbasiert bereitstellen sind für die Diskussion um Secure Edge sicher die interessantesten. Im Idealfall baut solch ein Cloud-nativer Dienst auf einem globalen Backbone auf. Der bereitgestellte Sicherheits-Stack, wird dann von einer einzigen Konsole aus verwaltet und setzt eine umfassende Netzwerk- und Sicherheitsrichtlinie für sämtliche Benutzer, Standorte und Anwendungen durch.
Fazit
Derzeit bieten viele Anbieter Funktionen und Lösungen an, die in die Kategorie SASE passen. Dabei handelt es sich aber längst nicht immer um „echte“ Secure Edge- oder SASE-Lösungen. IT-Entscheider sollten folglich sehr genau hinsehen, und sich nicht vom Hype blenden lassen. Vorteile, die so manche ZTNA/SDP-Lösung für sich reklamiert, finden sich zum Teil schon in Network Access Control (NAC)-Produkten aus dem Jahr 2006! Und so manche SASE-Lösung ist ein One-stop-Shop und als solcher eher das Produkt von Technologiepartnerschaften, Übernahmen und weniger von echter Integration. Wenn Firmen von den Vorteilen einer SASE-Architektur wirklich profitieren wollen, sollten sie bei aller Goldgräberstimmung im Markt sehr genau hinsehen.
Über den Autor: Johan van den Boogaart ist Regional Sales Director DACH von Cato Networks.
(ID:48172891)
:quality(80)/p7i.vogel.de/wcms/d3/a0/d3a07c39b5071976d1a3380a5917afc0/0107788277.jpeg "Mit SSE-Lösungen, die zentrale Sicherheitsservices integriert bereitstellen, können Unternehmen die Transformation ihrer IT-Sicherheit bereits heute einleiten. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a7/dc/a7dcda42933e2f065ad9879b8d31c310/0107690548.jpeg "Laut Gartner werden bis zum Jahr 2025 mindestens 60 Prozent der Unternehmen explizite Strategien und Zeitpläne zur Einführung von SASE parat haben, die den Nutzer, die Niederlassung und den Edge-Zugang umfassen. (Bild: momius - stock.adobe.com)")