SASE - selten richtig verstanden Welches SASE taugt für die Praxis?

Von Johan van den Boogaart

Anbieter zum Thema

Der von Gartner eingeführte Kategorie SASE (Secure Access Service Edge) bezeichnet ein Architekturmodell, das Netzwerk- und Sicherheitsfunktionen vereint. Ein vollmundiges Versprechen, dass sich in der Praxis nicht immer einlösen lässt. Aber woran liegt es? Machen die Anwender zu häufig Fehler bei der Implementierung oder haben sie sich für das „falsche“ SASE entschieden?

Die Konvergenz von Netzwerk und Sicherheit ist eine grundlegende Voraussetzung, um das SASE-Versprechen einzulösen.
Die Konvergenz von Netzwerk und Sicherheit ist eine grundlegende Voraussetzung, um das SASE-Versprechen einzulösen.
(Bild: sdecoret - stock.adobe.com)

Secure Access Service Edge-Technologien (kurz SASE), in der Tiefe zu durchdringen ist nicht ganz einfach. Schlicht, weil es sich dabei nicht um ein neues, cooles Feature handelt, sondern ein architektonischer Wandel gemeint ist. Dieser Wandel verändert grundlegend wie gemeinsame Netzwerk- und Sicherheitsfunktionen für Benutzer, Standorte und Anwendungen global bereitgestellt werden. Den notwendigen organisatorischen Wandel eingeschlossen. Der von Gartner geprägte Begriff ist in erster Linie ein Versprechen. Es beinhaltet eine simple, agile und ganzheitliche Methode, einen sicheren und optimierten Zugriff für jeden Benutzer, von jedem Ort aus und für jedes Gerät bereitzustellen.

Dieses Versprechen einzulösen ist ganz offensichtlich drängender denn je, denn Firmen aus den unterschiedlichsten Branchen kämpfen mit wachsender Komplexität auf der einen, und hohen Sicherheitsanforderungen auf der anderen Seite. Durch die Digitalisierung und wachsende Mobilitätsanforderungen, wird es für Unternehmen immer schwieriger, die globale Netzwerkleistung ohne inakzeptable Latenzzeiten oder Kostensteigerungen aufrecht zu erhalten. Cloud- und Mobilitätslösungen fordern weitere Network- & Security-Lösungen und bremsen eine Konsolidierung der Hardware. Geht es dann an die Migration in die Cloud, mangelt es oft an der nötigen Visibilität und Datensicherheit bei den Anwendungen.

Gartner führte die Kategorie SASE im 2019 unter dem Titel „The Future of Network Security is in the Cloud“ erschienenen Report ein. Darin heben die Analysten ganz besonders die Konvergenz von Netzwerk und Netzwerksicherheits-Services als in ihren Augen wichtigstes architektonisches Merkmal von SASE hervor. Laut Gartner „führt dieser Markt Netzwerk- (z. B. softwaredefiniertes WAN [SD-WAN]) und Netzwerksicherheits­dienste (z. B. SWG, CASB und Firewall as a Service [FwaaS]) zusammen. Wir nennen das Secure Access Service Edge, wobei die Lösung überwiegend als cloudbasierter Dienst bereitgestellt wird.“

Eindeutig ausgeschlossen ist damit das Aneinanderketten unterschiedlicher Produkte. Denn daraus wird weder aus technologischer- noch aus Managementsicht ein konvergenter Ansatz. Die Botschaft ist durchaus angekommen, und etliche Anbieter haben in der Folge begonnen solche Single-Vendor-Lösungen zu entwickeln.

Die einen konzentrierten sich darauf, die bislang fehlenden Komponenten zu entwickeln wie etwa SD-WAN-Funktionen in eine Hardware-Firewall zu integrieren. Andere haben Komponenten wie SD-WAN, CASB oder Remote Browser Isolation (RBI) zugekauft, um damit auf bestehende Lösungen aufzubauen. Gartner schätzt in seinem Market Opportunity Map: Secure Access Service Edge, Worlwide Report, dass bereits bis 2023 mindestens 10 Anbieter eine SASE-Lösung aus einer Hand anbieten werden. Wenn man das SASE-Versprechen in der Praxis einlösen will, ist Konvergenz eine der Schlüsselvoraussetzungen. Im Moment bewegen sich allerdings viele SASE-Anbieter eher in Richtung einer „One-Stop-Shop“-Lösung, die genau das nicht gewährleistet.

SASE: Plattform („Konvergenz“) ist nicht gleich Portfolio (in einem „One-Stop-Shop“)

Warum das so ist, dieser Frage gehen die Analysten von Gartner in ihrem aktuellen Forschungsbericht unter dem Titel „Predicts 2022: Consolidated Security Platforms Are the Future“ nach. Gartner unterscheidet dabei zwischen Sicherheitsfirmen, die auf einen Portfolioansatz setzen und solchen, die einen Plattformansatz wählen:

„Die Anbieter verfolgen bei der Konsolidierung zwei klare Ansätze:

Plattformansatz

  • Das Nutzen von Abhängigkeiten und Gemeinsamkeiten angrenzender Systeme
  • Die Integration von Konsolen für gemeinsam genutzte Funktionen
  • Unterstützung der Unternehmensziele mindestens so effektiv wie bei einem Best-of-Breed-Ansatz
  • Durch Integration und einfache Bedienung gleichzeitig die Sicherheitsziele erreichen.

Portfolioansatz

  • Ein Set aus nicht oder lediglich schwach integrierten Produkten in einem Paket
  • Mehrere Konsolen mit wenig bis gar keiner Integration und mangelnden Synergien
  • Legacy-Ansatz in einem Anbieter-Wrapper
  • Verspricht Vorteile durch Konsolidierung, die dann nicht eingehalten werden können.

Und genau in dieser Differenzierung zwischen den beiden Ansätzen liegt nach Ansicht von Gartner der Schlüssel zur Effizienz einer „echten“ SASE-Lösung.

„In der Unterscheidung zwischen diesen Ansätzen liegt der Schlüssel dazu wie effizient eine Suite ist. Das Anbietermarketing wird allerdings in jedem Fall von einer Plattform sprechen. Wenn Sie ein Produkt richtig einschätzen wollen, sollten Sie unbedingt darauf achten, wie gut die Konsolen zur Verwaltung und Überwachung der konsolidierten Plattform integriert sind. Beziehen Sie weitere Sicherheitskomponenten (wie Datendefinitionen, Malware-Engines usw.) in Ihre Bewertung mit ein, und auch, ob Sie diese verwenden können, ohne sie neu definieren zu müssen, und sie sich nahtlos in anderen Bereichen anwenden lassen. Wenn verschiedene Konsolen und unterschiedliche Definitionen im Spiel sind, ist das ein Warnsignal, dass es sich um einen Portfolioansatz handelt, und den sollte man sorgfältig evaluieren.“

Die cloudbasierte Bereitstellung – „Must have“ für eine SASE-Plattform

Die Konvergenz von Netzwerk und Sicherheit ist eine grundlegende Voraussetzung, um das SASE-Versprechen einzulösen. Sie ist allerdings nur ein Schritt. Ein weiterer Schlüsselfaktor ist die cloudbasierte Bereitstellung, wenn man die betrieblichen und sicherheitstechnischen Vorteile von SASE wirklich ausschöpfen will.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Laut Gartner bewegen sich Plattformen flächendeckend in die Cloud, sei es bei der Verwaltung und Analyse oder sogar hinsichtlich der Bereitstellung. Dieses Modell der geteilten Verantwortung auch für die Sicherheit zu nutzen berge für IT-Entscheider nicht zu unterschätzende Vorteile. Für den Anbieter aber vergrößert sich die Angriffsfläche und erfordert zwingend zusätzliche Due Dilligence, etwa beim Management von Drittanbietern.

„Zu den Vorteilen gehören:

  • Keine Hardware-Abhängigkeit – Hardware-Amortisation vor einem Anbieter- oder Technologiewechsel entfällt.
  • Der Footprint eines Rechenzentrums lässt sich gerade in Bezug auf Schlüsseltechnologien senken oder gänzlich eliminieren.
  • Operative Aufgaben (z. B. Patchen, Upgrades, Skalierung der Leistung und Wartung) übernimmt der Managed Service Provider. Das System wird rund um die Uhr gewartet und überwacht, das Personal des Anbieters unterstützt das des Endkunden.
  • Kontrollen sind nah bei der hybrid arbeitenden Belegschaft und den verteilten Daten angesiedelt, (...)“ [Anmerkung] und anstatt die Daten zur Verarbeitung in einem Rechenzentrum und dann weiter an den Zielort zu senden, werden sie direkt dorthin gesendet. Das vermeidet Backhauling und hohe Latenzzeiten.
  • „Auch wenn sie zu ausgedehnten Zielen werden können, haben Cloud-native Sicherheitsanbieter die notwendige Größe und den Fokus, ihre Infrastruktur besser zu sichern, zu verwalten und zu überwachen als die meisten Einzelunternehmen.“

Die beiden Gartner-Analysten Neil MacDonald und Charlie Winckless prognostizieren, dass „bis 2025 80 Prozent der Unternehmen eine Strategie zur Vereinheitlichung von Web-Services, Cloud-Diensten und privatem Anwendungszugriff über die SSE-Plattform [Secure Service Edge] eines einzelnen Anbieters eingeführt haben werden.“

Eine ihrer wichtigsten Erkenntnisse, die zu dieser Annahme bei der strategischen Planung geführt haben: „Lösungen von einem einzigen Anbieter bieten im Vergleich zu Best-of-Breed eine erheblich höhere betriebliche Effizienz und Sicherheit, unter anderem, weil Client-Komponenten eingesetzt werden müssen, die Integration besser ist, weniger Konsolen nötig sind und an weniger Punkten Daten entschlüsselt, überprüft und neu verschlüsselt werden müssen.“

Für Gartner liegen die Vorteile umso mehr auf der Hand, als dass die Pandemie die Geschwindigkeit, mit der Unternehmen in die Cloud migrieren weiter beschleunigt hat. Auch wenn die Umstellung auf Homeoffice und die Einführung öffentlicher Cloud-Dienste bereits in vollem Gange war, hat COVID-19 an dieser Stelle für einen zusätzlichen Schub gesorgt. SASE ermögliche es Unternehmen auch bei einer verteilt arbeitenden Belegschaft über einen Cloud-zentrierten Ansatz Sicherheitsrichtlinien durchzusetzen. Für die Analysten bietet sich so ganz unmittelbar die Möglichkeit, Komplexität, Kosten und die Anzahl der Anbieter zu senken.

SASE und ZTNA

Der Markt für Sicherheitslösungen durchläuft einen enormen Konsolidierungsprozess, nicht zuletzt angetrieben durch SASE, und mit dem Ziel, Integration und Sicherheit endlich zusammenzuführen. Der SD-WAN- und CASB-Markt legt naturgemäß den Fokus auf die Konsolidierung. Der Markt für ZTNA (Zero Trust Network Access)/SDP (Software Defined Perimeter) wird in den kommenden Jahren einen ähnlichen Prozess durchlaufen. Nach Ansicht der Tech-Analysten von Futuriom wird ZTNA/SDP nicht nur für SASE-Bereitstellungen eine wichtige Rolle spielen, sondern auch die weltweit laufenden Zero-Trust-Bestrebungen weiter vorantreiben und stützen. Verglichen mit anderen SASE-Diensten ist ZTNA relativ neu, der Begriff SDP wurde hingegen schon 2013 von der Cloud Security Alliance (CSA) geprägt. Anbieter, die ZTNA und SDP bedienen, sind mit hoher Wahrscheinlichkeit zur richtigen Zeit am richtigen Ort. Man kann davon ausgehen, dass sich die Angebote der Anbieter verbreitern, insbesondere, was Secure Edge-Funktionalitäten anbelangt. Noch drängen sich in diesem Wachstumsmarkt allerdings Anbieter unterschiedlichster Herkunft.

Jene, die ihre Lösungen cloudbasiert bereitstellen sind für die Diskussion um Secure Edge sicher die interessantesten. Im Idealfall baut solch ein Cloud-nativer Dienst auf einem globalen Backbone auf. Der bereitgestellte Sicherheits-Stack, wird dann von einer einzigen Konsole aus verwaltet und setzt eine umfassende Netzwerk- und Sicherheitsrichtlinie für sämtliche Benutzer, Standorte und Anwendungen durch.

Fazit

Derzeit bieten viele Anbieter Funktionen und Lösungen an, die in die Kategorie SASE passen. Dabei handelt es sich aber längst nicht immer um „echte“ Secure Edge- oder SASE-Lösungen. IT-Entscheider sollten folglich sehr genau hinsehen, und sich nicht vom Hype blenden lassen. Vorteile, die so manche ZTNA/SDP-Lösung für sich reklamiert, finden sich zum Teil schon in Network Access Control (NAC)-Produkten aus dem Jahr 2006! Und so manche SASE-Lösung ist ein One-stop-Shop und als solcher eher das Produkt von Technologiepartnerschaften, Übernahmen und weniger von echter Integration. Wenn Firmen von den Vorteilen einer SASE-Architektur wirklich profitieren wollen, sollten sie bei aller Goldgräberstimmung im Markt sehr genau hinsehen.

Über den Autor: Johan van den Boogaart ist Regional Sales Director DACH von Cato Networks.

(ID:48172891)