:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
SASE - selten richtig verstanden Welches SASE taugt für die Praxis?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
:fill(fff,0)/p7i.vogel.de/companies/62/44/62441f164417b/fastly-logo-2020--3-.jpeg "fastly-logo-2020--3- (Fastly)"){kind=logo}
Der von Gartner eingeführte Kategorie SASE (Secure Access Service Edge) bezeichnet ein Architekturmodell, das Netzwerk- und Sicherheitsfunktionen vereint. Ein vollmundiges Versprechen, dass sich in der Praxis nicht immer einlösen lässt. Aber woran liegt es? Machen die Anwender zu häufig Fehler bei der Implementierung oder haben sie sich für das „falsche“ SASE entschieden?
Secure Access Service Edge-Technologien (kurz SASE), in der Tiefe zu durchdringen ist nicht ganz einfach. Schlicht, weil es sich dabei nicht um ein neues, cooles Feature handelt, sondern ein architektonischer Wandel gemeint ist. Dieser Wandel verändert grundlegend wie gemeinsame Netzwerk- und Sicherheitsfunktionen für Benutzer, Standorte und Anwendungen global bereitgestellt werden. Den notwendigen organisatorischen Wandel eingeschlossen. Der von Gartner geprägte Begriff ist in erster Linie ein Versprechen. Es beinhaltet eine simple, agile und ganzheitliche Methode, einen sicheren und optimierten Zugriff für jeden Benutzer, von jedem Ort aus und für jedes Gerät bereitzustellen.
Dieses Versprechen einzulösen ist ganz offensichtlich drängender denn je, denn Firmen aus den unterschiedlichsten Branchen kämpfen mit wachsender Komplexität auf der einen, und hohen Sicherheitsanforderungen auf der anderen Seite. Durch die Digitalisierung und wachsende Mobilitätsanforderungen, wird es für Unternehmen immer schwieriger, die globale Netzwerkleistung ohne inakzeptable Latenzzeiten oder Kostensteigerungen aufrecht zu erhalten. Cloud- und Mobilitätslösungen fordern weitere Network- & Security-Lösungen und bremsen eine Konsolidierung der Hardware. Geht es dann an die Migration in die Cloud, mangelt es oft an der nötigen Visibilität und Datensicherheit bei den Anwendungen.
Gartner führte die Kategorie SASE im 2019 unter dem Titel „The Future of Network Security is in the Cloud“ erschienenen Report ein. Darin heben die Analysten ganz besonders die Konvergenz von Netzwerk und Netzwerksicherheits-Services als in ihren Augen wichtigstes architektonisches Merkmal von SASE hervor. Laut Gartner „führt dieser Markt Netzwerk- (z. B. softwaredefiniertes WAN [SD-WAN]) und Netzwerksicherheitsdienste (z. B. SWG, CASB und Firewall as a Service [FwaaS]) zusammen. Wir nennen das Secure Access Service Edge, wobei die Lösung überwiegend als cloudbasierter Dienst bereitgestellt wird.“
Eindeutig ausgeschlossen ist damit das Aneinanderketten unterschiedlicher Produkte. Denn daraus wird weder aus technologischer- noch aus Managementsicht ein konvergenter Ansatz. Die Botschaft ist durchaus angekommen, und etliche Anbieter haben in der Folge begonnen solche Single-Vendor-Lösungen zu entwickeln.
Die einen konzentrierten sich darauf, die bislang fehlenden Komponenten zu entwickeln wie etwa SD-WAN-Funktionen in eine Hardware-Firewall zu integrieren. Andere haben Komponenten wie SD-WAN, CASB oder Remote Browser Isolation (RBI) zugekauft, um damit auf bestehende Lösungen aufzubauen. Gartner schätzt in seinem Market Opportunity Map: Secure Access Service Edge, Worlwide Report, dass bereits bis 2023 mindestens 10 Anbieter eine SASE-Lösung aus einer Hand anbieten werden. Wenn man das SASE-Versprechen in der Praxis einlösen will, ist Konvergenz eine der Schlüsselvoraussetzungen. Im Moment bewegen sich allerdings viele SASE-Anbieter eher in Richtung einer „One-Stop-Shop“-Lösung, die genau das nicht gewährleistet.
SASE: Plattform („Konvergenz“) ist nicht gleich Portfolio (in einem „One-Stop-Shop“)
Warum das so ist, dieser Frage gehen die Analysten von Gartner in ihrem aktuellen Forschungsbericht unter dem Titel „Predicts 2022: Consolidated Security Platforms Are the Future“ nach. Gartner unterscheidet dabei zwischen Sicherheitsfirmen, die auf einen Portfolioansatz setzen und solchen, die einen Plattformansatz wählen:
„Die Anbieter verfolgen bei der Konsolidierung zwei klare Ansätze:
Plattformansatz
- Das Nutzen von Abhängigkeiten und Gemeinsamkeiten angrenzender Systeme
- Die Integration von Konsolen für gemeinsam genutzte Funktionen
- Unterstützung der Unternehmensziele mindestens so effektiv wie bei einem Best-of-Breed-Ansatz
- Durch Integration und einfache Bedienung gleichzeitig die Sicherheitsziele erreichen.
Portfolioansatz
- Ein Set aus nicht oder lediglich schwach integrierten Produkten in einem Paket
- Mehrere Konsolen mit wenig bis gar keiner Integration und mangelnden Synergien
- Legacy-Ansatz in einem Anbieter-Wrapper
- Verspricht Vorteile durch Konsolidierung, die dann nicht eingehalten werden können.
Und genau in dieser Differenzierung zwischen den beiden Ansätzen liegt nach Ansicht von Gartner der Schlüssel zur Effizienz einer „echten“ SASE-Lösung.
„In der Unterscheidung zwischen diesen Ansätzen liegt der Schlüssel dazu wie effizient eine Suite ist. Das Anbietermarketing wird allerdings in jedem Fall von einer Plattform sprechen. Wenn Sie ein Produkt richtig einschätzen wollen, sollten Sie unbedingt darauf achten, wie gut die Konsolen zur Verwaltung und Überwachung der konsolidierten Plattform integriert sind. Beziehen Sie weitere Sicherheitskomponenten (wie Datendefinitionen, Malware-Engines usw.) in Ihre Bewertung mit ein, und auch, ob Sie diese verwenden können, ohne sie neu definieren zu müssen, und sie sich nahtlos in anderen Bereichen anwenden lassen. Wenn verschiedene Konsolen und unterschiedliche Definitionen im Spiel sind, ist das ein Warnsignal, dass es sich um einen Portfolioansatz handelt, und den sollte man sorgfältig evaluieren.“
Die cloudbasierte Bereitstellung – „Must have“ für eine SASE-Plattform
Die Konvergenz von Netzwerk und Sicherheit ist eine grundlegende Voraussetzung, um das SASE-Versprechen einzulösen. Sie ist allerdings nur ein Schritt. Ein weiterer Schlüsselfaktor ist die cloudbasierte Bereitstellung, wenn man die betrieblichen und sicherheitstechnischen Vorteile von SASE wirklich ausschöpfen will.
Laut Gartner bewegen sich Plattformen flächendeckend in die Cloud, sei es bei der Verwaltung und Analyse oder sogar hinsichtlich der Bereitstellung. Dieses Modell der geteilten Verantwortung auch für die Sicherheit zu nutzen berge für IT-Entscheider nicht zu unterschätzende Vorteile. Für den Anbieter aber vergrößert sich die Angriffsfläche und erfordert zwingend zusätzliche Due Dilligence, etwa beim Management von Drittanbietern.
„Zu den Vorteilen gehören:
- Keine Hardware-Abhängigkeit – Hardware-Amortisation vor einem Anbieter- oder Technologiewechsel entfällt.
- Der Footprint eines Rechenzentrums lässt sich gerade in Bezug auf Schlüsseltechnologien senken oder gänzlich eliminieren.
- Operative Aufgaben (z. B. Patchen, Upgrades, Skalierung der Leistung und Wartung) übernimmt der Managed Service Provider. Das System wird rund um die Uhr gewartet und überwacht, das Personal des Anbieters unterstützt das des Endkunden.
- Kontrollen sind nah bei der hybrid arbeitenden Belegschaft und den verteilten Daten angesiedelt, (...)“ [Anmerkung] und anstatt die Daten zur Verarbeitung in einem Rechenzentrum und dann weiter an den Zielort zu senden, werden sie direkt dorthin gesendet. Das vermeidet Backhauling und hohe Latenzzeiten.
- „Auch wenn sie zu ausgedehnten Zielen werden können, haben Cloud-native Sicherheitsanbieter die notwendige Größe und den Fokus, ihre Infrastruktur besser zu sichern, zu verwalten und zu überwachen als die meisten Einzelunternehmen.“
Die beiden Gartner-Analysten Neil MacDonald und Charlie Winckless prognostizieren, dass „bis 2025 80 Prozent der Unternehmen eine Strategie zur Vereinheitlichung von Web-Services, Cloud-Diensten und privatem Anwendungszugriff über die SSE-Plattform [Secure Service Edge] eines einzelnen Anbieters eingeführt haben werden.“
Eine ihrer wichtigsten Erkenntnisse, die zu dieser Annahme bei der strategischen Planung geführt haben: „Lösungen von einem einzigen Anbieter bieten im Vergleich zu Best-of-Breed eine erheblich höhere betriebliche Effizienz und Sicherheit, unter anderem, weil Client-Komponenten eingesetzt werden müssen, die Integration besser ist, weniger Konsolen nötig sind und an weniger Punkten Daten entschlüsselt, überprüft und neu verschlüsselt werden müssen.“
Für Gartner liegen die Vorteile umso mehr auf der Hand, als dass die Pandemie die Geschwindigkeit, mit der Unternehmen in die Cloud migrieren weiter beschleunigt hat. Auch wenn die Umstellung auf Homeoffice und die Einführung öffentlicher Cloud-Dienste bereits in vollem Gange war, hat COVID-19 an dieser Stelle für einen zusätzlichen Schub gesorgt. SASE ermögliche es Unternehmen auch bei einer verteilt arbeitenden Belegschaft über einen Cloud-zentrierten Ansatz Sicherheitsrichtlinien durchzusetzen. Für die Analysten bietet sich so ganz unmittelbar die Möglichkeit, Komplexität, Kosten und die Anzahl der Anbieter zu senken.
SASE und ZTNA
Der Markt für Sicherheitslösungen durchläuft einen enormen Konsolidierungsprozess, nicht zuletzt angetrieben durch SASE, und mit dem Ziel, Integration und Sicherheit endlich zusammenzuführen. Der SD-WAN- und CASB-Markt legt naturgemäß den Fokus auf die Konsolidierung. Der Markt für ZTNA (Zero Trust Network Access)/SDP (Software Defined Perimeter) wird in den kommenden Jahren einen ähnlichen Prozess durchlaufen. Nach Ansicht der Tech-Analysten von Futuriom wird ZTNA/SDP nicht nur für SASE-Bereitstellungen eine wichtige Rolle spielen, sondern auch die weltweit laufenden Zero-Trust-Bestrebungen weiter vorantreiben und stützen. Verglichen mit anderen SASE-Diensten ist ZTNA relativ neu, der Begriff SDP wurde hingegen schon 2013 von der Cloud Security Alliance (CSA) geprägt. Anbieter, die ZTNA und SDP bedienen, sind mit hoher Wahrscheinlichkeit zur richtigen Zeit am richtigen Ort. Man kann davon ausgehen, dass sich die Angebote der Anbieter verbreitern, insbesondere, was Secure Edge-Funktionalitäten anbelangt. Noch drängen sich in diesem Wachstumsmarkt allerdings Anbieter unterschiedlichster Herkunft.
Jene, die ihre Lösungen cloudbasiert bereitstellen sind für die Diskussion um Secure Edge sicher die interessantesten. Im Idealfall baut solch ein Cloud-nativer Dienst auf einem globalen Backbone auf. Der bereitgestellte Sicherheits-Stack, wird dann von einer einzigen Konsole aus verwaltet und setzt eine umfassende Netzwerk- und Sicherheitsrichtlinie für sämtliche Benutzer, Standorte und Anwendungen durch.
Fazit
Derzeit bieten viele Anbieter Funktionen und Lösungen an, die in die Kategorie SASE passen. Dabei handelt es sich aber längst nicht immer um „echte“ Secure Edge- oder SASE-Lösungen. IT-Entscheider sollten folglich sehr genau hinsehen, und sich nicht vom Hype blenden lassen. Vorteile, die so manche ZTNA/SDP-Lösung für sich reklamiert, finden sich zum Teil schon in Network Access Control (NAC)-Produkten aus dem Jahr 2006! Und so manche SASE-Lösung ist ein One-stop-Shop und als solcher eher das Produkt von Technologiepartnerschaften, Übernahmen und weniger von echter Integration. Wenn Firmen von den Vorteilen einer SASE-Architektur wirklich profitieren wollen, sollten sie bei aller Goldgräberstimmung im Markt sehr genau hinsehen.
Über den Autor: Johan van den Boogaart ist Regional Sales Director DACH von Cato Networks.
(ID:48172891)
:quality(80)/images.vogel.de/vogelonline/bdb/1881500/1881549/original.jpg "Tommy Grosche, Senior Channel Director Germany bei Fortinet, hält den hybriden SASE-Ansatz in der fertigenden Industrie für sinnvoller als das reine Cloud-Modell. (Fortinet)")
:quality(80)/images.vogel.de/vogelonline/bdb/1923700/1923708/original.jpg "Ist die falsche Lösung im Einsatz, hat das Architekturmodell SASE oft nicht die positiven Effekte auf die Netzwerkperformance und -sicherheit, die die Nutzer sich erhoffen. (deagreez - stock.adobe.com)")