Was ist Secure Access Service Edge (SASE)?

SASE ist die Kombination oder Konvergenz zweier Kerntechnologien: Software-definiertes Wide Area Networking (SD-WAN) und Secure Service Edge (SSE). Es ist einfacher zu verstehen, wie SASE funktioniert, wenn Sie zunächst wissen, was jede dieser Technologien bewirkt.

SD-WAN

Ein SD-WAN ist ein Wide-Area-Network, das virtualisiert wurde – ähnlich wie Server virtualisiert werden. Es entkoppelt die Netzwerkfunktionalität von der zugrunde liegenden Hardware (Verbindungen, Switches, Router, Gateways) und schafft so einen Pool an Netzwerkkapazität und Netzwerksicherheitsfunktionen, die unter Softwaresteuerung aufgeteilt, zusammengefasst und auf den Datenverkehr angewendet werden können.

Herkömmliche Weitverkehrsnetze (WANs) wurden entwickelt, um Benutzer in Zweigstellen von Unternehmen mit Anwendungen in einem zentralen Unternehmensrechenzentrum zu verbinden, in der Regel über dedizierte, private und teure Standleitungsnetzwerkverbindungen. In jeder Zweigstelle wurden Router installiert, die den Datenverkehr kontrollierten und priorisierten, um eine optimale Leistung für die wichtigsten Anwendungen zu gewährleisten. Sicherheitsfunktionen wie Paketprüfung und Datenverschlüsselung wurden im zentralen Rechenzentrum angewendet.

SD-WAN wurde ursprünglich entwickelt, um Unternehmen die Möglichkeit zu geben, ihre WAN-Funktionen auf einer kostengünstigeren, besser skalierbaren Internetinfrastruktur zu duplizieren. Die Nachfrage nach SD-WAN nahm jedoch zu, da immer mehr Unternehmen begannen, Cloud-Services zu nutzen, bevor sie bereit waren, der Internetsicherheit zu vertrauen. Das WAN-Sicherheitsmodell stieß an seine Grenzen: Die Weiterleitung immer größerer Datenmengen, die für das Internet bestimmt waren, durch das Unternehmensrechenzentrum führte zu einem kostspieligen Engpass. Zusätzlich verschlechterten sich sowohl die Netzwerkleistung als auch die Benutzererfahrung.

SD-WAN beseitigt diesen Engpass, indem es die Anwendung von Sicherheit auf den Datenverkehr am Verbindungspunkt ermöglicht, anstatt den Datenverkehr zwangsweise an die Sicherheit weiterzuleiten. Unternehmen können damit direkte, sichere und optimierte Verbindungen zwischen Benutzern und allem, was sie benötigen, herstellen – seien es SaaS-Apps (Software-as-a-Service), Cloud-Ressourcen oder öffentliche Internetdienste.

SSE

Ein weiterer von Gartner geprägter Begriff, SSE, steht für „die Sicherheitshälfte von SASE“. Gartner definiert SSE als die Konvergenz von drei wichtigen cloudnativen Sicherheitstechnologien:

Sichere Web-Gateways (SWGs). Ein SWG ist ein Internet-Verkehrspolizist in beide Richtungen. Es verhindert, dass schädlicher Datenverkehr die Netzwerkressourcen erreicht, indem es Techniken wie die Filterung des Datenverkehrs und die Überprüfung von Abfragen im Domain Name System (DNS) einsetzt, um Malware, Ransomware und andere Cyber-Bedrohungen zu identifizieren und zu blockieren. Außerdem wird verhindert, dass autorisierte Benutzer eine Verbindung zu verdächtigen Websites herstellen: Anstatt eine direkte Verbindung zum Internet herzustellen, stellen Benutzer und Endgeräte eine Verbindung zum SWG her, über das sie nur auf genehmigte Ressourcen zugreifen können (z. B. lokale Rechenzentren, Geschäftsanwendungen sowie Cloud-Anwendungen und -Dienste).

Cloud Access Security Brokers (CASBs). CASBs befinden sich zwischen Benutzern und Cloud-Anwendungen und -Ressourcen. CASBs setzen Sicherheitsrichtlinien von Unternehmen wie Verschlüsselung, Zugriffskontrolle und Malware-Erkennung durch, wenn Benutzer auf die Cloud zugreifen, unabhängig davon, wo oder wie sie sich verbinden. Dies ist ohne die Installation von Software auf dem Endgerät möglich, wodurch sich die Lösung ideal für die Absicherung von BYOD (Bring Your Own Device) und anderen Anwendungsfällen im Rahmen der Transformation der Belegschaft eignet. Und andere CASBs können auch Sicherheitsrichtlinien durchsetzen, wenn Benutzer eine Verbindung zu unbekannten Cloud-Assets herstellen.

Zero Trust Network Access (ZTNA). Ein „Zero-Trust“-Ansatz für den Netzwerkzugriff ist ein Konzept, bei dem grundsätzlich keinem Benutzer und keiner Entität vertraut wird. Stattdessen werden sie ständig überprüft werden, unabhängig davon, ob sie sich außerhalb des Netzwerks oder bereits im Netzwerk befinden. Validierte Benutzer und Entitäten erhalten den geringstmöglichen Zugriff, der zur Erfüllung ihrer Aufgaben erforderlich ist. Alle Benutzer und Entitäten müssen sich neu validieren, sobald sich ihr Kontext ändert. Zudem wird jede Dateninteraktion paketweise authentifiziert, bis die Verbindungssitzung endet.

ZTNA ist selbst kein Sicherheitsprodukt, sondern ein Ansatz zur Netzwerksicherheit, der mithilfe einer Vielzahl von Technologien umgesetzt wird. Dazu gehören Identity und Access Management (IAM), Multi-Faktor-Authentifizierung (MFA), Verhaltensanalyse von Benutzern und Entitäten (UEBA) sowie verschiedene Lösungen zur Erkennung und Abwehr von Bedrohungen.

Die SASE-Plattformen einzelner Anbieter können weitere Funktionen zur Bedrohungsabwehr und Sicherheit enthalten, darunter Firewall as a Service (FWaaS), Data Loss Prevention (DLP), Network Access Control (NAC) und Endpoint Protection Platforms (EPPs).

Zusammenspiel

SASE-Lösungen nutzen SD-WAN, um SSE-Sicherheitsdienste für Benutzer, Geräte und andere Endpunkte bereitzustellen, und zwar wo oder in der Nähe des Ortes, an dem sie sich verbinden, am Netzwerkrand.

Konkret bedeutet dies, dass der Datenverkehr nicht an ein zentrales Rechenzentrum zur Überprüfung und Verschlüsselung zurückgesendet wird, sondern dass SASE-Architekturen den Datenverkehr an verteilte Points of Presence (PoPs) weiterleiten, die sich in der Nähe des Endbenutzers oder Endpunkts befinden. (PoPs sind entweder Eigentum des SASE-Dienstanbieters oder befinden sich im Rechenzentrum eines Drittanbieters.) Der PoP sichert den Datenverkehr mithilfe der über die Cloud bereitgestellten SSE-Dienste, und dann wird der Benutzer oder Endpunkt mit Public und Private Clouds, Software-as-a-Service (SaaS)-Anwendungen, dem öffentlichen Internet oder anderen Ressourcen verbunden.

SASE bietet wichtige geschäftliche Vorteile für Sicherheitsteams, IT-Mitarbeiter, Endbenutzer und das Unternehmen als Ganzes.

Kosteneinsparungen – insbesondere geringere Investitionskosten. SASE ist im Wesentlichen eine SaaS-Sicherheitslösung: Kunden erwerben den Zugang zur Software für die Einrichtung und Steuerung des SASE und profitieren in vollem Umfang von der Hardware des Cloud-Service-Providers, auf dem es bereitgestellt wird. Anstatt den Datenverkehr von einem Router in einer Zweigstelle aus Sicherheitsgründen an eine lokale Rechenzentrums-Hardware weiterzuleiten, leiten SASE-Kunden den Datenverkehr von der nächstgelegenen Internetverbindung aus an die Cloud weiter.

Unternehmen können SASE auch als hybride Lösung nutzen, die sowohl über die Public Cloud als auch über die lokale Infrastruktur des Unternehmens bereitgestellt wird und physische Netzwerkhardware, Sicherheitsanwendungen und Rechenzentren mit ihren virtualisierten cloudnativen Pendants integriert.

Vereinfachte Verwaltung und Betrieb. SASE-Frameworks bieten eine einzige, konsistente Lösung für die Sicherung aller Geräte, die mit dem Netzwerk verbunden sind oder eine Verbindung herstellen möchten – nicht nur Benutzer, sondern auch Geräte des Internets der Dinge (IoT), APIs, containerisierte Microservices oder serverlose Anwendungen und sogar Virtual Machines (VMs), die bei Bedarf hochgefahren werden. Außerdem entfällt die Notwendigkeit, an jedem Verbindungspunkt einen Stack von Sicherheitslösungen (Router, Firewalls usw.) zu verwalten. Stattdessen können IT- oder Sicherheitsteams eine einzige, zentrale Richtlinie für den Schutz aller Verbindungen und Ressourcen im Netzwerk erstellen, und sie können alles von einem einzigen Kontrollpunkt aus verwalten.

Stärkere Cybersicherheit. Bei richtiger Umsetzung kann SASE die Sicherheit auf verschiedenen Ebenen verbessern. Eine vereinfachte Verwaltung erhöht die Sicherheit, da das Risiko von Fehlern oder Fehlkonfigurationen reduziert wird. Um den Datenverkehr von Remote-Benutzern zu sichern, ersetzt SASE die pauschale, einheitliche Berechtigung für den Zugriff auf virtuelle private Netzwerke (VPN) durch die feinkörnige, identitäts- und kontextbasierte Zugriffskontrolle von ZTNA für Anwendungen, Verzeichnisse, Datensätze und Workloads. 

Bessere, einheitlichere Benutzererfahrung. Mit SASE können Benutzer auf die gleiche Weise eine Verbindung zum Netzwerk herstellen, unabhängig davon, ob sie vor Ort, in einer Zweigstelle, von zu Hause oder unterwegs arbeiten – und ob sie eine Verbindung zu Anwendungen und Ressourcen herstellen, die in der Cloud oder lokal gehostet werden. SD-WAN-Dienste leiten den Datenverkehr automatisch an den nächstgelegenen PoP weiter und optimieren die Verbindungen nach Anwendung der Sicherheitsrichtlinien für die bestmögliche Leistung.

SASE bietet jedem Unternehmen, das sich vom zentralen Rechenzentrumsmodell der Anwendungsbereitstellung wegbewegt, Vorteile. Aber ein paar spezifische Anwendungsfälle sind heute der Grund für seine Einführung.

Sicherung hybrider Arbeitskräfte ohne VPN-Engpässe. VPNs sind seit fast zwei Jahrzehnten das gängigste Tool, um Remote- oder mobile Benutzer zu schützen. Aber VPNs lassen sich nicht einfach oder kostengünstig skalieren – eine Erfahrung, die viele Unternehmen bitter lernen mussten, als ihre Belegschaft aufgrund der COVID-19-Pandemie vollständig ins Homeoffice wechselte. Im Gegensatz dazu kann SASE dynamisch skaliert werden, um die Sicherheitsanforderungen insbesondere von Remote-Mitarbeiter und einer sich verändernden Belegschaft im Allgemeinen zu erfüllen.

Einführung von Hybrid Clouds und Cloud-Migration. Bei einer Hybrid Cloud werden eine Public Cloud, eine Private Cloud und eine lokale Infrastruktur in einer einzigen flexiblen Computerumgebung kombiniert, in der Workloads je nach Bedarf frei zwischen den Infrastrukturen verschoben werden können. WAN-Sicherheitslösungen sind nicht für diese Art von Workload-Mobilität ausgelegt, aber SASE, das Sicherheitsfunktionen von der zugrunde liegenden Infrastruktur abstrahiert, sichert den Datenverkehr, wohin er auch geht. Außerdem bietet sie Unternehmen die Flexibilität, Workloads in dem für sie passenden Tempo in die Cloud zu migrieren.

Edge Computing und Verbreitung von IoT/OT-Geräten. Edge Computing ist ein verteiltes Rechenmodell, bei dem Anwendungen und Rechenressourcen außerhalb des zentralen Rechenzentrums und näher an Datenquellen wie Mobiltelefonen, IoT- oder OT-Geräten und Datenservern angesiedelt werden. Diese Nähe führt zu kürzeren Reaktionszeiten bei der Anwendung und schnelleren Erkenntnissen, insbesondere bei Anwendungen für künstliche Intelligenz (KI) und maschinelles Lernen, die riesige Mengen an Streaming-Daten in Echtzeit verarbeiten.

Um diese Anwendungen zu ermöglichen, haben Unternehmen oder Lösungsanbieter Tausende von IoT-Sensoren oder OT-Geräten bereitgestellt, von denen viele nur über eine geringe oder gar keine Sicherheitskonfiguration verfügen. Dies macht diese Geräte zu Hauptzielen für Hacker, die sie in ihre Gewalt bringen können, um auf sensible Datenquellen zuzugreifen, den Betrieb zu stören oder DDoS-Angriffe (Distributed Denial-of-Service) zu starten. SASE kann Sicherheitsrichtlinien auf diese Geräte anwenden, wenn sie sich mit dem Netzwerk verbinden, und über ein zentrales Dashboard einen Überblick über die Verwaltung aller verbundenen Geräte bieten.