Eine neue Technologie soll die Netzwerksicherheit in der Cloud gewährleisten. Was Sie über SASE wissen müssen.
Nach einem Bericht von Gartner mit dem Titel „The Future of Network Security Is in the Cloud“ zeichnet sich das Aufkommen einer neuen Technologie mit „Transformationspotenzial“ ab. Ihr Name, SASE – wie „sassy“ ausgesprochen – steht für „Secure Access Service Edge.“ Sie wurde zur Schaffung einer sicheren Cloud-Umgebung konzipiert, die vollständig in das Cloud-Unternehmensnetzwerk integriert ist.
Ausgehend von der Annahme, dass Netzwerksicherheitsarchitektur für moderne, dynamische Unternehmen nicht mehr ausreicht, werden nach Schätzungen von Gartner mindestens 40 Prozent der Unternehmen bis 2024 „explizite Strategien“ zur Einführung von SASE haben. Das ist ein rasanter Anstieg gegenüber den 1 Prozent der Unternehmen Ende 2018.
In diesem Beitrag beleuchten wir, was SASE mit sich bringt und wie diese Technologie Ihrem Unternehmen helfen könnte.
Sicherheit in der Cloud. Was ist SASE?
Nach Aussagen des auf Cloud-Sicherheitslösungen spezialisierten Unternehmens Wandera ist SASE ein neues Modell für die Bereitstellung von Sicherheit und Netzwerkkonnektivität über eine einzige Cloud-Sicherheitsplattform. Die Lösung richtet sich an zukunftsorientierte Unternehmen, die ihre digitalen Betriebsabläufe über die Cloud abwickeln. Das trägt der Erwartung Rechnung, dass bald 83 % der Unternehmens-Workloads auf Public-Cloud-Plattformen ausgeführt werden.
Dementsprechend hält Gartner traditionelle Netzwerksicherheitsarchitektur mit einem Rechenzentrum als Basis für „zunehmend ineffektiv und zu schwerfällig für eine Welt, in der Cloud- und mobile Lösungen vorherrschen.“ Ein Rechenzentrum ist ein zentraler Ort, an dem riesige Mengen von Daten gespeichert, abgerufen, verarbeitet und verteilt werden, sodass gemeinsam genutzte Anwendungen und Informationen bereitgestellt werden können. Wenn Unternehmen dagegen mit cloudbasierten Anwendungen arbeiten, befindet sich der Großteil der benötigten Daten gar nicht im Rechenzentrum.
Zudem können die Produktivität und die Benutzerfreundlichkeit beeinträchtigt werden, wenn die Benutzer nur über das Unternehmensnetzwerk oder über ein VPN auf SaaS zugreifen können und unter Umständen auch verschiedene Software-Agents benötigen, um Zugang zu dem gesamten Netzwerk zu haben. Auch wenn die Cloud als scheinbar flexible Möglichkeit des Zugriffs auf Daten postuliert ist, ist der Netzwerkbetrieb eigentlich eher unflexibel. Häufig müssen Unternehmen eine Reihe verschiedener Lösungen wie etwa Firewalls, Intrusion-Prevention-System-(IPS)-Appliances und SD-WAN-Geräte kombinieren, um Prozesse über die Cloud zu unterstützen. Das Management dieser Komponenten ist erwartungsgemäß schwierig. Genau an diesem Punkt kommt SASE ins Spiel – ein einheitliches, einziges Cloud-natives Netzwerk, das alle Ressourcen auf sichere Weise mit den Benutzern vernetzt, egal, wo sie sich befinden.
Was sind die Kerngedanken der Cloud-Sicherheitsplattform SASE?
Fokus auf Identität. Das Konzept der „Niederlassung“ verliert im Zeitalter des flexiblen Arbeitens an Bedeutung. Wie Gartner erläutert, ist „eine Niederlassung einfach ein Ort, an dem zahlreiche Benutzer zusammenkommen, um zu arbeiten. Entsprechend ist ein Vertriebsmitarbeiter, der in einem Auto sitzt und auf eine CRM-Anwendung zugreift, eine Niederlassung mit einem Benutzer.“ Deshalb ist Identität und nicht das Rechenzentrum das Herzstück von SASE. Die Benutzer sind als einzelne Personen mit einem zentralisierten cloudbasierten Service verbunden, und nicht als Niederlassung, die mit dem Rechenzentrum vernetzt ist, wie in einem traditionellen WAN-Modell. SASE sorgt dafür, dass die Benutzer unabhängig vom verwendeten Gerät oder von ihrem aktuellen Aufenthaltsort basierend auf ihrer Identität mit den benötigten Services verbunden sind. Dies geschieht über das Verknüpfen von Richtlinien mit einzelnen Benutzern anstatt mit IP-Adressen.
Cloud-Funktionen. SASE bietet Merkmale wie Mobilität, Skalierbarkeit und andere wichtige Funktionen der Cloud für höchste Effizienz. Wie andere Cloud-Software auch ist die Architektur überall verfügbar und lässt sich global verteilen. Gartner hierzu: „Um latenzarmen Zugriff für Benutzer, Geräte und Cloud-Services an beliebigen Orten zur Verfügung zu stellen, brauchen Unternehmen SASE-Angebote mit einem weltumspannenden Gefüge aus Points of Presence (POPs) und Peering-Beziehungen.“ POPs sind die Schnittstellenpunkte zwischen den zahlreichen Netzwerken oder Kommunikationsgeräten.
Netzwerkintegration. Mit SASE wird ein einziges, einheitliches Netzwerk geschaffen, das alle Unternehmensressourcen einschließlich Rechenzentren, Niederlassungen und mobilen Benutzern umfasst.
Welche Hauptvorteile bietet SASE?
Geringere Kosten. Mit SASE werden weniger Anbieter benötigt, da alle Services unter einem einzigen Provider konsolidiert werden. Das hat auch zur Folge, dass sich die Anzahl sowohl der Software-Agents auf Endbenutzergeräten als auch der Appliances in einer Niederlassung verringert. Unternehmen können somit durch die Einführung von SASE und die Vereinheitlichung der Technologie langfristig Geld sparen.
Verbesserte Leistung. Die besten SASE-Anbieter werden latenzoptimiertes Routing über globale POPs hinweg bereitstellen, sodass die Übertragung von Daten zwischen zwei Punkten schneller erfolgt. Das ist für Video-Apps, Anwendungen für die Zusammenarbeit und Webkonferenz-Apps wie auch für andere latenzempfindliche Anwendungen entscheidend.
Höhere Sicherheit. Mit SASE-Anbietern, die Content-Prüfung zur Identifizierung von Malware und vertraulichen Daten unterstützen, können alle Zugriffssitzungen gescannt werden, sodass die relevanten Sicherheitsrichtlinien unabhängig vom jeweiligen Benutzer- oder Gerätestandort konsequent angewendet werden. Die Sicherheitsgrenze ist nicht mehr auf das Rechenzentrum beschränkt – „die Grenze ist jetzt überall dort, wo ein Unternehmen tätig sein muss.“ SASE kann auch im Rahmen einer Zero-Trust-Sicherheitsmethodik implementiert werden. Ein Kernelement von Zero Trust ist, dass Benutzeridentitäten zugrunde gelegt werden und nicht IP-Adressen oder physische Standorte. Und SASE unterstützt das Prinzip „vertraue niemandem“ mit relevanten Sicherheitsmaßnahmen wie durchgängiger Verschlüsselung und dem Schutz in öffentlichen WLANs.
Einfacherer Zugang. Nach einer erfolgreichen Einführung von SASE entfällt die Notwendigkeit, viele verschiedene Software-Agents auf unterschiedlichen Geräten zu verwenden. Stattdessen wird nur noch ein einziger Agent oder ein einziges Gerät benötigt, und die korrekte Zugriffsrichtlinie wird automatisch angewendet, ohne dass der Benutzer aktiv werden muss.
Wo sind die Grenzen von SASE?
Obwohl SASE viele Vorteile bietet, birgt es auch Risiken. Erstens kann es kompliziert sein, ein SASE-System aufzubauen, wenn verschiedene Anbieter und Cloud-Elemente vorhanden sind oder wenn ein Anbieter ein SASE-Paket aus mehreren übernommenen Lösungen und/oder Partnerschaften zusammenstellt. Die damit verbundenen Inkonsistenzen sind unter Umständen schwer auszuräumen, was wiederum die Performance beeinträchtigen kann. Ein Umstieg auf SASE bedeutet auch einen Wechsel zu neuen Anbietern. Das hat zur Folge, dass Personal neu geschult werden muss. Und bisherige Anbieter haben vielleicht Schwierigkeiten, sich auf das für SASE erforderliche Cloud-native Denken umzustellen.
Ein weiterer Einwand ist, ob SASE wirklich „Transformationspotenzial“ hat, wie von Gartner behauptet. In einem Interview mit dem US-Unternehmen für Technologiejournalismus und Marktdatenforschung SDxCentral stellt Clifford Grossner vom britischen Informationsdienstleister IHS Markit in Frage, ob das Konzept irgendeine neue Technologie aufweist: „Alles, was wir sehen, ist eine Integration von bereits vorhandenen Technologien. Es handelt sich einfach um Edge Computing, Konnektivität und Sicherheit mit einem integrierten Management.“ Darüber hinaus weist er die Idee zurück, SASE sei „ein separater Markt“, da er bezweifelt, dass Unternehmen alles bei einem einzigen Anbieter kaufen würden. Allerdings bemerkt der SDxCentral-Redakteur Tobias Mann, dass diese skeptische Einschätzung bislang nicht überzeugend genug war, um Anbieter von einer Erkundung des SASE-Markts abzubringen.
Wann können Unternehmen SASE für die Sicherheit ihrer Netzwerke integrieren?
Wie Gartner hervorhob, befindet sich SASE „im frühen Entwicklungsstadium.“ Einem anderen Gartner-Bericht zufolge, „Hype Cycle for Cloud Security 2019“, wird prognostiziert, dass das SASE-Modell in fünf bis zehn Jahren zum Standard wird.
Nach Meinung des Marktforschungsunternehmens werden bis Ende 2020 mehrere Anbieter komplette Portfolios bereitstellen können. Hierzu gehört Cato Networks, dessen CEO Shlomo Kramer darauf pocht, sich immer schon „auf die Zusammenführung von Netzwerken und Sicherheit in der Cloud konzentriert zu haben, um eine einzige, globale, Cloud-native Architektur zu schaffen.“ Auch Barracuda Networks wirbt mit dem Argument des hohen Werts von SASE für seine CloudGen Firewall. Und Jay Chaudhry, CEO von Zscaler, verkündete während der Telefonkonferenz zur Ertragslage im September 2019: „Angesichts der weltweiten Hinwendung zum SASE-Modell greifen Anbieter von traditionellen Netzwerksicherheitslösungen die Vision von Zscaler für cloudbasierte Sicherheit auf, nachdem sie sie jahrelang abgelehnt hatten.“ Unterdessen erklärt VMware, sein VeloCloud SD-WAN sei durchaus eine SASE-Plattform, wobei noch nicht ganz klar ist, ob diese Einschätzung der SASE-Definition von Gartner entspricht.
Obwohl noch keiner der führenden Public-Cloud-Anbieter – Amazon Web Services, Azure oder Google Cloud Platform – im SASE-Markt konkurrenzfähig ist, glaubt Gartner, dass mindestens einer von ihnen in den nächsten fünf Jahren „den Großteil der Anforderungen abdecken wird“. Da SASE sich noch in der Anfangsphase befindet, empfiehlt Gartner auch, mit Anbietern nur Verträge mit kurzen Laufzeiten von maximal zwei Jahren zu schließen, die Übernahmeschutzklauseln beinhalten.
Weitere Informationen zu Cybersicherheit finden Sie im Beitrag „Staying Ahead Of Insidious New Breeds Of Cyber Attacks“.