Blogs > Unternehmen

Neuer Report von Gartner Research: Die Zukunft der Netzwerksicherheit liegt in der Cloud

Published on:

Authored by:

Dr. Manoj Apte

Neuer Report von Gartner Research: Die Zukunft der Netzwerksicherheit liegt in der Cloud

The IT networking world is evolving rapidly: The new universe of cloud and mobility can neither be built nor scaled on the network architectures of the past. Gartner Research VP analyst Lawrence Orans and distinguished VP analysts Joe Skorupa and Neil MacDonald have authored a new report, The Future of Network Security Is in the Cloud(Skorupa and MacDonald had also authored the earlier report Market Trends: How to Win as WAN Edge and Security Converge Into the Secure Access Service Edge.) From my perspective, Secure Access Service Edge (SASE) represents a new, visionary market paradigm.

(Download the full The Future of Network Security Is in the Cloud report here.)

Diese Arbeiten sind bahnbrechend. Ich glaube, Orans, Skorupa und MacDonald haben ein neues Architekturmodell für Cloud-Services und einen Technologiemarkt definiert, der bei den meisten CTOs und CIOs der Fortune 2000 Anklang finden wird. Es gab bis zu SASE einfach keine klare Definition für diesen massiven Wechsel zu Edge-Computing.

SASE geht weit über die gravierenden Einschnitte durch MPLS mit SD-WAN, Hardware-Appliances mit Cloud oder die Anwendung von Zero-Trust-Prinzipien hinaus. Orans, Skorupa und MacDonald schreiben darüber, wie IT-Verantwortliche ihre Unternehmensumgebungen mittels „softwaredefiniertem sicheren Zugang“ schützen:

Komplexität, Latenz sowie die notwendige Entschlüsselung und Untersuchung von verschlüsseltem Traffic in einem Schritt erhöhen die Nachfrage nach Einbindung von Funktionen wie Networking und Security-as-a-Service in eine in der Cloud bereitgestellte Secure Access Service Edge (SASE, ausgesprochen „sassy“). [Quelle: Gartner, The Future of Network Security Is in the Cloud; 30. August 2019; Lawrence Orans, Joe Skorupa, Neil MacDonald] 

Meiner Interpretation nach bewirkt SASE (besonders im Hinblick auf Cloud und Mobilität von Unternehmen) folgendes: 

  1. Bestehende Netzwerk- und Sicherheitsmodelle von Unternehmen sind nicht mehr zeitgemäß.
  2. Organisationen müssen ein Cloud-basiertes, als Service angebotenes Modell einer „sicheren Edge“ einführen, das einfach, skalierbar und flexibel ist sowie niedrige Latenz und hohe Sicherheit bietet.
  3. Service-Edge-Anbieter müssen Rechenleistung am Rand eines breit verteilten Netzwerks und so nah wie möglich an jedem Endgerät bereitstellen.


An der Edge: Aufbau eines latenzarmen Cloud-Service

Großunternehmen haben Probleme damit, latenzarme Konnektivität zwischen Endgeräten und Cloud-Anwendungen herzustellen. Niedrige Latenz kann nur dann erzielt werden, wenn sich die Sicherheits-Services in der Nähe der Endgeräte befinden. 

Bei der Entwicklung der Zscaler-Cloud mussten wir entscheiden, ob wir A) eine große NFV-Plattform aufbauen wollten, um jedem entfernten Standort den gesamten Service anbieten zu können (nennen wir es das Modell für eine „dicke Niederlassung“), oder ob wir B) an jedem Standort einen Router platzieren und Hauptfunktionen in einer breit verteilten Cloud ausführen sollten (eine „dünne Niederlassung“). Zscaler entschied sich frühzeitig für Ansatz B. 

Ich möchte aus der Grundsatzrede des CIO von GE, Chris Drumgoole, bei der letztjährigen Zenith Live zitieren: Je mehr Codes Sie in der Niederlassung einführen, desto mehr Probleme müssen Sie beheben. Wie er ausdrücklich betonte, sollte man in der Niederlassung eine möglichst geringe Stellfläche haben und die meisten Funktionen in die Cloud verlagern. 

SASE formalisiert diesen Ansatz. SASE schreibt vor, dass die Niederlassung schlank sein sollte und alle komplexen Funktionen von Firewall bis DLP als Service in die Cloud verlagert werden sollten.


Die kostspielige Abkürzung über virtualisierte Hardware

Angesichts der Nachfrage nach Cloud-Services virtualisieren einige traditionelle Anbieter von Sicherheits-Appliances ihre Hardware -- und replizieren damit im Endeffekt für Engpässe anfällige Einmandanten-Netzwerkarchitekturen in der Cloud. Dies ist die Kurzform eines „als-Service-Modell“: Hosten Sie eine Vielzahl virtueller Maschinen hintereinander und leiten Sie den Traffic durch jede von ihnen, um die einzelnen Funktionen auszuführen. Das Modell kann sehr schnell in einer Cloud wie AWS umgesetzt werden. SASE lehnt diesen Ansatz jedoch ausdrücklich ab, da er zu uneinheitlichen Richtlinien, fehlendem Kontext und hoher Latenz führt.

SASE empfiehlt einen „Single-Pass“-Ansatz: Nachdem der Service den Kontext einmal erkannt hat, können alle Funktionen entsprechend dieses Kontexts ausgeführt werden. 

Dieser Ansatz ist fundamentaler Bestandteil des Cloud-Service von Zscaler: Die SSMA™-Technologie von Zscaler wurde zum Erreichen dieses Ziels entwickelt. (Die Entwicklung von SSMA basiert auf jedem Kunden, der uns mitteilte, dass Nutzererfahrung und Richtlinien von zentraler Bedeutung seien.)


Wie viele POPS hat Ihr Cloud-Anbieter?

Bei der Entwicklung der Zscaler-Cloud bewerteten wir Points of Presence (POPs) rund um den Globus und zogen zwei Optionen in Betracht: 

  1. Aufbau von Computing in zehn bis zwölf großen Rechenzentren, Erstellung von POPs und Einrichtung unseres eigenen Netzwerk-Backbone; oder 

  2. Aufbau von Computing in jedem POP zur Ausführung aller Services an der sicheren Edge der Cloud.

Die erste Option wäre zwar kostengünstiger, schneller und leichter durchführbar gewesen, verfehlt jedoch das Ziel niedriger Latenz. Bei diesem Modell wird ein MPLS-Backhauling seitens des Unternehmens einfach nur durch Anbieter-Backhauling (von POP zu Compute-Region) ersetzt. 

Die Platzierung des Computing an der Edge (in jedem POP) gewährleistet eine nur minimal erhöhte Pfadlatenz zwischen Endgerät und Anwendung. Die Architektur dieses Ansatzes ist zwar kostspieliger und zeitaufwendiger, lässt Benutzer nach dem Aufbau jedoch von jedem Gerät in jedem Netzwerk mit geringster Pfadlatenz auf jede Anwendung zugreifen. Mit steigender Akzeptanz etablierte Zscaler direkte Peering-Beziehungen mit Service-Anbietern wie Orange Business, BT, AT&T, TATA und anderen. Seitens der Anbieter von Inhalts-/Cloud-Applikationen kooperiert Zscaler mit Microsoft, Google, Akamai und sehr vielen weiteren. (Partner schätzen Volumen: Ein Anbieteranspruch auf 100 Gbit/s Peering-Kapazität ist wertlos, wenn der Traffic gleich null ist. Die meisten Cloud- und Service-Anbieter kooperieren mit Zscaler auf Basis von 700 Gbit/s für viele Cloud-Anwendungen.)

Nehmen Sie einen OBS-Kunden in Singapur, der sich über die Zscaler-Cloud mit Office 365 verbindet. Wenn ein Endgerät ein Datenpaket für O365 erzeugt, ist der Pfad deterministisch: OBS und Partner stellen die letzte Meile bereit. OBS arbeitet mit Zscaler in Singapur zusammen. Wenn das Paket also die OBS-Glasfaser verlässt, wird es über Router/Switch mit der Edge von Zscaler verbunden. Zscaler kooperiert auch mit Microsoft, was zur Folge hat, dass das Paket über den Überprüfungs-Stack von Zscaler hinaus in einem einzigen Schritt zur Glasfaser von Microsoft weitergeleitet wird.

Vergleichen Sie dies mit einem Edge-Service (z. B. einer Firewall), der in der Google-Cloud gehostet wird. Das Datenpaket würde von OBS über ein Peering-Netzwerk zu Google weitergeleitet, danach über den Netzwerk-Backbone von Google in eine der Regionen, in denen Google operiert. Dort durchläuft das Paket den Security-Stack, wird anschließend über das Netzwerk von Google zu einem Peering-Standort zurückgeleitet und gelangt von da aus (endlich) zum Netzwerk-Backbone von Microsoft. Diese unnötig verlängerte Entfernung, die Netzwerkwechsel und das Latenz erhöhende Routing von Daten-Traffic sind exakt die Faktoren, die SASE ablehnt.

Das SASE-Modell ist die Idealvision einer Cloud-Architektur -- um die Bedingungen für die Implementierung des Service zu erfüllen, sind allerdings erhebliche Investitionen in die Infrastruktur erforderlich. Man kann einen Service nicht einfach zu AWS verlagern und ihn SASE nennen. SASE empfiehlt ausdrücklich, dass Edge-Computing-Services, nicht in Clouds ausgeführt werden sollten, die für Anwendungsbereitstellung konzipiert sind. Bisher bietet kein IaaS oder PaaS-Provider eine Plattform an, die für reines Edge-Computing als Service genügend verteilt ist. (Lambda kommt dem wahrscheinlich am nächsten.)  


SASE: die neue „Triebkraft des digitalen Geschäfts“

Das größte Versprechen von SASE liegt letztendlich darin, dass IT-Verantwortliche damit die Chance zur Transformation ihrer Organisationen erhalten. Gartners Analysten Orans, Skorupa und MacDonald raten diesen IT-Verantwortlichen, „die Einführung von SASE als Triebkraft für das digitale Geschäft in Bezug auf Geschwindigkeit und Agilität zu erwägen.“ Sie empfehlen den Verantwortlichen für Sicherheit und Risikomanagement unter anderem auch, ihre Services zu konsolidieren. Des weiteren raten Gartners Analysten Unternehmen, „bereits jetzt die Komplexität seitens der Netzwerksicherheit zu reduzieren, indem sie idealerweise zu einem Anbieter von Funktionen wie Secure Web Gateway (SWG), Cloud Access Security Broker (CASB), DNS, Zero Trust Network Access (ZTNA) und remote Browser-Isolation wechseln.“

Zscaler customers know that the cloud-computing service delivery future is highly-distributed, secured, and powered at the edge, close to every user. To learn more, download the Gartner report here.

Gartner, The Future of Network Security Is in the Cloud; 30 August 2019; Lawrence Orans, Joe Skorupa, Neil MacDonald


- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Manoj Apte ist Chief Strategy Officer von Zscaler

 



Vorgeschlagene Blogs