Zscaler book

Learn how Zscaler enables work-from-anywhere.

Download the eBook today

Zscaler book

Learn how Zscaler enables work-from-anywhere.

Download the eBook today

Blogs > Unternehmen

Eine echte SASE-Lösung erfordert eine Cloud-First-Architektur

Veröffentlicht am:

Autor:

Chris Morosco

Eine echte SASE-Lösung erfordert eine Cloud-First-Architektur

Traditionelle Netzwerkarchitekturen sind nicht mehr zeitgemäß. Sie wurden für vergangene Tage entwickelt, als sich Anwendungen und andere Unternehmensressourcen im Rechenzentrum befanden – dem Zugangspunkt für Benutzer und Geräte.

In der heutigen Welt, in der sich der Perimeter aufgelöst hat, weiten Unternehmen ihre Umgebung auf Cloud-Plattformen und SaaS-Applikationen (Software-as-a-Service) aus. Wie Gartner in seinem jüngsten Bericht ausführt: „The Future of Network Security is in the Cloud,“ fast alles Erdenkliche wird inzwischen außerhalb des Unternehmens ausgeführt oder gespeichert – von Arbeitsanwendungen bis zu sensiblen Daten und Traffic, sowohl in der Firmenzentrale als auch in den Niederlassungen.
 

SASE kommt ins Spiel

Die digitale Geschäftstransformation hat zu einem Bedarf an größerer Agilität geführt. Unternehmen erkennen, dass sie konsistenten, sicheren und weltweit verfügbaren Zugang zu Anwendungen und Dienstleistungen bereitstellen müssen, unabhängig vom Standort oder den verwendeten Geräten der Benutzer – ob es sich dabei um Mitarbeiter oder Kunden handelt. Die Entwicklung einer benutzerorientierten Welt hat eine Technologie hervorgebracht, die als Cloud-basierte Secure Access Service Edge (SASE, ausgesprochen „sassi“) bezeichnet wird. Gartner definiert SASE als eine Lösung, die „die Leistungsfähigkeit von WAN mit umfassenden Netzwerksicherheitsfunktionen (wie SWG, CASB, FWaaS und ZTNA) kombiniert, um den Bedarf digitaler Unternehmen an dynamischem, sicherem Zugang zu decken.“1
 

Wie ist eine echte SASE-Lösung konzipiert?

Die Architektur einer echten SASE-Lösung ist verteilt und global zugänglich. Unabhängig davon, an welchem Ort der Welt sich die Benutzer aufhalten und auf welche Anwendungen sie zugreifen wollen, verwendet die SASE-Architektur intelligente Methoden, um direkte Verbindungen (Peering) zu den nächstgelegenen Cloud-Anwendungen und -Diensten zu vermitteln und zu optimieren. Der große Vorteil dieses Ansatzes ist, dass dadurch die Bandbreite optimiert und niedrige Latenz gewährleistet wird – das Ergebnis ist eine nahtlose und sichere Konnektivität, die eine erstklassige Nutzererfahrung vermittelt.
 

Mit einer Proxy-basierten Architektur haben Sie mehr Möglichkeiten

Ein echtes SASE-Modell wird auf einer Proxy-basierten Architektur ausgeführt, die eine Flexibilität bietet, die herkömmliche Netzwerkarchitekturen nicht erreichen. Ein solches Modell ist skalierbar und überprüft in der Regel den gesamten Traffic, einschließlich verschlüsselten Traffic. Die Hauptvorteile einer Proxy-basierten Architektur sind weniger Komplexität, umfassende und stärkere Sicherheit sowie eine höhere Anwendungsleistung. Lassen Sie uns einige Besonderheiten genauer untersuchen:

  • SSL-Entschlüsselung in großem Maßstab ist eine weitere wesentliche Fähigkeit einer SASE-Lösung. Da sich mehr als 50 Prozent der Malware in verschlüsseltem SSL-Traffic verbirgt, ist dies für Organisationen zu einer kritischen Schwachstelle geworden. Die Proxy-Architektur von SASE überprüft den gesamten verschlüsselten Traffic in großem Maßstab – mit der Kapazität, all Ihren gegenwärtigen und zukünftigen Sicherheitsansprüchen gerecht zu werden.

  • SASE beinhaltet Zero Trust Network Access (ZTNA). ZTNA bietet präzisen, auf die Identität bezogenen Zugang zu internen Anwendungen, ohne Mitarbeiter, Auftragnehmer und andere Benutzer jemals auf das Netzwerk zugreifen zu lassen oder Anwendungen dem Internet auszusetzen. ZTNA macht den Zugang schneller und einfacher, selbst bei nicht verwalteten Geräten, und verringert das Risiko durch Eliminierung der Angriffsfläche.

 

Größere Nähe zum Benutzer

SASE ist so konzipiert, dass es sich in der Nähe der Benutzer befindet. In einer Welt, in der sich Vieles, auf das Benutzer zugreifen wollen, außerhalb des Rechenzentrums befindet, kann die Verwendung eines traditionellen Netzwerks zum Weiterleiten von Zugangsanfragen zum und vom Rechenzentrum die Nutzererfahrung und die Produktivität beeinträchtigen – ganz zu schweigen davon, dass dedizierte MPLS unerschwinglich teuer sind. Eine SASE-Lösung basiert hingegen auf direktem Peering, das es ermöglicht, Zugangsanfragen von Benutzern intelligent an die dem jeweiligen geografischen Standort nächstgelegenen Anwendungen zu senden, was eine erstklassige Nutzererfahrung vermittelt. Zudem werden direkte Verbindungen (Peering) zu Cloud-Anwendungen und -Diensten optimiert, was eine hervorragende Leistung und niedrige Latenzen garantiert.
 

Die Vorteile von Mandantenfähigkeit

Echte Cloud-native SASE-Architekturen sind normalerweise mandantenfähig, das heißt, dass mehrere Kunden die zugrunde liegende Datenebene gemeinsam nutzen. Laut Gartner verwenden manche Anbieter eine dedizierte Instanz pro Kunde; dies schränkt jedoch die Skalierbarkeit der SASE-Lösung ein. Die effektivsten SASE-Lösungen sind von Grund auf für Mandantenfähigkeit konzipiert. Die besten SASE-Anbieter verfügen über gut entwickelte Cloud-Infrastrukturen, und manche betreiben weltweit mehr als 100 Rechenzentren. Diese Art von mandantenfähiger Architektur ermöglicht Benutzern sicheren Zugang zu jedem Rechenzentrum des Anbieters und bietet schnell wachsenden Unternehmen auf ihrem Weg zur vollständigen Cloud eine Umgebung, die sich bedarfsgerecht weltweit skalieren lässt.
 

Der große Vorbehalt

Nachdem Sie nun eine gute Vorstellung von der SASE-Architektur und ihrer Funktionsweise haben, können Sie Ihre Reise zur digitalen Transformation antreten. Es gibt allerdings einen Vorbehalt, auf den Gartner in seinem Bericht hinweist. Einige Anbieter behaupten zwar, eine SASE-Lösung bereitstellen zu können, dies entspricht jedoch nicht der Realität. Diese Anbieter verwenden einen Ansatz, der einem traditionellen Netzwerk sehr ähnlich ist. Sie setzen auf Angebote, die auf virtuellen Maschinen basieren und in den Infrastrukturen von Cloud-Anbietern ausgeführt werden. Bei diesem Ansatz gibt es mehrere Probleme:

  • Die Nutzererfahrung ist alles andere als optimal, da ein Backhauling von der Cloud zum Anbieter und dann zu den Anwendungen, auf die der Benutzer zugreifen will, erforderlich ist.

  • Dieses Modell beruht auf einer nicht mandantenfähigen Architektur, die in einem SASE-Modell netzwerkbasierte Zugangsrichtlinien anwendet, die sich eigentlich auf den Benutzerzugriff beziehen sollten. Dies führt zu komplexeren Richtlinien, die sich nicht gut auf SASE übertragen lassen. Dadurch wird auch die Skalierbarkeit begrenzt.

  • Das Angebot könnte sich aus einem Patchwork von verschiedenen Produkten und Services zusammensetzen, die nicht wirklich integriert sondern mittels einer überlagerten Benutzeroberfläche zusammengeflickt sind. Ebenso wie aus aufeinandergestapelten DVD-Playern kein Netflix-Streaming-Dienst wird, kann man einen herkömmlichen Netzwerk-Security-Stack auch nicht einfach in die Cloud verschieben und dies als Cloud-Sicherheit (SASE) bezeichnen.  

 

Zusätzliche Lektüre:

Für weitere Informationen darüber, was eine echte SASE-Plattform kennzeichnet, lesen Sie den Gartner-Report: „The Future of Network Security is in the Cloud.“

Erfahren Sie, wie Zscaler das Versprechen von SASE einhält.

 


Chris Morosco ist Senior Director of Product Marketing bei Zscaler.

1 https://www.zscaler.com/gartner-secure-access-service-edge-sase

 

 

 

 



Vorgeschlagene Blogs


Dirty Devices: Are They on Your Network?

Dirty Devices: Are They on Your Network?

Von: Kanishka Pandit