Ressourcen > Sicherheit – Glossar > Was versteht man unter SASE?

Was versteht man unter SASE (Secure Access Service Edge)?

Was versteht man unter SASE?

Secure Access Service Edge (SASE) ist ein Framework für Netzwerkarchitekturen, das Cloud-native Sicherheitstechnologien – insbesondere SWG, CASB, ZTNA und FWaaS – mit WAN-Funktionen (Wide Area Network) kombiniert, um standortunabhängig sichere Verbindungen zwischen Usern, Systemen und Endgeräten einerseits und Anwendungen und Services andererseits aufzubauen. Zur Unterstützung zukunftsorientierter agiler Unternehmen werden diese Technologien als Service aus der Cloud bereitgestellt und können zentral verwaltet werden.
 

Was ist unter SASE zu verstehen?

SASE bezeichnet keine bestimmte Einzeltechnologie, sondern das Framework insgesamt. Im 2019 veröffentlichten Report „The Future of Network Security is in the Cloud“ stellte Gartner das SASE-Framework als Cloud-basierte Cybersicherheitslösung vor, die „die Leistungsfähigkeit von WAN mit umfassenden Netzwerksicherheitsfunktionen (wie SWG, CASB, FWaaS und ZTNA) kombiniert, um der Notwendigkeit dynamischer, sicherer Zugriffsoptionen für digitale Unternehmen gerecht zu werden“.

Im Unterschied zu SASE bezeichnet der ebenfalls von Gartner geprägte Begriff der Security Service Edge (SSE) diejenigen Funktionen im Rahmen einer SASE-Cloud-Plattform, die sich unmittelbar auf die Bereitstellung der Sicherheit beziehen.

Wie funktioniert SASE?

Eine SASE-Architektur kombiniert ein softwaredefiniertes Wide Area Network (SD-WAN) oder ein anderes WAN mit verschiedenen Sicherheitsfunktionen (u. a. Cloud Access Security Broker, Malware-Abwehr) zum Schutz des gesamten Netzwerk-Traffics von Unternehmen.

Herkömmliche Methoden zur Überprüfung und Verifizierung – z. B. die Weiterleitung des Traffics über einen MPLS-Service (Multiprotocol Label Switching) zu Firewalls im unternehmenseigenen Rechenzentrum – sind effektiv, solange die User im Büro sitzen. Diese Methode, den Traffic von Remote-Usern zur Überprüfung ans Rechenzentrum weiterzuleiten und dann wieder zurückzuschicken, wird auch als „Hairpinning“ bezeichnet. Mittlerweile befinden sich jedoch so viele User im Homeoffice bzw. an anderen Remote-Standorten, dass dieses Verfahren sowohl der Produktivität als auch der User Experience abträglich ist.

Anders als Einzellösungen und andere Netzwerksicherheitsstrategien ist SASE sowohl sicher als auch direkt. Der Traffic von den Geräten der User wird nicht mehr wie früher durch Sicherheitslösungen im Rechenzentrum überprüft, sondern an einem Präsenzpunkt möglichst nahe am User. Von diesem sogenannten „Enforcement Point“ aus wird der Traffic dann direkt an sein Ziel weitergeleitet. Durch den effizienteren Zugriff auf Anwendungen und Daten ist diese Option herkömmlichen Lösungen insbesondere dann überlegen, wenn es um den Schutz von dezentralen Belegschaften und Daten in der Cloud geht.

Was steckt hinter dem Hype um SASE?

Das SASE-Framework erregte einiges Aufsehen bei Anbietern und Fachmedien. Wir sind jedoch überzeugt, dass hinter dem Hype ein solider Grundgedanke steckt – nämlich die Erkenntnis, dass Sicherheits- und Netzwerkarchitekturen, die in Rechenzentren verankert sind, unter heutigen Vorzeichen weder ausreichenden Schutz noch adäquate Anwendererfahrungen gewährleisten. Diese Aussage ist nicht einfach ein Werbespruch, sondern eine Einsicht, die sich in der Branche weitgehend unumstritten durchgesetzt hat. Worin liegt also der konkrete Mehrwert einer SASE-Lösung gegenüber herkömmlicher unternehmensfähiger Netzwerksicherheit, bei der Zweigstellen durch private Netzwerke verbunden und Traffic über Secure Web Gateways und Firewalls geroutet wird?

Gartner mahnt an, dass herkömmliche Modelle, bei denen Netzwerkverbindungen und Sicherheitsrichtlinien zentral über das unternehmenseigene Rechenzentrum verwaltet werden, längst nicht mehr zeitgemäß sind. Stattdessen müsse der Fokus auf User-Identitäten und Geräten liegen. „In einem heutigen Cloud-zentrierten digitalen Unternehmen sind User, Geräte und die Anwendungen, auf die sie sicher zugreifen müssen, überall verteilt“, heißt es in dem Bericht. Workflows, Traffic-Muster und Anwendungsfälle sind heute komplett anders als zu der Zeit, als Hub-and-Spoke-Netzwerke entwickelt wurden. Insbesondere lässt sich das mit folgenden Trends verdeutlichen:

  • Inzwischen fließt mehr User-Traffic in Cloud-Services als in Rechenzentren 
  • Mehr Arbeit wird außerhalb als innerhalb des Netzwerks verrichtet
  • In Clouds werden mehr Workloads ausgeführt als in Rechenzentren 
  • Es werden mehr SaaS-Anwendungen als lokal gehostete verwendet
  • In Cloud-Diensten werden mehr sensible Daten als im Unternehmensnetzwerk gespeichert
Statt statisch in einer Box am Rand des Rechenzentrums platziert zu sein, sind Sicherheitsperimeter nun überall dort, wo ein Unternehmen sie benötigt – eine dynamisch erstellte, auf Richtlinien basierende Secure Access Service Edge.
Gartner, The Future of Network Security Is in the Cloud; 30. August 2019; Lawrence Orans, Joe Skorupa, Neil MacDonald

 

Komponenten des SASE-Modells

SASE setzt sich aus sechs wesentlichen funktionellen bzw. technologischen Elementen zusammen.

 

1. Softwaredefiniertes Wide Area Network (SD-WAN)

SD-WAN ist eine Overlay-Architektur, die die Komplexität reduziert und die User Experience optimiert, indem der jeweils beste Verbindungspfad für den Traffic zum Internet, zu Cloud-Anwendungen und zum Rechenzentrum ermittelt und ausgewählt wird. Zudem ermöglicht SD-WAN die schnelle Bereitstellung neuer Anwendungen und Services und unterstützt die Verwaltung von Richtlinien für eine hohe Anzahl von Standorten.

 

2. Secure Web Gateway (SWG)

SWGs verhindern, dass ungesicherter Traffic aus dem Internet ins interne Unternehmensnetzwerk gelangt. Dadurch schützen sie Mitarbeiter und User vor dem Zugriff auf bzw. Infektionen durch schädlichen Web-Traffic, Websites mit Sicherheitslücken, über das Internet übertragene Viren, Malware und Cyberbedrohungen.

 

3. Cloud Access Security Broker (CASB)

Ein CASB gewährleistet die sichere Nutzung Cloud-basierter Anwendungen und Services, um Datenlecks, Malware-Infektionen, Verstöße gegen aufsichtsrechtliche Vorschriften und mangelnde Transparenz zu verhindern. CASBs dient zur Sicherung von Anwendungen, die in privaten oder öffentlichen Clouds (IAAS) gehostet oder auch als Software-as-a-Service (SaaS) bereitgestellt werden.

 

4. Firewall as a Service (FWaaS)

FWaaS ermöglicht den Umstieg von physischen Firewall-Appliances auf Cloud-Firewalls, die erweiterte L7/NGFW-Funktionen (Level 7/Next-Generation Firewall) bereitstellen können. Dazu zählen URL-Filterung und andere Zugriffskontrollen, Schutz vor komplexen Bedrohungen, Eindringschutzsysteme und DNS-Sicherheit.

 

5. Zero Trust Network Access (ZTNA)

ZTNA-Produkte und -Services sorgen dafür, dass auch Remote-User sicher auf interne Anwendungen zugreifen können. Im Zero-Trust-Modell wird keine Entität oder Ressource automatisch als vertrauenswürdig eingestuft. Basierend auf granularen Richtlinien werden Zugriffsberechtigungen immer nach dem Prinzip der minimalen Rechtevergabe gewährt. Remote-User profitieren so von sicheren Verbindungen zu privaten Anwendungen, ohne Zugang zum Netzwerk zu erhalten. Umgekehrt werden Anwendungen niemals im Internet exponiert.

 

6. Zentrale Verwaltung

Durch die Verwaltung des gesamten Funktionsumfangs über eine einzige Konsole können viele Herausforderungen rund um Änderungskontrolle, Patch-Management, Koordinierung von Ausfallzeiten und Richtlinienverwaltung vermieden werden. Richtlinien lassen sich unternehmensweit unabhängig vom Standort der User konsistent durchsetzen.

 

3 Vorteile von SASE

Wie können Unternehmen unter heutigen Vorzeichen Zugriffskontrollen und Sicherheitsrichtlinien durchsetzen? Eine herkömmliche lokal bereitgestellte Netzwerk-Infrastruktur ist den damit verbundenen Herausforderungen nicht gewachsen. Stattdessen empfiehlt sich der Umstieg auf eine Cloud-basierte SASE-Plattform, die WAN-Funktionen (SD-WAN) mit umfassenden Sicherheitsservices kombiniert. Das SASE-Modell bietet erhebliche Vorteile für Unternehmen, die im Rahmen der digitalen Transformation von der Mobilität und den neuen Möglichkeiten Cloud-basierter Services profitieren wollen.

 

1. SASE reduziert Kosten und Komplexität

Um den sicheren Zugriff auf Cloud-Servives zu ermöglichen, User und Geräte an Remote-Standorten zu schützen und andere Sicherheitslücken zu schließen, sehen sich Unternehmen gezwungen, eine Reihe von Sicherheitslösungen einzuführen, die erhebliche Kosten und einen hohen Verwaltungsaufwand verursachen. Trotz alledem setzt sich zunehmend die Erkenntnis durch, dass das Modell der lokal bereitgestellten Netzwerksicherheit den Anforderungen digitaler Unternehmen nicht gewachsen ist. Anstatt ein neues Problem mit einem veralteten Konzept lösen zu wollen, stellt SASE das Sicherheitsmodell einfach auf den Kopf. Statt wie früher den Netzwerkperimeter abzusichern, gewährleistet SASE standortunabhängig den Schutz von Usern und anderen Entitäten. SASE basiert auf dem Konzept des Edgecomputing, also der Verarbeitung von Daten in möglichst großer Nähe zu den Menschen und Systemen, die sie benötigen. Entsprechend werden Sicherheits- und Zugriffslösungen nahe am User bereitgestellt. Verbindungen zu Anwendungen und Services werden anhand der unternehmensspezifischen Sicherheitsrichtlinien dynamisch zugelassen oder abgelehnt.

 

2. SASE ermöglicht eine zügige und nahtlose User Experience

Solange die User im Netzwerk angemeldet waren und die IT für die Verwaltung von Anwendungen und Infrastruktur verantwortlich zeichnete, waren Anwendererfahrungen einfach kontrollier- und berechenbar. Heutzutage arbeiten Unternehmen zwar zunehmend mit distribuierten Multicloud-Umgebungen, verbinden User jedoch zur Gewährleistung der Sicherheit weiterhin über VPNs mit dem Netzwerk. VPNs beeinträchtigen nicht nur die User Experience, sondern exponieren auch IP-Adressen im Internet. Dadurch vergrößert sich die Angriffsfläche des Unternehmens. SASE bewirkt genau das Gegenteil, nämlich eine Optimierung der User Experience. Gemäß diesem Modell werden Sicherheitsrichtlinien möglichst nahe an der Entität durchgesetzt, die jeweils abgesichert werden soll. Statt den User-Traffic zur Sicherheitslösung weiterzuleiten, wird die Sicherheitslösung also in User-Nähe bereitgestellt. SASE ist auf die Absicherung von Cloud-Umgebungen ausgelegt. Insbesondere profitieren Unternehmen von der intelligenten Verwaltung von Verbindungen an Internetknoten in Echtzeit sowie der Optimierung latenzarmer Direktverbindungen zu Cloud-basierten Anwendungen und Services.

 

3. SASE verringert Risiken

Als Cloud-native Lösung ist SASE eigens darauf ausgelegt, Unternehmen bei der Bewältigung der spezifischen Risiken zu unterstützen, die sich aus der neuen Realität geografisch distribuierter User und dezentral bereitgestellter Anwendungen ergeben. Sicherheit – insbesondere Bedrohungsschutz und Data Loss Prevention (DLP) – wird nicht wie bisher als separate Funktion, sondern als Kernkomponente des Konnektivitätsmodells definiert. Dadurch lässt sich gewährleisten, dass alle Verbindungen überprüft und abgesichert werden – und zwar unabhängig vom Standort der User, den jeweils angeforderten Anwendungen und der ggf. verwendeten Verschlüsselung. Im SASE-Framework spielt Zero Trust Network Access (ZTNA) eine Schlüsselrolle. Die Technologie stellt sicheren Anwendungszugriff für mobile User, Mitarbeiter im Außendienst bzw. Homeoffice und Zweigstellen bereit. Gleichzeitig sorgt ZTNA dafür, dass die Angriffsfläche und damit auch das Risiko der lateralen Ausbreitung von Bedrohungen im Netzwerk minimiert wird.

SASE als unverzichtbare Voraussetzung für die digitale Transformation

Im Zuge der digitalen Transformation ist auch der Wunsch der Unternehmen nach mehr Agilität und Skalierbarkeit bei weniger Komplexität gestiegen. Unternehmen sehen sich zunehmend mit der Notwendigkeit konfrontiert, global einheitlichen und sicheren Zugriff auf Daten, Anwendungen und Services zu gewährleisten – unabhängig von Standort oder Gerät des jeweiligen Users. Mit der SASE-Lösung von Zscaler steht Unternehmen ein völlig neues Modell für die Erstellung von Verbindungen zwischen Usern und Geräten zur Verfügung: schnell, flexibel, unkompliziert und sicher. Mit Unterstützung eines Cloud-nativen SASE-Anbieters können Unternehmen den erfolgreichen Übergang in die digitale Zukunft souverän bewältigen.

Es ist davon auszugehen, dass mindestens 40 % der Unternehmen bis 2024 explizite Strategien für die Einführung von SASE haben – Ende 2018 lag dieser Anteil noch bei unter 1 %.
Gartner, The Future of Network Security Is in the Cloud; 30. August 2019; Lawrence Orans, Joe Skorupa, Neil MacDonald

Das SASE-Angebot von Zscaler

Zscaler bietet eine komplette SASE-Lösung, die auf Leistung und Skalierbarkeit ausgelegt ist: die Zscaler Zero Trust Exchange™. Als automatischer, in der Cloud bereitgestellter Service lässt sich unsere global distribuierte Plattform einfach implementieren und verwalten. User werden immer auf dem kürzesten Pfad mit den benötigten Anwendungen verbunden. User und Anwendungen werden niemals automatisch als vertrauenswürdig eingestuft. Stattdessen überprüft die Policy-Engine vor jeder Verbindung die jeweils angemessenen Zugriffsberechtigungen und Einschränkungen auf der Basis von Kontextdaten (User-Identität, Sicherheitsstatus des Geräts, Art der Anwendung, Standort, angeforderte Inhalte). Dadurch lassen sich User und Daten zuverlässig schützen.

Diagramm zur Veranschaulichung des hohen Geschäftsnutzens einer Cloud-basierten SASE-Plattform

Alleinstellungsmerkmale der SASE-Lösung von Zscaler

  • Eine native, mehrinstanzenfähige Cloud-Architektur, die sich bei Bedarf dynamisch skalieren lässt
  • Proxy-basierte Architektur für vollständige Überprüfung von verschlüsseltem Traffic in großem Maßstab
  • Verlagerung von Sicherheit und Richtlinien in die Nähe des Users zur Vermeidung von unnötigem Backhauling
  • Zero Trust Network Access (ZTNA) setzt Zugriffsbeschränkungen durch und gewährleistet native Anwendungssegmentierung
  • Keinerlei Angriffsfläche, wodurch gezielte Angriffe verhindert werden, da Quellnetzwerke und Identitäten nicht im Internet offengelegt sind

Durch Peering mit Hunderten von Partnern in großen Internetknoten weltweit lässt sich eine optimale Performance und Zuverlässigkeit gewährleisten.