Weitere Informationen zu den Vorteilen unseres SASE-Angebots für Ihr Unternehmen finden Sie hier.
SASE bezeichnet keine bestimmte Einzeltechnologie, sondern das gesamte Framework. Im 2019 veröffentlichten Report „The Future of Network Security is in the Cloud“ stellte Gartner das SASE-Framework als Cloud-basierte Cybersicherheitslösung vor, die „die Leistungsfähigkeit von WAN mit umfassenden Netzwerksicherheitsfunktionen (wie SWG, CASB, FWaaS und ZTNA) kombiniert, um der Notwendigkeit dynamischer, sicherer Zugriffsoptionen für digitale Unternehmen gerecht zu werden“.
Im Unterschied zu SASE bezeichnet der ebenfalls von Gartner geprägte Begriff der Security Service Edge (SSE) diejenigen Funktionen einer SASE-Cloud-Plattform, die sich unmittelbar auf die Bereitstellung der Sicherheit beziehen.
Eine SASE-Architektur kombiniert ein softwaredefiniertes Wide Area Network (SD-WAN) oder ein anderes WAN mit verschiedenen Sicherheitsfunktionen (u. a. Cloud Access Security Broker oder Malware-Abwehr) zum Schutz Ihres gesamten Netzwerk-Traffics.
Herkömmliche Methoden zur Überprüfung und Verifizierung – z. B. die Weiterleitung des Traffics über einen MPLS-Service (Multiprotocol Label Switching) zu Firewalls im unternehmenseigenen Rechenzentrum – sind effektiv, solange die User im Büro sitzen. Diese Methode, den Traffic von Remote-Usern zur Überprüfung ans Rechenzentrum weiterzuleiten und dann wieder zurückzuschicken, wird auch als „Hairpinning“ bezeichnet. Mittlerweile befinden sich jedoch so viele User im Homeoffice bzw. an anderen Remote-Standorten, dass dieses Verfahren sowohl der Produktivität als auch der User Experience abträglich ist.
Anders als Einzellösungen und andere Netzwerksicherheitsstrategien ist SASE sowohl sicher als auch direkt. Der Traffic von den Geräten der User wird nicht mehr wie früher durch Sicherheitslösungen im Rechenzentrum überprüft, sondern an einem Präsenzpunkt möglichst nahe am User. Von diesem sogenannten „Enforcement Point“ aus wird der Traffic dann direkt an sein Ziel weitergeleitet. Durch den effizienteren Zugriff auf Anwendungen und Daten ist diese Option herkömmlichen Lösungen insbesondere dann überlegen, wenn es um den Schutz von dezentralen Belegschaften und Daten in der Cloud geht.
Das SASE-Framework erregte einiges Aufsehen bei Serviceanbietern und Fachmedien. Am überzeugendsten ist allerdings der Grundgedanke, der hinter dem Hype steckt – nämlich die Erkenntnis, dass Sicherheits- und Netzwerkarchitekturen, die in Rechenzentren verankert sind, in der heutigen Zeit nicht mehr ausreichen. Diese Aussage ist nicht einfach ein Werbespruch, sondern eine Einsicht, die sich in der Branche weitgehend unumstritten durchgesetzt hat.
Worin liegt also der konkrete Mehrwert einer SASE-Lösung gegenüber herkömmlicher unternehmensfähiger Netzwerksicherheit, bei der Zweigstellen durch private Netzwerke verbunden werden und Traffic über Secure Web Gateways und Firewalls geroutet wird?
Gartner merkt an, dass herkömmliche Modelle, bei denen Netzwerkverbindungen und Sicherheitsrichtlinien zentral über das Rechenzentrum verwaltet werden, längst nicht mehr zeitgemäß sind. Stattdessen müsse der Fokus auf Useridentitäten und Geräten liegen. „In einem heutigen Cloud-zentrierten digitalen Unternehmen sind User, Geräte und die Anwendungen, auf die sie sicher zugreifen müssen, überall verteilt“, heißt es in dem Bericht.
Workflows, Traffic-Muster und Anwendungsfälle sind heute ganz anders als zu der Zeit, als Hub-and-Spoke-Netzwerke konzipiert wurden. Das hat folgende Gründe:
Gartner, The Future of Network Security Is in the Cloud, 30. August 2019, Lawrence Orans, Joe Skorupa, Neil MacDonald
SASE setzt sich aus sechs wesentlichen funktionalen bzw. technologischen Elementen zusammen:
1. Softwaredefiniertes Wide Area Network (SD-WAN)
SD-WAN ist eine Overlay-Architektur, die die Komplexität reduziert und die User Experience optimiert, indem der jeweils beste Verbindungspfad für den Traffic zum Internet, zu Cloud-Anwendungen und zum Rechenzentrum ermittelt und ausgewählt wird. Zudem ermöglicht SD-WAN die schnelle Bereitstellung neuer Anwendungen und Services und unterstützt die Verwaltung von Richtlinien für eine hohe Anzahl von Standorten.
2. Secure Web Gateway (SWG)
SWGs verhindern, dass Traffic ungeprüft aus dem Internet ins interne Unternehmensnetzwerk gelangt. Dadurch schützen Sie Ihre Mitarbeiter und User vor dem Zugriff auf bzw. Infektionen durch schädlichen Web-Traffic, Websites mit Sicherheitslücken, über das Internet übertragene Viren, Malware und Cyberbedrohungen.
3. Cloud Access Security Broker (CASB)
CASBs gewährleisten die sichere Nutzung Cloud-basierter Anwendungen und Services, um Datenlecks, Malware-Infektionen, Verstöße gegen aufsichtsrechtliche Vorschriften und mangelnde Transparenz zu verhindern. Sie schützen Anwendungen, die in privaten oder öffentlichen Clouds (IaaS) gehostet oder auch als Software-as-a-Service (SaaS) bereitgestellt werden.
4. Firewall as a Service (FWaaS)
FWaaS ermöglicht den Umstieg von physischen Firewall-Appliances auf Cloud-Firewalls, die erweiterte L7/NGFW-Funktionen (Level 7/Next-Generation Firewall) bereitstellen können. Dazu zählen URL-Filterung und andere Zugriffskontrollen, Schutz vor komplexen Bedrohungen, Eindringschutzsysteme und DNS-Sicherheit.
5. Zero Trust Network Access (ZTNA)
ZTNA-Produkte und -Services sorgen dafür, dass auch Remote-User sicher auf interne Anwendungen zugreifen können. Im Zero-Trust-Modell wird keine Entität automatisch als vertrauenswürdig eingestuft. Basierend auf granularen Richtlinien werden Zugriffsberechtigungen immer nach dem Prinzip der minimalen Rechtevergabe gewährt. Remote-User profitieren so von sicheren Verbindungen zu privaten Anwendungen, ohne Zugang zum Netzwerk zu erhalten. Umgekehrt werden Anwendungen niemals im Internet exponiert.
6. Zentrale Verwaltung
Durch die Verwaltung des gesamten Funktionsumfangs über eine einzige Konsole können viele Herausforderungen rund um Änderungskontrolle, Patch-Management, Koordinierung von Ausfallzeiten und Richtlinienverwaltung vermieden werden. Richtlinien lassen sich unternehmensweit unabhängig vom Standort der User konsistent durchsetzen.
Wie können Unternehmen in der heutigen Zeit Zugriffskontrollen und Sicherheitsrichtlinien durchsetzen? Eine herkömmliche On-Premise-Netzwerkinfrastruktur ist den aktuellen Herausforderungen nicht gewachsen. Stattdessen empfiehlt sich der Umstieg auf eine Cloud-basierte SASE-Plattform, die WAN-Funktionen (SD-WAN) mit umfassenden Sicherheitsservices kombiniert. Das SASE-Modell bietet erhebliche Vorteile für Unternehmen, die im Rahmen der digitalen Transformation von der Mobilität und den neuen Möglichkeiten von Cloud-Services profitieren möchten.
Um den sicheren Zugriff auf Cloud-Services zu ermöglichen, User und Geräte an Remote-Standorten zu schützen und andere Sicherheitslücken zu schließen, sehen sich Unternehmen gezwungen, eine Reihe von Sicherheitslösungen einzuführen, die erhebliche Kosten und einen hohen Verwaltungsaufwand verursachen. Trotz alledem setzt sich zunehmend die Erkenntnis durch, dass das Modell der lokal bereitgestellten Netzwerksicherheit den Anforderungen digitaler Unternehmen nicht gewachsen ist.
Anstatt ein neues Problem mit einem veralteten Konzept lösen zu wollen, stellt SASE das Sicherheitsmodell einfach auf den Kopf. Statt wie früher den Netzwerkperimeter abzusichern, gewährleistet SASE standortunabhängig den Schutz von Usern und anderen Entitäten. SASE basiert auf dem Konzept des Edgecomputing, also der Verarbeitung von Daten in möglichst großer Nähe zu den Personen und Systemen, die sie benötigen. Entsprechend werden Sicherheits- und Zugriffslösungen nahe am User bereitgestellt. Verbindungen zu Anwendungen und Services werden anhand der unternehmensspezifischen Sicherheitsrichtlinien dynamisch zugelassen oder abgelehnt.
Solange die User im Netzwerk angemeldet waren und die IT für die Verwaltung von Anwendungen und Infrastruktur verantwortlich zeichnete, waren Anwendererfahrungen einfach kontrollier- und berechenbar. Heutzutage arbeiten Unternehmen zwar zunehmend mit distribuierten Multicloud-Umgebungen, verbinden User jedoch zur Gewährleistung der Sicherheit weiterhin über VPNs mit dem Netzwerk. VPNs beeinträchtigen nicht nur die User Experience, sondern exponieren auch IP-Adressen im Internet. Dadurch vergrößert sich die Angriffsfläche des Unternehmens.
SASE bewirkt genau das Gegenteil, nämlich eine Optimierung der Anwendererfahrung. Gemäß diesem Modell werden Sicherheitsrichtlinien möglichst nahe an der Entität durchgesetzt, die abgesichert werden soll. Statt den User-Traffic zur Sicherheitslösung weiterzuleiten, wird die Sicherheitslösung also in User-Nähe bereitgestellt. SASE ist auf den Schutz von Cloud-Umgebungen ausgelegt. Unternehmen profitieren insbesondere von der intelligenten Verwaltung von Verbindungen an Internetknoten in Echtzeit sowie der Optimierung latenzarmer Direktverbindungen zu Cloud-basierten Anwendungen und Services.
Als Cloud-native Lösung ist SASE eigens darauf ausgelegt, Unternehmen bei der Bewältigung der spezifischen Risiken zu unterstützen, die sich aus der neuen Realität geografisch verteilter User und dezentral bereitgestellter Anwendungen ergeben. Sicherheit – insbesondere Schutz vor Bedrohungen und Data Loss Prevention (DLP) – wird nun als Kernkomponente des Konnektivitätsmodells definiert. Dadurch lässt sich gewährleisten, dass alle Verbindungen überprüft und abgesichert werden – und zwar unabhängig von Standort, Anwendung und Verschlüsselung.
Im SASE-Framework spielt Zero Trust Network Access (ZTNA) eine Schlüsselrolle. Die Technologie stellt sicheren Anwendungszugriff für mobile User, Mitarbeiter im Außendienst bzw. Homeoffice und in Zweigstellen bereit. Gleichzeitig sorgt ZTNA dafür, dass die Angriffsfläche und damit auch das Risiko der lateralen Ausbreitung von Bedrohungen im Netzwerk minimiert wird.
Im Zuge der digitalen Transformation sind mehr Agilität und Skalierbarkeit, reduzierte Komplexität und optimierte Sicherheit unverzichtbar geworden. Darüber hinaus müssen moderne Unternehmen eine erstklassige Anwendererfahrung gewährleisten – unabhängig davon, wo sich die User befinden.
Aus den folgenden vier Gründen ist SASE mittlerweile nicht mehr nur eine praktische Ergänzung, sondern ein absolutes Must-have:
All dies hat Anbieter von Networking- und Sicherheitslösungen dazu veranlasst, eigene Versionen einer SASE-Architektur zu entwerfen. Viele dieser Anbieter behaupten, ihr Produkt sei Cloud-basiert, doch tatsächlich handelt es sich meist nur um eine Cloud-Plattform, die auf Legacy-Hardware aufsetzt.
Lediglich ein Anbieter ist in der Lage ein wirklich Cloud-basiertes SASE-Modell bereitstellen. Woran liegt das? Wir haben unsere Plattform in der Cloud und für die Cloud entwickelt.
Gartner, Die Zukunft der Netzwerksicherheit liegt in der Cloud
Die Zscaler Zero Trust Exchange™ ist unsere SASE-Lösung und bietet ein schnelles, flexibles, einfaches und sicheres Modell für die Verbindung von Usern und Geräten. Als automatischer, in der Cloud bereitgestellter Service lässt sich unsere global verteilte Plattform einfach implementieren und verwalten. User werden immer auf dem kürzesten Pfad mit den benötigten Anwendungen verbunden.
Alleinstellungsmerkmale der SASE-Lösung von Zscaler:
Durch Peering mit Hunderten von Partnern in großen Internetknoten weltweit bietet die Zero Trust Exchange optimale Performance und Zuverlässigkeit.
Weitere Informationen zu den Vorteilen unseres SASE-Angebots für Ihr Unternehmen finden Sie hier.
Eine echte SASE-Lösung erfordert eine Cloud-First-Architektur
Zum BlogbeitragBranchengespräch mit Experten von Gartner zu SASE als zukunftsweisendem Netzwerksicherheitskonzept
On-demand ansehenZscaler SASE: Moderne IT-Architektur für eine Cloud- und mobilzentrierte Welt
Mehr erfahren