Ressourcen > Sicherheit – Glossar > Was ist Security Service Edge (SSE)?

Was ist
Security Service Edge?

Was ist Security Service Edge?

Security Service Edge (SSE) bezeichnet eine Kombination verschiedener Netzwerksicherheitsdienste, die über eine einheitliche Cloud-Plattform bereitgestellt werden. SSE wurde im Gartner-Report „Strategic Roadmap for SASE Convergence“ für 2021 als Komponente von Secure Access Service Edge definiert und dient zur Bereitstellung sicheren Zugriffs auf das Internet und Cloud-basierte Anwendungen. Dies umfasst insbesondere folgende Kernfunktionen:

  1. Secure Web Gateway (SWG) für sicheren Zugriff auf das Internet

  2. Cloud Access Security Broker (CASB) für sicheren Zugriff auf SaaS- und Cloud-basierte Anwendungen

  3. Zero Trust Network Access (ZTNA) für sicheren Zugriff auf private Apps

 

Welche Faktoren treiben die Nachfrage nach SSE an?

SSE setzt sich zunehmend als Lösung für grundlegende Herausforderungen durch, die Organisationen im Zusammenhang mit der Cloud, Edgecomputing, Remote-Arbeit und digitaler Transformation zu bewältigen haben. Der Umstieg auf SaaS- und IaaS-Angebote (Software-/Infrastructure-as-a-Service) sowie Cloud-basierte Anwendungen führt dazu, dass immer mehr Daten dezentral außerhalb des unternehmenseigenen Rechenzentrums gespeichert und übertragen werden. Hinzu kommt die wachsende Anzahl von mobilen bzw. Remote-Usern, die von wechselnden Standorten über unterschiedliche Verbindungen auf Cloud-basierte Anwendungen sowie Daten zugreifen.

Herkömmliche Netzwerksicherheitsansätze sind den Anforderungen der Absicherung von Cloud-basierten Anwendungen und mobilen Usern aus mehreren Gründen nicht gewachsen:

  • An das Rechenzentrum gebundene Legacy-Technologien bieten daher keinen zuverlässigen Schutz für Verbindungen zwischen Usern und Cloud-basierten Anwendungen.
  • Die Weiterleitung des User-Traffics an ein Rechenzentrum („Hairpinning“) über ein herkömmliches VPN zur Überprüfung verursacht beträchtliche Latenzen.
  • Herkömmliche Ansätze sind aufgrund der Notwendigkeit der Verwaltung und Wartung der Hardware im Rechenzentrum mit hohen Kosten verbunden.
  • VPNs lassen sich aufgrund des unzureichenden Patching leicht ausnutzen.

Erschwerend kommt hinzu, dass die in Rechenzentren eingesetzten Security-Stacks organisch gewachsen sind. In vielen Fällen ist dabei ein komplexes Sammelsurium aus Einzelprodukten entstanden, die sich schwer integrieren lassen. Lücken zwischen verschiedenen Sicherheitslösungen sind dadurch quasi unvermeidlich und erhöhen noch das Risiko von Ransomware-Angriffen und anderen komplexen Bedrohungen.

Im folgenden Video werden die Vorteile von SSE gegenüber herkömmlichen Sicherheitsansätzen im Kurzüberblick dargestellt.

 

Secure Access Service Edge (SASE) und Security Service Edge (SSE) im Vergleich

Das SASE-Framework sieht die Bereitstellung und Nutzung der wichtigsten Netzwerk- und Sicherheitsservices über eine einheitliche Cloud-Plattform vor. In Bezug auf Netzwerk- und Sicherheitsaspekte steht bei SASE-Lösungen die Verbesserung der User Experience beim Anwendungszugriff im Mittelpunkt. Eine weitere Priorität liegt in der Reduzierung von Kosten und Komplexität.

Eine SASE-Plattform besteht quasi aus zwei Hälften. SSE gewährleistet die zentrale Bereitstellung aller Sicherheitsdienste. Dieser Bereich umfasst SWG, CASB und ZTNA. Die andere Hälfte deckt den Bereich WAN-Edge ab und gewährleistet entsprechend die zentrale Bereitstellung von Netzwerk-Services. Dies umfasst Software-Defined Wide Area Networking (SD-WAN), WAN-Optimierung, Quality of Service (QoS) und weitere Services, die ein verbessertes Routing zu Cloud-basierten Anwendungen unterstützen.

Das SSE-Diagramm stellt eine Cloud-basierte Sicherheitsplattform dar, die mehrere Sicherheitsfunktionen konsolidiert. Inbegriffen sind SWG, ZTNA, Cloud Access Security Broker (CASB), Datenschutz und Remote Browser Isolation (RBI).

Quelle: CXO REvolutionaries, „Security Service Edge (SSE) reflects a changing market: what you need to know

Vorteile von SSE gegenüber herkömmlicher Netzwerksicherheit

SSE wird über eine zentrale Cloud-zentrische Plattform bereitgestellt und bietet Unternehmen vier Kernvorteile:
 

1. Effektivere Risikominderung

SSE ermöglicht die Bereitstellung einheitlicher Cybersicherheitsservices über eine Cloud-basierte Plattform. Dadurch sind die Schutzmechanismen nicht an ein Netzwerk gebunden, sodass alle Verbindungen zwischen Usern und Anwendungen durchgängig und standortunabhängig abgesichert werden. Durch diese lückenlose Absicherung werden Risiken ausgeschaltet, die beim Einsatz von Einzelprodukten häufig entstehen können. SSE sorgt auch für mehr Transparenz und behält sämtliche User und Daten im Blick – unabhängig vom Standort bzw. dem jeweils genutzten Verbindungskanal. Die Implementierung von Sicherheitsupdates in der gesamten Cloud erfolgt automatisch ohne die Verzögerung, die bei der manuellen Umsetzung von IT-Maßnahmen unvermeidlich ist.

2. Zero-Trust-Zugriff

SSE- bzw. SASE-Plattformen sollten Zugriff gemäß dem Prinzip der minimalen Rechtevergabe und unter Anwendung von Zero-Trust-Richtlinien gewähren – d. h. bei der Authentifizierung müssen Kontextdaten zu User, Gerät, Anwendung und angeforderten Inhalten berücksichtigt werden. Indem sichere Verbindungen zwischen Usern und Anwendungen nicht über das Netzwerk der Organisation, sondern übers Internet hergestellt werden, ist ein besseres Schutzniveau bei Remotezugriffen gewährleistet. Ebenfalls wird die laterale Ausbreitung von Bedrohungen sowie die Exposition von Anwendungen im Internet verhindert und somit sowohl die Angriffsfläche der Organisation als auch das Risiko von Sicherheitsverletzungen reduziert.

3. Reibungslose User Experience   

Eine leistungsstarke SSE-Architektur sollte nicht in IaaS gehostet, sondern dezentral in weltweit verteilten Rechenzentren bereitgestellt werden und dort jeweils speziell auf die Überprüfung des gesamten Traffics ausgelegt sein. Durch die Entschlüsselung und Überprüfung von TLS/SSL-Traffic in geografischer Nähe zu den einzelnen Endusern wird eine bessere Performance bei geringer Latenz gewährleistet. Mit plattformweiten Peering-Agreements lässt sich die Anwendererfahrung für mobile User zusätzlich verbessern, da ein zügiger und reibungsloser Zugriff auf Cloud-basierte Anwendungen ohne VPNs ermöglicht wird.

4. Konsolidierungsvorteile

Durch die einheitliche Bereitstellung aller wichtigen Services über eine ganzheitliche Cloud-basierte Plattform verringern sich für Organisationen die Kosten und die Komplexität. Die im Funktionsumfang einer SSE-Plattform inbegriffenen Services – SWG, CASB, ZTNA, Cloud Firewall (FWaaS), Cloud Sandbox, Cloud Data Loss Prevention (DLP), Cloud Security Posture Management (CSPM) und Cloud Browser Isolation (CBI) – können bei Bedarf jederzeit nachträglich aktiviert werden, wenn sie nicht von Anfang an benötigt werden. Über das Zusammenführen aller Schutzmechanismen unter einer einzigen Richtlinie wird für sämtliche Kanäle, in denen User und Daten unterwegs sind, ein einheitliches Schutzniveau gewährleistet.

SSE reflects a changing market: What you need to know

Zum Blogbeitrag
SSE reflects a changing market: What you need to know

Zscaler SSE auf einen Blick

Lösungsprofil lesen
Zscaler SSE auf einen Blick

Infografik zu Zscaler Security Service Edge

Ansehen
Die Zukunft der Netzwerksicherheit liegt in der Cloud

Umfassende Sicherheit für moderne Unternehmen

Mehr erfahren
Umfassende Sicherheit für moderne Unternehmen

Branchengespräch mit Experten von Gartner zu SASE als zukunftsweisendem Netzwerksicherheitskonzept

Zum Webinar
Branchengespräch mit Experten von Gartner zu SASE als zukunftsweisendem Netzwerksicherheitskonzept

Wichtigste Anwendungsfälle für SSE

1. Absichern des Zugriffs auf Cloud-Services und webbasierte Ressourcen

Zu den Hauptanwendungsfällen für SSE zählt die Kontrolle des User-Zugriffs auf das Internet und Cloud-Anwendungen, die bislang von SWGs durchgesetzt wurde. Dadurch trägt die Policy-Control von SSE zur Minderung von Risiken bei, die durch den Zugriff von Endusern auf Inhalte innerhalb und außerhalb des Netzwerks entstehen. Die Durchsetzung unternehmensspezifischer Richtlinien für Internetnutzung und Zugriffskontrolle im Rahmen der Erfüllung von Compliance-Anforderungen ist ebenfalls ein ausschlaggebender Faktor für den Einsatz von SSE.

Zum Schutz vor Sicherheitsverletzungen, die durch Fehlkonfigurationen entstehen, wird Cloud Security Posture Management (CSPM) als weitere Kernfunktion bereitgestellt.

2. Erkennen und Eindämmen von Bedrohungen

Der Wunsch nach zuverlässigeren Möglichkeiten, Bedrohungen im Internet und in Cloud-Services zu erkennen und erfolgreiche Angriffe zu verhindern, zählt zu den Hauptgründen für den Umstieg auf SSE, und in geringerem Maße gilt das analog auch für SASE. Angesichts der hohen Anzahl von Endusern, die von unterschiedlichen externen Standorten aus auf Anwendungen und Daten zugreifen, ist ein robuster Ansatz zum Schutz vor Malware, Phishing und anderen Bedrohungen für Organisationen unverzichtbar.

Eine geeignete SSE-Plattform sollte über Funktionen zur Abwehr komplexer Bedrohungen verfügen. Dazu zählen insbesondere eine Cloud Firewall, Cloud Sandbox, Malware-Erkennung und Cloud Browser Isolation. CASBs ermöglichen die Überprüfung von Daten innerhalb von SaaS-Anwendungen und können Malware erkennen sowie unter Quarantäne stellen, bevor sie Schaden anrichtet. Ebenfalls unverzichtbar sind adaptive Zugriffskontrollmechanismen, die den Status der Endgeräte bewerten und die Zugriffsberechtigungen entsprechend anpassen können.

3. Sichere Verbindungen für Remote-Mitarbeiter

Moderne Remote-Mitarbeiter müssen ohne die Risiken von VPNs standortunabhängig auf Cloud-Services und private Anwendungen zugreifen können. Indem Usern Zugriff auf Anwendungen, Daten und Inhalte gewährt wird, ohne ihnen Zugang zum Netzwerk zu ermöglichen, werden die Risiken ausgeschaltet, die durch Platzieren der User in einem flachen Netzwerk entstehen.

Dazu ist es erforderlich, dass Usern sicherer Zugriff auf Anwendungen ermöglicht wird, ohne Firewall-ACLs zu öffnen oder Anwendungen im Internet zu exponieren. SSE-Plattformen sollten durch Unterstützung nativer ausgehender Verbindungen gewährleisten, dass Anwendungen im Internet unsichtbar sind. Zudem muss für alle User, unabhängig von Konnektivitätsanforderungen, jederzeit ein zügiger Anwendungszugriff gewährleistet sein. Voraussetzung dafür ist ein hochgradig skalierbarer ZTNA-Ansatz mit global verteilten Zugangspunkten.

4. Identifizierung und Schutz sensibler Daten

SSE vereinigt mehrere wichtige Datenschutztechnologien. Dadurch unterstützt es den zuverlässigen Schutz vertraulicher Daten und gewährleistet mehr Transparenz in sämtlichen Datenkanälen. Mit Cloud DLP lassen sich vertrauliche Daten problemlos identifizieren, klassifizieren und schützen, um die Erfüllung von Branchenstandards und geltender Datenschutzvorschriften zu gewährleisten. Unternehmensspezifische DLP-Richtlinien müssen mit SSE nur einmal erstellt werden und können dann über CASBs auf ruhende Daten in Cloud-basierten Anwendungen sowie den gesamten Inline-Traffic angewandt werden.

In den effektivsten SSE-Plattformen ist außerdem eine leistungsstarke Überprüfung des TLS/SSL-verschlüsselten Traffics inbegriffen, der inzwischen die überwältigende Mehrheit aller Datenübertragungen ausmacht. Eine weitere Schlüsselkomponente für diesen Anwendungsfall ist Shadow-IT, damit Unternehmen riskante bzw. nicht genehmigte Anwendungen auf sämtlichen Endgeräten blockieren können.

 

Kriterien für die Auswahl einer geeigneten SSE-Lösung

Bei der Auswahl einer geeigneten SSE-Plattform ist darauf zu achten, dass sie auf dem Zero-Trust-Konzept basiert und skalierbare Sicherheit ohne Beeinträchtigung von Geschwindigkeit und User Experience gewährleistet. Insbesondere muss die Plattform folgende Voraussetzungen erfüllen:

Globale Präsenz zur Gewährleistung zügiger Verbindungen zwischen Usern und Cloud-basierten Anwendungen

Voraussetzung für den zügigen und sicheren Zugriff ist eine Cloud-native Architektur, die dezentral in möglichst vielen Rechenzentren weltweit bereitgestellt wird. SSE-Plattformen, die den Traffic direkt in den einzelnen Rechenzentren überprüfen, sind in IaaS-Clouds gehosteten Plattformen vorzuziehen. Nur so lässt sich unabhängig vom Standort des jeweiligen Users eine Überprüfung in Echtzeit ohne Beeinträchtigung der Anwendererfahrung gewährleisten. Zur Unterstützung einer fortgesetzten Optimierung der User Experience beim Zugriff auf Cloud-basierte Anwendungen sollten SSE-Anbieter zudem über robuste Peering-Agreements verfügen.

Zugrunde liegende Zero-Trust-Architektur

Zugriffsberechtigungen müssen auf Basis der Identität gewährt werden, wobei die User niemals Zugang zum Unternehmensnetzwerk erhalten dürfen. Empfohlen wird ein Cloud-nativer Anbieter, der Zero-Trust-Zugriff für alle User, Geräte, IoT-Geräte, Cloud-basierten Anwendungen und Workloads unterstützt. Je besser der Anbieter weltweit mit möglichst vielen Rechenzentren aufgestellt ist, desto besser ist die User Experience ohne Beeinträchtigung durch ein VPN. Wichtig ist außerdem, dass sich der ZTNA-Ansatz des SSE-Anbieters bereits in der Praxis bei großen globalen Bereitstellungen bewährt hat, denn die Produktivität einer zunehmenden Anzahl von Remote-Usern hängt entscheidend davon ab, inwieweit die gewählte Lösung skalierbar ist.

Kapazitäten für skalierbare Inline-Proxy-Überprüfung

Bei der Proxy-Überprüfung werden beide Verbindungen –sowohl vom Gerät als auch von der Cloud-basierten Anwendung – zwecks kompletter Überprüfung des gesamten Traffics getrennt und erst nach ihrer Genehmigung weitergeleitet. Im Gegensatz dazu lassen die Passthrough-Architekturen herkömmlicher Firewalls den Traffic zunächst durch und überprüfen ihn erst im Nachhinein. Bei der Auswahl einer SSE-Plattform ist darauf zu achten, dass alle Inhalte, einschließlich TLS/SSL-verschlüsselter Daten, auch bei hohem und weltweitem Traffic-Volumen komplett überprüft werden. Latenzen oder Unterbrechungen bei der Inline-Überprüfung des geschäftskritischen Traffics können zu schwerwiegenden Beeinträchtigungen führen. Deswegen sollte der SSE-Anbieter durch entsprechende Service-Level Agreements eine hohe Dienstgüte gewährleisten und Erfahrung in der Inline-Überprüfung des Traffics von global tätigen Großunternehmen vorweisen können.

Innovationsfähigkeit

Die Möglichkeit zur unkomplizierten Integration zusätzlicher Sicherheitsfunktionen und -services über die Cloud gewährleistet die Zukunftsfähigkeit einer leistungsstarken SSE-Plattform. Aktuell ist insbesondere eine zunehmende Integration von Digital Experience Monitoring zu beobachten. Dadurch wird die Früherkennung von Konnektivitätsproblemen bei Verbindungen zwischen Usern und Cloud-Anwendungen unterstützt.

Im Rahmen der SASE-Architektur kommt neben der SSE-Plattform auch der Konsolidierung von Netzwerk-Services eine wichtige Bedeutung zu. Insbesondere umfasst dies leistungsstarken Support zur Optimierung der Konnektivität für SD-WAN-Services, Zweigstellen und Multicloud-Umgebungen. SASE-Serviceanbieter, die sich auch bei der Weiterentwicklung des SSE-Angebots durch Innovationskraft auszeichnen, sind am besten aufgestellt, Unternehmen beim Ausbau ihres Cloud-Ökosystems zu unterstützen, ohne zusätzliche Komplexität zu erzeugen.

 

Das SSE-Angebot von Zscaler

Mit einer neuartigen Plattform für SSE und weitere Services unterstützt Zscaler Unternehmen bei der Bewältigung der Herausforderungen einer zunehmend Cloud- und Mobil-orientierten Geschäftswelt. Unsere Lösung basiert auf dem Zero-Trust-Konzept und trägt zur Reduzierung von Kosten und Komplexität, Minimierung der Angriffsfläche und Optimierung der User Experience bei.

Weitere Informationen zur SSE von Zscaler.

Wir sind stolz auf die Auszeichnung als Leader im Magic Quadrant für Security Service Edge 2022 von Gartner mit dem Spitzenplatz im Bereich „Fähigkeit zur Umsetzung“.