Nicht zuletzt durch die Corona-Krise hat sich die digitale Transformation von Unternehmen weltweit beschleunigt. In Zeiten flächendeckender Homeoffice-Arbeitsplätze setzen sie mehr und mehr auf Cloud-Applikationen und -Dienste. Das Rechenzentrum ist somit nicht mehr das Zentrum des IT-Universums. Die Benutzer wie Mitarbeiter, Partner, Lieferanten oder Auftragnehmer befinden sich letztlich überall. Die Daten wandern in der Folge vom Rechenzentrum in die Cloud und werden oft im Rahmen SaaS (z.B. Microsoft 365 oder Salesforce) erzeugt, verarbeitet und geteilt, damit die Anwender überall und jederzeit Zugriff auf jede Anwendung, die sie für ihre (digitale) Arbeit benötigen, erhalten. Damit rückt nun der Benutzer und sein Gerät, sei es gemanagt oder ungemanagt, ins Zentrum, während sich der klassische Perimeter mehr und mehr auflöst und die herkömmliche Trennung von „innen“ und „außen“ obsolet wird.
Entsprechend benötigen Unternehmen neue Werkzeuge und Ansätze, um die Sicherheit ihrer Systeme und Daten zu gewährleisten. In diesem Zusammenhang hat sich Secure Access Service Edge (SASE) als wichtiges konzeptionelles Modell für einen sicheren identitätsbasierten Zugang herauskristallisiert und wurde seit seiner Einführung durch Gartner im August 2019 zum Trend-Thema. Doch je nach Zusammenhang und Anbieter wird dieser Ansatz unterschiedlich interpretiert, sodass es sinnvoll erscheint, die Inhalte des wegweisenden Reports „The Future of Network Security is in the Cloud“ genauer zu betrachten.
Gekommen, um zu bleiben: Was ist SASE?
Gartner definiert SASE als neuen technologischen Rahmen, der Netzwerk- und Sicherheitstechnologien in einer nativen Cloud-Architektur zusammenführt, die nahe bei den Nutzern sein muss, ganz gleich wo sie sich befinden, und von einem Service Edge aus bereitgestellt werden. Dabei beschreibt SASE die Konvergenz mehrerer Sicherheitskomponenten: SD-WAN, Secure Web Gateway der nächsten Generation (NG-SWG), Cloud Access Secure Broker (CASB), Zero Trust Network Access (ZTNA) und Firewall as a Service (FWaaS). SASE bietet sowohl Zugriff auf als auch Kontrolle von Webdiensten, Cloud- und privaten Anwendungen, gewährleistet die Identifizierung und den Schutz sensibler Unternehmensdaten und erleichtert den Schutz vor fortgeschrittenen Angriffen, indem es Benutzer, Anwendungen und Daten unabhängig von ihrem Standort schützt. Kurz gesagt: SASE bietet den sicheren identitätsbasierten Zugang, den Unternehmen benötigen, damit ihre Sicherheit nicht von einem immer weniger abgegrenzten Perimeter abhängt, sondern von einer Cloud mit globaler Reichweite und geringer Latenz gewährleistet wird.
Vorteile des Ansatzes
Die Einführung der Cloud in großem Maßstab, sei es durch Anwendungen oder Infrastruktur als Service, hat die Sicherheitsstrategien und die traditionelle Rolle von Rechenzentren als Mittelpunkt von Transformationsinitiativen deutlich verändert. Eine SASE-Architektur ermöglichen es den Sicherheitsteams, konsistente und effektive Netzwerksicherheitsdienste zu implementieren, um den digitalen Wandel voranzutreiben und die damit verbundenen Mobilitätsanforderungen zu erfüllen. Für Unternehmen ergeben sich die folgenden Vorteile:
- Geringere Komplexität der Architektur: Durch die Konsolidierung von Diensten bei einem einzigen Anbieter können Unternehmen die Anzahl der physischen und virtuellen Geräte sowie die Anzahl der Agenten, die auf den Rechnern der Benutzer oder auf mobilen Geräten erforderlich sind, nachhaltig reduzieren.
- Verbesserte Benutzererfahrung: Ein erheblicher Teil der eingesetzten Anwendungen reagiert empfindlich auf Latenzzeiten, so dass Präsenzpunkte (Points of Presence) in der Nähe und die lokale Peering-Steuerung für die Gewährleistung einer besseren Benutzererfahrung entscheidend sind.
- Erweiterte Sicherheit: Die Prüfung von Inhalten zur Identifizierung sensibler Daten und Malware ist in einem SASE-Framework von entscheidender Bedeutung, da sich die meisten sensiblen Daten bereits in der Cloud befinden. Dabei ist die Fähigkeit, gleichzeitig den Kontext der Daten zu kontrollieren und zu verstehen, von entscheidender Bedeutung, um eine SASE-Richtlinie durchzusetzen.
- Niedrigere operative Belastung: SASE-Strategien zielen darauf ab, die Arbeitsbelastung der IT-Sicherheitsteams zu verringern, und zwar nicht nur beim Einsatz der Lösungen, sondern auch durch die Eliminierung nicht mehr benötigter physischer oder virtueller Geräte, wodurch erhebliche Kosteneinsparungen erzielt werden.
- Zero Trust: Bei der Einführung von SASE sind Zugangsmodelle auf der Grundlage von Zero Trust unerlässlich. Um den Zugriff auf Daten und Ressourcen zu erlauben oder zu blockieren sind Identitäts-, Geräte- und Anwendungsparameter erforderlich, die stets kontextspezifisch und durch eine umfassende Risikoanalyse festgelegt werden.
- Zentralisiertes Management: Um die Komplexität so gering wie möglich zu halten, müssen in einer SASE-Architektur sowohl das Management als auch alle Richtlinien der Lösung zentralisiert werden. Durch Kontrollen „in der Nähe“ der Anwender sind niedrige Latenzzeiten möglich, wodurch ein besseres Nutzererlebnis gewährleistet wird.
Zweifelsohne erfordert eine Netzwerksicherheitsarchitektur, die für die gegenwärtigen und zukünftigen Herausforderungen konzipiert ist, einen Mentalitätswechsel. Das neue Sicherheitsmodell ist darauf angelegt, den sicheren Zugang zu internen Anwendungen, Internetdiensten, Cloud-Applikationen und Daten bereitzustellen und zu steuern – und zwar nicht mehr an bloß einem einzigen Ort. Der Perimeter ist jetzt eine dynamische Beziehung zwischen Benutzern, Daten und Anwendungen. Er definiert sich auf der Grundlage von Richtlinien jedes Mal neu, wann und wo immer er benötigt wird. Daher ist es an der Zeit, die Art und Weise, wie Unternehmen ihre Sicherheitsarchitektur gestalten, zu ändern, und den Perimeter neu zu denken.
Netskope bietet ein kostenloses SASE-Assessment an, das in nur 5 Minuten abgeschlossen ist – erfahren Sie mehr unter www.netskope.com/sase-assessment
Autor: Frank Mild, Country Manager DACH von Netskope
