SASE
Die Netzwerksicherheit wandert in die Cloud
von
Bernd
Reder - 11.11.2020
Foto: ProStockStudio / shutterstock.com
Security Access Service Edge - kurz SASE schützt cloudbasiert den Zugriff von Menschen und Dingen im Firmennetz. Die Corona-Pandemie dürfte diesem Ansatz deutlich an Schub verleihen.
SASE-Management: Die unterschiedlichen Funktionen sollten über ein zentrales Dashboard verfügbar sein.
(Quelle: Bild: Forcepoint)
Ausgangspunkt ist die These, dass sich die Rolle des Unternehmensrechenzentrums drastisch wandelt. Das bestätigt Steffen Brieger, Director Vendor Management beim Distributor Nuvias Deutschland. „Seit dem Aufkommen von Cloud, Mobility und Edge-Computing ist das private Rechenzentrum nicht mehr das Epizentrum des Unternehmensnetzwerks. Die Corona-Pandemie hat diese Entwicklung beschleunigt“, sagt Brieger. Der Grund ist, dass Mitarbeiter heute im Homeoffice oder von unterwegs aus verstärkt Collaboration-Plattformen wie Microsoft Teams und Videokonferenz-Software wie Zoom einsetzen. „Das trägt zur Verlagerung von Unternehmensdiensten und Anwendungen in die Public Cloud bei und beschleunigt außerdem die digitale Transformation“, so Brieger weiter.
Doch diese Entwicklung erfordert ein Umdenken, ergänzt Michael von der Horst, Managing Director Cyber Security bei Cisco: „Im Hinblick auf die Netzwerksicherheit stellen Homeoffice, Software-as-a-Service-Anwendungen und das Internet der Dinge Unternehmen vor große Herausforderungen.“ Hier komme SASE ins Spiel: „Eine vollständig integrierte, cloudnative Sicherheitslösung kann neben dem Rechenzentrum auch die Ränder von Netzwerkverbindungen von Rechenzentren, Zweigstellen und Cloud-Umgebungen absichern.“
Die Kernelemente von SASE
Gartner hat in seinem Konzeptpapier etwa 20 Komponenten definiert, die eine SASE-Plattform umfassen kann. Im Kern besteht der Ansatz aus einer Netzwerkarchitektur (Framework), die Weitverkehrstechniken (WAN, Wide Area Network) mit cloudnativen Netzwerksicherheitsfunktionen kombiniert. Zu den Sicherheitskomponenten gehören beispielsweise Secure-Web-Gateways, eine Zero-Trust-Zugangskontrolle (ZTNA), Next Generation Firewalls (NGFW) sowie Cloud Access Security Broker (CASB).
Je nach Anbieter können weitere Funktionen hinzukommen, etwa Intrusion-Detection-/-Prevention-Lösungen und Sicherheits-Software, die das Abfangen geschäftskritischer Daten verhindert (Data Loss Prevention). Auch bei den Wide Area Networks zeigt sich der Ansatz flexibel: „Für Akamai sind Content Delivery Networks ein vordefinierter Baustein von SASE. Marktforscher räumen daher CDN-Service-Providern gute Chancen auf diesem Markt ein“, sagt beispielsweise Gerhard Giese, Industry Analyst bei Akamai Deutschland. Daher werden neben klassischen IT-Security-Unternehmen und Anbietern von Software-defined WANs (SD-WANs) nun auch CDN-Spezialisten wie Akamai und Cloudflare im Bereich SASE aktiv. Sie stellen Points of Presence (PoPs) zur Verfügung, über die Nutzer auf eine SASE-Plattform zugreifen können. Ein solcher Zugangspunkt sollte sich nach Möglichkeit in der Nähe des Standorts des Users befinden, damit die Verzögerungszeiten (Latenzen) möglichst gering ausfallen, wenn dieser auf Sicherheitsfunktionen zugreift.
Für Steffen Brieger von Nuvias sind außerdem ein Identity Management und Funktionen, die den Datenfluss überwachen und auf Malware oder Angriffsmuster hin inspizieren, ein integraler Bestandteil von SASE. Das gilt auch für verschlüsselte Verbindungen. Wichtig ist zudem ein sogenanntes Policy Enforcement. Es stellt sicher, dass Endgeräte und User vorgegebene Regeln einhalten. Ein Beispiel: Ein Nutzer darf nicht über ein ungeschütztes Wireless LAN oder von einem Endgerät mit veraltetem Malware-Schutz auf Unternehmensapplikationen zugreifen. Sollte er es dennoch versuchen, wird die Verbindung automatisch unterbrochen und das System in Quarantäne gesteckt.