Die Netzwerksicherheit wandert in die Cloud
Die Rolle von SD-WANs
von Bernd Reder - 11.11.2020
Ein Schlüsselbegriff, der im Zusammenhang mit SASE im wieder auftaucht, sind Software-defined WANs (SD-WANs). Solche Weitverkehrsnetze bestehen aus einer virtualisierten Overlay-Ebene, die über unterschiedliche physische WAN-Verbindungen gelegt wird: klassische Weitverkehrsverbindungen auf Basis des Multi-Protocol-Label-Switching-Protokolls (MPLS), Breitband-Internet-Links sowie Mobilfunkverbindungen. Je nach Verfügbarkeit und Qualität kombiniert ein SD-WAN solche Links zu virtuellen Übermittlungskanälen.
Für Carsten Hoffmann, Manager Sales Engineering bei Forcepoint in München, ist daher ein SD-WAN ein legitimer Bestandteil einer SASE-Strategie: „Immer mehr Unternehmen verbinden ihre mobilen und Remote-Mitarbeiter sowie ihre Niederlassungen via SD-WAN direkt mit dem Internet und Cloud-Anwendungen. Das tun sie, um einen Umweg des Datenflusses über das zentrale Rechenzentrum zu vermeiden, der zu schwacher Performance, hohen Latenzen, Verbindungsabbrüchen und auch hohen Kosten führt.“
Der Nachteil dieses Ansatzes: Dabei umgehen Anwender auch die Security-Gateways, die zentral im Unternehmensrechenzentrum installiert sind. „Indem SASE die Security in die Cloud bringt, löst es dieses Problem. Die Unternehmen müssen also nicht ihr Corporate WAN umbauen, um SASE zu nutzen; sondern sie sollten SASE nutzen, weil sie ihr Corporate WAN umbauen“, betont Hoffmann. Denn es zeichnet sich deutlich ab, dass herkömmliche Unternehmensnetze nach dem Nabe-Speiche-Muster (das Unternehmens-Datacenter als Nabe, Außenstellen und Remote-Mitarbeiter als Speichen) durch flexiblere Modelle wie SD-WANs abgelöst werden.
Remote-Access und Cloud-Apps
Einig sind sich IT-Fachleute über die Hauptaufgabe von Security Access Service Edge: „Sie besteht darin, jeden Mitarbeiter mit der gewünschten Anwendung zu verbinden, und zwar auf sichere Art und mit Hilfe einer einheitlichen Form von ‚Connectivity‘, egal ob im Büro, unterwegs oder zu Hause“, erläutert beispielsweise Nathan Howe, Director of Transformation Strategy beim IT-Security-Unternehmen Zscaler. (siehe auch nebenstehendes Interview). Der Zugang zu Daten und Anwendungen, etwa in einer Cloud, sollte außerdem automatisch auf die passende Weise konfiguriert werden.
In der Praxis heißt das beispielsweise, dass sich der Nutzer eines Notebooks oder Tablets nicht mehr darum kümmern muss, ob er die Sicherheitsvorgaben seines Arbeitgebers einhält, wenn er im Zug oder Homeoffice geschäftliche E-Mails checkt oder auf eine SAP-Anwendung in der Cloud zugreift. Die Sicherheitseinstellungen seines Endgeräts passt die SASE-Plattform automatisch an. „Ein Nutzer muss sich beispielsweise keine Gedanken mehr darüber machen, ob er ein Virtual Private Network starten muss oder nicht“, so Carsten Hoffmann.
Trotz dieser Sicherheitsvorkehrungen ist es wichtig, dass die Privatsphäre des Nutzers unangetastet bleibt, sagt Tom Davison, Technical Director EMEA beim IT-Sicherheitsspezialisten Lookout Mobile Security: „Als IT- oder Security-Spezialist muss ich nicht wissen, welche App ein Nutzer gerade auf sein Smartphone, Tablet oder Notebook heruntergeladen hat. Für mich ist dagegen wichtig, ob das System dadurch zu einem Sicherheitsrisiko wird, wenn es auf Geschäftsdaten oder entsprechende Anwendungen zugreift.“ In diesem Fall könne SASE den Zugang unterbinden, bis das Problem gelöst sei.