Die Cloud als Innovationstreiber: Ganzheitliche Strategien, Konzepte und praktische Ratgeber für Ihr digitales Business.

Secure Access Service Edge

SASE ist ein Security-Konzept, das der Cloud gerecht wird

12.08.2021
SASE setzt sich immer mehr als die Netzwerk- und Security-Architektur der Cloud-Ära durch und ebnet den Weg hin zur digitalen Transformation. Allerdings sollte dieser Weg sorgfältig geplant werden.
Gut und sicher mit sicher mit dem Firmennetz verbunden, egal wo man gerade seinen Rechner aufklappt – SASE löst das Versprechen der digitalen Arbeitswelt ein.
Gut und sicher mit sicher mit dem Firmennetz verbunden, egal wo man gerade seinen Rechner aufklappt – SASE löst das Versprechen der digitalen Arbeitswelt ein.
Foto: Undrey - shutterstock.com

Spätestens seit März 2020, als praktisch über Nacht Tausende an Mitarbeitenden ins Homeoffice geschickt werden mussten, wissen IT-Verantwortliche, dass sie ihre bestehenden IT- Infrastrukturen grundlegend überdenken müssen. Zu groß waren – und sind bei vielen Unternehmen nach wie vor – die Herausforderungen mit überlasteten VPN-Leitungen und der IT-Sicherheit im Homeoffice. Und eigentlich ist den meisten längst bewusst, dass die immer stärkere Nutzung der Cloud-Anwendungen Veränderungen an ihren Netzwerk- und Security-Architekturen nach sich ziehen würde. Doch die schlagartige Wandlung der Arbeitswelt hat sie in Zugzwang gebracht.

Seitdem hat ein Run auf alternative Architekturen eingesetzt, denn Cloud-Anwendungen und dezentrale Arbeitswelten haben das tradierte Paradigma der geschützten Burgmauer in Form einer Firewall ins Wanken gebracht. Das Firmennetz ist kein örtlich fest definierbares Gebilde mehr, das mit eben einer solchen Burgmauer den Weg Richtung Internet streng kontrolliert. Die Cloud hat Anwendungen außerhalb des Rechenzentrums verlagert und es gibt zu viele Mitarbeitende außerhalb des Firmengebäudes, die einen sicheren Zugang zu Ressourcen aus dem eigenen Rechenzentrum wie auch zu Cloud-Anwendungen brauchen.

Alternativen sind jetzt gefragt, und SASE (Secure Access Service Edge, ausgesprochen „sassy“) kristallisiert sich für immer mehr Unternehmen als eine globale Netzwerk- und Sicherheitsarchitektur heraus, die künftigen Anforderungen Stand halten kann. Ihre besonderen Merkmale sind die Dezentralität und Variabilität. SASE kann sich flexibel der dezentralen Topologie von Cloud-Infrastrukturen anpassen. Zudem kann sich der Zugang nach dem jeweils geforderten Sicherheitsniveau richten (z.B. über einfache oder Zwei-Faktor-Authentifizierung).

Dezentral, flexibel und trotzdem sicher

Es ist genau diese Variabilität, die SASE etwas schwer zu fassen macht. Laut einer internationalen Umfrage von Sapio Research im Auftrag von Versa Networks unter 500 Sicherheits- und IT-Entscheidern in mittleren und großen Unternehmen konnten nur 31 Prozent der Befragten SASE korrekt definieren. Mit "korrekt" ist in diesem Zusammenhang die Definition von SASE als „Konvergenz von Netzwerk- und Sicherheitsdiensten wie CASB, FWaaS und ZTNA in einem einzigen Cloud-nativen Servicemodell“ gemeint. Und sie setzt natürlich voraus, dass man auch etwas über Cloud Access Security Broker (CASB), Firewalls as a Service (FWaaS) und Zero Trust Network Access (ZTNA) weiß, idealerweise auch über deren Zusammenspiel.

»

Webinar Cloud-Security

Bechtle SASE Webinar

SASE einfach und praxisnah

Erfahren Sie, was die Security-Strategie SASE (Secure Access Service Edge) auszeichnet und wie sie Ressourcen und Benutzer vernetzt.

Zum Webinar

Dennoch ist SASE auf dem Siegeszug: Laut Umfrage haben 34 Prozent der Unternehmen bereits im vergangenen Jahr SASE-Technologien eingeführt, weitere 30 Prozent planen dies in den nächsten sechs bis zwölf Monaten. Aus gutem Grund: "Der Anspruch dieser Technologie ist, für große wie für kleine Infrastrukturen zu funktionieren und je nach Anforderung verschiedene Module zur Sicherheit und Flexibilität zum Einsatz zu bringen", erklärt Christian Dittrich, Leiter des Competence Center Security bei Bechtle.

Zugleich weist er auf eine weitere Eigenschaft hin, die für das neue Verfahren spricht: "Man muss für SASE nicht gleich seine bisherige Sicherheitsarchitektur komplett ablösen oder gar den örtlich gebundenen Firewall-Perimeter ablösen. Es besteht durchaus die Möglichkeit, auch weiterhin sein eigenes Rechenzentrum und die eigenen Firewall-Systeme zu betreiben und die Stärken der Dezentralität der SASE-Technologie für die mobilen Homeoffice-Nutzer einführen." Dieser sanfte Übergang in ein neues Paradigma ist laut Dittrich verantwortlich dafür, dass nach Corona die Nachfrage nach SASE-Lösungen "durch die Decke gegangen" ist.

SASE ist standort- und leistungsoptimiert

Ein weiterer Grund liegt in der Tatsache, dass SASE-Implementationen gerne als Teil größerer Veränderungen an der IT-Infrastruktur aufgesetzt werden, beispielsweise im Vorfeld vor Public Cloud-Migrationen. Das Grundprinzip der Dezentralität ist dabei entscheidend. Bei der SASE-Infrastruktur handelt es sich um eine Software as a Service (SaaS) Technologie, die Cloud-nativ an globalen Rechenzentrumsstandorten bereitsteht. Dort werden Zugangs- und Zugriffsberechtigungen überprüft und der Datenverkehr an die jeweilige Cloud-Anwendung oder an das lokale Rechenzentrum weitergeleitet. Letztere sind wiederum über abgesicherte Verbindungen mit der SASE-Cloud verbunden.

Von einer so aufgesetzten, geografisch verteilten SASE-Cloud profitiert auch die Netzwerk-Performance, da der Verkehr bestmöglich zu jedem Punkt des Unternehmensnetzwerks geroutet wird. Hinzu kommt, dass Betreiber von SASE-Infrastrukturen wie Palo Alto Networks, Cisco oder Fortinet sehr leistungsfähige Anbindungen zu großen Public Cloud-Plattformen wie Microsoft Azure, AWS oder Salesforce unterhalten, sodass Latenzen gering und die Quality-of-Service hoch gehalten werden können.

Die Beschreibung dieses Setups lässt erahnen, dass das Aufsetzen einer SASE-Infrastruktur für ein größeres Unternehmen recht aufwändig sein kann. "Ein SASE-Projekt bedeutet für uns als ausgewiesener, spezialisierter Security Dienstleister, im ersten Schritt viel Beratung", sagt Christian Dittrich. Ein Großteil davon fällt für das Mapping der vorhandenen IT-Infrastruktur und der Anwendungslandschaft an. "Wir analysieren gemeinsam mit dem Kunden, welche Cloud Anwendungen heute genutzt werden. Dafür sammeln wir neben Interviews auch Informationen über die bisher eingesetzten Web-Proxy-und Firewall-Systeme. Auch lassen sich darüber Rückschlüsse ziehen, aus welchen Ländern die Mitarbeiter auf die Cloud-Anwendungen zugreifen, sodass wir die SASE-Cloud passend dimensionieren und in den jeweiligen Ländern bereitstellen können."

Fachbereiche wissen besser, was sie alles nutzen

Ein großer Teil dieser Evaluierung besteht darin, Workshops gemeinsam mit den Fachabteilungen der Kunden durchzuführen. Durch die in den letzten Jahren gewährte IT-Unabhängigkeit nutzen Fachbereiche häufig Cloud-Ressourcen, von denen die zentrale IT Organisation keine Kenntnis hat. "Nicht selten heißt es seitens der IT, dass nur zwei, drei Cloud-Anwendungen in einem bestimmten Fachbereich im Einsatz sind, in Wirklichkeit sind es aber mehrere Dutzend", erklärt Dittrich. "Gerade in Interviews gemeinsam mit den Fachbereichen versuchen wir den genauen Bedarf und die aktuellen Schwierigkeiten im Umgang mit den Cloud-Anwendungen zu verstehen, um dann sichere Anbindung, über einen Cloud Access Security Broker oder ein Zero Trust Network, bereitzustellen."

Christian Dittrich betont die Sorgfalt, mit der diese Aufgabe angegangen werden muss: "Wir verlagern die Security-Maßnahmen an einen anderen Punkt. Damit verändern wir den gesamten Paketfluss und verlagern damit den Bedarf der Bandbreiten. Deshalb werden mit einem sehr granularen Fragebogen gezielt diese Informationen gesammelt, um darauf basierend eine neue Sicherheitsarchitektur zu planen."

Der Entwurf der neuen Architektur ist zunächst herstellerunabhängig. Erst während des Projekts wird evaluiert, mit welchen Produkten welcher Hersteller die SASE-Cloud am besten zu realisieren ist. "Erst danach erstellen wir gemeinsam mit dem Kunden Migrationsszenarien, um klassische Firewall-Systeme abzubauen und einen Change-Prozess in Richtung der digitalen Transformation einzuleiten", erklärt Dittrich.

In diesem Webinar zeigt Christian Dittirch, mit welchen Möglichkeiten es Ihnen gelingt, den Bereich Cloud ab sofort nicht als Insel betreiben zu müssen, sondern als integraleren Bestandteil Ihrer Security-Strategie abzubilden.

Hier geht's zur Anmeldung.