Secure Access Service Edge

Was Sie über SASE wissen sollten

04.08.2020
Von 
Zeus Kerravala ist Gründer und CHefanalyst bei ZK Research. Er schreibt für unsere US-Schwesterpublikation Network World.
Secure Access Service Edge (SASE) ist der nächste Schritt der Security-Transformation - die Netzwerksicherheit wird in die Cloud verlagert. Das sollten Sie jetzt zum Thema wissen.
Mit Secure Access Service Edge (SASE) sollen Unternehmensnetzwerke fit für die Zukunft werden. Das sollten Sie jetzt zum Thema wissen.
Mit Secure Access Service Edge (SASE) sollen Unternehmensnetzwerke fit für die Zukunft werden. Das sollten Sie jetzt zum Thema wissen.
Foto: Quardia - shutterstock.com

SD-WANs stellten bei ihrer Einführung einen Quantensprung dar, ermöglichten sie doch eine wesentlich effizientere Nutzung von Netzwerken. Eine Transformation blieb jedoch aus - das Rechenzentrum war weiterhin Schlüsselelement für die Unternehmens-Security. Mit Secure Access Service Edge findet nun ein Paradigmenwechsel statt: Mit der Transformation soll der Tatsache Rechnung getragen werden, dass Benutzer und Services zunehmend mobil sind und auch eine externe Nutzung stattfindet. Unternehmen, die auf das SASE-Modell setzen wollen, sollten sich in erster Linie im Klaren darüber sein, dass:

  • es verschiedene Wege gibt, Secure Access Service Edge zu implementieren;

  • ein SASE-Modell an zukünftige Geschäftserfordernisse und Legacy-Netzwerke angepasst werden sollte.

Secure Access Service Edge - Definition

Geprägt wurde der Begriff Secure Access Service Edge vom Analystenhaus Gartner. Demnach stellt SASE ein Modell dar, dass Security als Netzwerk-Funktionalität definiert und als Cloud Service ausliefert.

Da die IT-Realität in vielen Unternehmen jedoch anders aussieht, könnte man SASE auch als Managed Service Package definieren: Also als eine Security-Architektur, für die Infrastruktur über die Cloud gemanagt wird.

SASE - Wozu ist das gut?

Eine wesentliche Herausforderung von SD-WANs ist, dass die Technologie neue Sicherheitsprobleme mit sich bringt. Zwar vereinfachen SD-WANs beispielsweise, für einzelne Filialen oder Geschäftsstellen einen VPN-Split- Tunnel zu konfigurieren, so dass die User direkt auf die Cloud zugreifen können und nicht erst den Umweg über Unternehmens-WAN und Rechenzentrum nehmen müssen. Das verbessert die User Experience und die Effizienz der Netzwerknutzung - schafft aber auch neue Security-Löcher.

Die ließen sich beispielsweise stopfen, indem jede Filiale mit einer eigenen Firewall ausgestattet wird. Das ist jedoch einerseits teuer, andererseits bedeutet es einen immensen organisatorischen Aufwand, dutzende oder gar hunderte von Firewalls gleichzeitig zu administrieren und auf dem aktuellen Security-Stand zu halten. SASE adressiert dieses Problem, indem es Security-Funktionalitäten in Service-Form in das Netzwerk integriert. Gemanagt werden Security und Netzwerk über die Cloud, so dass Administratoren Änderungen einmal durchführen und sie auf sämtliche Lokationen ausrollen können.

Die Integration von IT-Sicherheit und Networking stellt nicht nur eine Weiterentwicklung des WAN dar, sondern auch eine Transformation: Zweigstellen und Unternehmensstandorte können sowohl über traditionelle WANs als auch über SD-WANs verbunden und abgesichert werden. Damit ermöglicht Secure Access Service Edge Unternehmen, Remote Worker, IoT-Endpunkte und alles andere mit sicherer Konnektivität auszustatten.

Secure Access Service Edge - Modelle

Unternehmen, die künftig auf SASE setzen wollen, stehen verschiedene Bezugsmodelle zur Wahl. Die wichtigsten im Überblick:

Cloud-native SASE

Laut der Definition von Gartner werden im Fall von Cloud-native SASE alle Netzwerk- und Security-Services über die Cloud zur Verfügung gestellt. Die einzige On-Premises-Infrastruktur wäre demnach ein kleines Hardware Device, das - ganz ähnlich wie ein Heimrouter - die Verbindung zur Cloud-Instanz herstellt. Seit kurzem bieten einige SASE-Anbieter auch Software Clients an, die Rechner oder IoT-Endpunkte direkt mit der Cloud verbinden, wodurch zusätzliche Hardware überflüssig wird.

Der Vorteil von Cloud-native Secure Access Service Edge: Jede Umgebung - auch einzelne Devices - können mit Sicherheits- und Netzwerkservices auf Enterprise-Niveau versorgt werden. Der Nachteil: In größeren Umgebungen sorgt SASE für massiven Netzwerk-Traffic, weil sämtliche Sicherheitsprüfungen in der Cloud durchgeführt werden. Cloud-native SASE eignet sich daher am besten für verteilte Organisationen mit vielen kleinen Einheiten, sprich Zweigstellen oder Filialen - etwa Versicherungsunternehmen oder Firmen in der Retail-Branche.

Cloud-managed On-Premises SASE

Der Cloud-Zug rollt unaufhörlich - dennoch hat On-Premises-Infrastruktur weiterhin eine Existenzberechtigung. Secure Access Service Edge kann aus der Cloud gemanagt werden - während alle Betriebseinheiten beziehunsgweise Filialen vor Ort weiterhin eigene Router, Firewalls, Unified-Threat-Management-Systeme und andere Security Appliances betreiben. Deren Management über die Cloud ist dabei erfolgskritisch, weil die Nutzungsbarrieren so drastisch sinken. Der große Vorteil dieses Modells: Security-Prüfungen laufen auf lokaler Ebene ab, was die Performance in weitläufigen Umgebungen steigert. Der offensichtliche Nachteil liegt darin, jeden Ort mit entsprechender Hardware ausstatten zu müssen.

Dabei sollten Sie nicht außer Acht lassen, dass ein aus der Cloud gemanagtes On-Premises SASE in gewisser Weise auch Investments schützt: Wenn Ihr Unternehmen erst vor kurzem On-Premises-Infrastruktur aufgebaut oder modernisiert hat, wird sich die Bereitschaft, diese gleich wieder über Bord zu werfen, in Grenzen halten. Ein Cloud-managed-Ansatz ermöglicht es den Unternehmen, ihre neu angeschafften Router, Firewalls und andere Devices weiterhin einzusetzen.

Cloud-managed On-Premises SASE eignet sich vor allem für Unternehmen, bei denen hunderte oder tausende Mitarbeiter in einer Umgebung arbeiten - also beispielweise in der industriellen Produktion oder im Healthcare-Bereich. Auch Unternehmen, die einen DIY-Ansatz bevorzugen, fahren mit diesem Modell am besten.

Managed SASE

Secure Access Service Edge bietet eine Menge Vorteile, macht das WAN aber auch komplexer: Netzwerk-Profis müssen sich mit zahlreichen Fragen herumschlagen - etwa wie Security-Funktionalitäten ausgerollt oder wie User Profile angelegt werden müssen. Nicht jedes Unternehmen hat hierfür das nötige Inhouse-Knowhow parat.

Managed Secure Access Service Edge hat den Vorteil, dass ein erfahrener Dienstleister das Netzwerk konfiguriert und betreibt. Der Nachteil ist ein Kontrollverlust. Wobei einige Managed Service Provider (MSPs) inzwischen auch Co-managed Services anbieten: Hierbei entscheiden die Unternehmen, welche Tasks sie selbst erledigen und welche Funktionalitäten an den MSP ausgelagert werden. Managed SASE empfiehlt sich vor allem für Unternehmen, die möglichst schnell auf Secure Access Service Edge setzen möchten und dabei auch bereit sind, das Risiko eines Kontrollverlusts einzugehen.

Hybride Optionen

Nicht wenige Unternehmen - vor allem große - werden sich für eine Mischform entscheiden und Cloud-native mit On-Premises SASE kombinieren. Stellen Sie sich eine global operierende Anwaltskanzlei vor, die in jedem Land ein bis zwei Büros mit mehreren hundert Angestellten betreibt: In diesem Szenario kann das Unternehmen für die physischen Büros eine Security-Infrastruktur auf On-Premises-Basis einsetzen, während Remote Worker über einen Cloud-nativen Service eingebunden werden. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Network World.