Was ist SASE (Secure Access Service Edge)?

Secure Access Service Edge (SASE) ist eine neue Technologie, die traditionelle IT-Infrastruktur mit Clouddiensten verbindet, um eine breite Reihe von Nutzern an unterschiedlichen Standorten zu unterstützen. Nutzer verbinden sich traditionellerweise innerhalb eines festgelegten Perimeters an ihren Arbeitsplätzen mit einem Netzwerk. Der weltweite Trend hin zu einer Home-Office-Belegschaft hat IT und Cybersicherheit jedoch grundlegend verändert. Hier kommt SASE ins Spiel: Anstatt dass sich Nutzer auf mehreren Plattformen einzeln authentifizieren müssen, gibt ihnen SASE die Möglichkeit, über Rechenzentren auf alle ihre Clouddienste zuzugreifen. Diese Rechenzentren stellen Zugriffskontrollen zur Verfügung, mit denen Administratoren Nutzer verwalten und Cloud-Ressourcen steuern können.

In einem traditionellen WAN (Wide Area Network) haben Administratoren an verschiedenen Standorten Einzellösungen geschaffen. Jedes WAN-Segment besitzt eigene Firewalls, Netzwerkkomponenten und Nutzerverwaltung. Jedes Segment mündet in ein zentralisiertes Kontrollsegment, auf dem Server und andere Zugriffsverwaltungsmechanismen installiert werden können.

In einem SASE-Design werden diese Einzellösungen von Rechenzentren abgelöst, sodass sich Administratoren nicht mehr länger um physische Geräte kümmern müssen. Der Cloudanbieter stellt Firewalls und Zugriffsverwaltungswerkzeuge zur Verfügung, wodurch sich der Betriebsaufwand für Administratoren reduziert. Administratoren müssen die Cloud-Ressourcen immer noch verwalten, jedoch kümmert sich der Cloudanbieter um die physische Hardware.

Nutzer verbinden sich mit dem Netzwerk, doch anstatt dafür individuelle WAN-Geräte zu verwenden, verbinden sie sich mit Rechenzentren, in denen sich das Geschäftsnetzwerk befindet. Alle Dienste werden von Administratoren überwacht und gesteuert. Sie können Dienste in der Cloud bereitstellen und Nutzer autorisieren, auf sie zuzugreifen, anstatt verschiedene über das Internet verteilte Dienste verwalten zu müssen.

Immer, wenn sich die IT-Infrastruktur ändert, müssen sich die Sicherheitsmaßnahmen darum herum anpassen, damit der Schutz von Anwendungen und Unternehmensdaten gewahrt bleibt. Das SASE-Security-Modell versucht, Cybersicherheitsprobleme rund um traditionelle WAN-Architektur und jegliche neue Cloud-Ressourcen, die in der neuen Umgebung bereitgestellt werden, zu lösen.

Bei den Networking- und Sicherheitskomponenten in einem SASE-Modell handelt es sich vorwiegend um neue Technologie, aber sie sind so anlegt, dass sie zusammen mit WANs, die bereits in der Cloud integriert sind, funktionieren. Das Hinzufügen von SASE-Funktionalität ist notwendig für eine stabile Nutzerumgebung. Zu der im SASE-Modell eingesetzten Technologie gehört:

• SD-WAN: Ein Software-Defined-Wide-Area-Network (SD-WAN) verbindet alle Nutzer per Fernzugriff und verwaltet deren private Netzwerke. Das SD-WAN verbindet Nutzer mit Rechenzentren. Clouddienstleister statten diese Rechenzentren normalerweise mit mehreren Points-of-Presence-Standorten (PoP-Standorten) aus. Mit welchem Rechenzentrum (oder mit welcher Gruppe an Rechenzentren) sich ein Nutzer verbindet, hängt von seinem Standort ab. Indem sie Nutzer mit Rechenzentren in der Nähe verbinden, verbessern SD-WANs die Performance. Netzwerktraffic bewegt sich zwischen Rechenzentren anstatt über das Internet, wodurch sich die Latenzzeit verkürzt.
• Zero Trust: In einer traditionellen Umgebung wird mit dem Netzwerk verbundenen Nutzern normalerweise vertraut. Insider-Bedrohungen sind jedoch ein echtes Problem für Unternehmen. Dabei installieren Nutzer bewusst oder unbewusst Malware oder geben Informationen an Angreifer weiter. Eine Zero-Trust-Richtlinie ist für ein WAN essenziell. Bei einem SASE-Security-Modell wird Zero Trust in allen Netzwerksegmenten und bei jedem Datenzugriff angewandt, wobei Autorisierung nach dem Prinzip „so wenige Berechtigungen wie möglich“ gehandhabt wird.
• Clouddienste: Der Einsatz von Clouddiensten ist im Networking nichts Neues, aber im SASE-Modell verbinden sich Nutzer von ihrem Arbeitscomputer aus nicht direkt mit dem Clouddienst. Stattdessen verbinden sie sich mit dem Unternehmensnetzwerk, das sich in einem Cloud-Rechenzentrum befindet, und nutzen Unternehmensnetzwerkressourcen, um sich mit Anwendungen zu verbinden. Dies gibt Administratoren die Fähigkeit, Zugriffe zu überwachen und Zugriffskontrollen zu zentralisieren.
• Identity Access Management (IAM): Indem sie Nutzer dazu zwingen, sich erst mit dem Netzwerk zu verbinden, bevor sie auf Cloudressourcen zugreifen können, können Administratoren die Zugriffe kontrollieren und dabei auf Identity Management statt IP-Adressen zurückgreifen. Indem sie Autorisierungsstufen in verschiedene Gruppen aufteilen, können sie Zugriffe über verschiedene Ressourcen hinweg leichter verwalten und Berechtigungen, wenn nötig, entziehen.

Jede Änderung an der IT-Struktur bringt Investitionskosten mit sich, weshalb Unternehmen erst wissen wollen, welche Vorteile sie davon haben, bevor sie mit der Umstrukturierung des Netzwerks loslegen. Auch unter Berücksichtigung der Anlaufkosten spart Ihnen SASE langfristig Geld und bietet mehrere weitere Vorteile:

Geringere Kosten

Statt mehrere Einzelprodukte zu kaufen und zu verwalten, um verschiedene WAN-Segmente zu bedienen und zu sichern, kann eine Organisation Kosten einsparen, indem sie Rechenzentrumsressourcen sowie ein zentralisiertes Verwaltungssystem nutzt.

Verbesserte Performance

Das Geschäftsnetzwerk innerhalb der Rechenzentren ist mit eigenem Netzwerk-Rückgrat und -Infrastruktur ausgestattet. Nutzer verbinden sich mit dem Rechenzentrum, das ihrem Standort am nächsten liegt, wodurch sich die Netzwerklatenz verringert.

Weniger Komplexität

Bei traditioneller Infrastruktur muss die IT jede einzelne Komponente über WAN-Segmente hinweg verwalten. Mit SASE befindet sich das Netzwerk in der Cloud im Rechenzentrum, was die Zahl der Komponenten, um die sich Administratoren kümmern müssen, reduziert. Das gleiche gilt für die Komplexität des Netzwerks.

Bessere IAM

Statt IP-Adressen verwalten Administratoren Nutzer und Nutzergruppen. Dieses zentralisierte und strukturierte IAM sorgt für verbesserte Sicherheit und Zugriffskontrollen.

Da es sich bei SASE um eine neue Netzwerkarchitekturmethodologie handelt, fürchten manche Administratoren Nachteile. Immer der neuesten Technologie oder den neuesten Prozessen nachzujagen, kann am Ende teuer werden, insbesondere, wenn sie sich nicht als die bessere Alternative herausstellen oder der Organisation kein Geld sparen. Die falsche Technologie kann für IT-Teams verheerend sein und der Art, wie Systeme verwaltet werden, unnötige Komplexität hinzufügen.

Es gibt nur wenige wirkliche Nachteile von SASE, aber in diesen Punkten könnten Administratoren Herausforderungen sehen:

• Ein Single Point of Failure: Wenn es nicht ordentlich konfiguriert ist, kann ein SASE einen Single Point of Failure darstellen, vor allem für Remote-Nutzer. Nutzer, die sich nicht mit dem lokalen Netzwerk verbinden können, haben keinen Zugriff auf die notwendigen Produktivitätstools und -Dienste.
• Abhängigkeit von einem einzigen Cloudanbieter: Sobald das Netzwerk einmal auf Cloud-Rechenzentren angewiesen ist, sind Unternehmen an einen einzigen Anbieter gebunden. Jegliche Preisänderung oder Änderungen an der Cloudarchitektur des Anbieters beeinflussen das Geschäft und können Administratoren dazu zwingen, die Netzwerkkonfiguration anzupassen.

Diese Herausforderungen lassen sich durch die Nutzung eines Multi-Cloud-Designs lösen, bei dem ein Anbieter als Ausfallsicherung fungiert und ein anderer die tägliche Produktivität sicherstellt. Diese Lösung ist jedoch kostspielig. Organisationen, die mehrere Remote-Nutzer und Cloud-Ressourcen besitzen, profitieren trotz der Herausforderungen am meisten von SASE. Die Kosten, die mit einem katastrophalen Systemversagen einhergehen, übertreffen die Kosten einer Ausfallsicherung um einiges.