Die Netzwerksicherheit wandert in die Cloud
Security Access Service Edge - kurz SASE schützt cloudbasiert den Zugriff von Menschen und Dingen im Firmennetz. Die Corona-Pandemie dürfte diesem Ansatz deutlich an Schub verleihen.
SASE-Management: Die unterschiedlichen Funktionen sollten über ein zentrales Dashboard verfügbar sein. (Quelle: Bild: Forcepoint) Bei „Sassy“ dürften viele Menschen bestenfalls auf den Namen eines Haustiers oder eines Hip-Hop-Stars tippen. Weit gefehlt, denn auf diese Weise spricht man die Abkürzung SASE aus. Sie steht für Security Access Service Edge. Dahinter verbirgt sich eine cloudbasierte Sicherheitsarchitektur für Netzwerke und IT-Systeme, von denen aus Nutzer auf Anwendungen und Daten zugreifen. Vorgestellt wurde SASE im Sommer 2019 von Experten des Beratungsunternehmens Gartner.
Ausgangspunkt ist die These, dass sich die Rolle des Unternehmensrechenzentrums drastisch wandelt. Das bestätigt Steffen Brieger, Director Vendor Management beim Distributor Nuvias Deutschland. „Seit dem Aufkommen von Cloud, Mobility und Edge-Computing ist das private Rechenzentrum nicht mehr das Epizentrum des Unternehmensnetzwerks. Die Corona-Pandemie hat diese Entwicklung beschleunigt“, sagt Brieger. Der Grund ist, dass Mitarbeiter heute im Homeoffice oder von unterwegs aus verstärkt Collaboration-Plattformen wie Microsoft Teams und Videokonferenz-Software wie Zoom einsetzen. „Das trägt zur Verlagerung von Unternehmensdiensten und Anwendungen in die Public Cloud bei und beschleunigt außerdem die digitale Transformation“, so Brieger weiter.
Doch diese Entwicklung erfordert ein Umdenken, ergänzt Michael von der Horst, Managing Director Cyber Security bei Cisco: „Im Hinblick auf die Netzwerksicherheit stellen Homeoffice, Software-as-a-Service-Anwendungen und das Internet der Dinge Unternehmen vor große Herausforderungen.“ Hier komme SASE ins Spiel: „Eine vollständig integrierte, cloudnative Sicherheitslösung kann neben dem Rechenzentrum auch die Ränder von Netzwerkverbindungen von Rechenzentren, Zweigstellen und Cloud-Umgebungen absichern.“
Steffen Brieger Director Vendor Management bei Nuvias Deutschland GmbH www.nuvias.com/de-de Foto: Nuvias „Seit dem Aufkommen von Cloud, Mobility und Edge Computing ist das private Rechenzentrum nicht mehr das Epizentrum des Unternehmensnetzwerkes. Die Corona-Pandemie hat diese Entwicklung beschleunigt.“
Gartner hat in seinem Konzeptpapier etwa 20 Komponenten definiert, die eine SASE-Plattform umfassen kann. Im Kern besteht der Ansatz aus einer Netzwerkarchitektur (Framework), die Weitverkehrstechniken (WAN, Wide Area Network) mit cloudnativen Netzwerksicherheitsfunktionen kombiniert. Zu den Sicherheitskomponenten gehören beispielsweise Secure-Web-Gateways, eine Zero-Trust-Zugangskontrolle (ZTNA), Next Generation Firewalls (NGFW) sowie Cloud Access Security Broker (CASB).
Je nach Anbieter können weitere Funktionen hinzukommen, etwa Intrusion-Detection-/-Prevention-Lösungen und Sicherheits-Software, die das Abfangen geschäftskritischer Daten verhindert (Data Loss Prevention). Auch bei den Wide Area Networks zeigt sich der Ansatz flexibel: „Für Akamai sind Content Delivery Networks ein vordefinierter Baustein von SASE. Marktforscher räumen daher CDN-Service-Providern gute Chancen auf diesem Markt ein“, sagt beispielsweise Gerhard Giese, Industry Analyst bei Akamai Deutschland. Daher werden neben klassischen IT-Security-Unternehmen und Anbietern von Software-defined WANs (SD-WANs) nun auch CDN-Spezialisten wie Akamai und Cloudflare im Bereich SASE aktiv. Sie stellen Points of Presence (PoPs) zur Verfügung, über die Nutzer auf eine SASE-Plattform zugreifen können. Ein solcher Zugangspunkt sollte sich nach Möglichkeit in der Nähe des Standorts des Users befinden, damit die Verzögerungszeiten (Latenzen) möglichst gering ausfallen, wenn dieser auf Sicherheitsfunktionen zugreift.
Für Steffen Brieger von Nuvias sind außerdem ein Identity Management und Funktionen, die den Datenfluss überwachen und auf Malware oder Angriffsmuster hin inspizieren, ein integraler Bestandteil von SASE. Das gilt auch für verschlüsselte Verbindungen. Wichtig ist zudem ein sogenanntes Policy Enforcement. Es stellt sicher, dass Endgeräte und User vorgegebene Regeln einhalten. Ein Beispiel: Ein Nutzer darf nicht über ein ungeschütztes Wireless LAN oder von einem Endgerät mit veraltetem Malware-Schutz auf Unternehmensapplikationen zugreifen. Sollte er es dennoch versuchen, wird die Verbindung automatisch unterbrochen und das System in Quarantäne gesteckt.
Alternativen zu SASE Unternehmen müssen nicht zwangsläufig auf ein SASE-Modell setzen, so Gartner. Nach Einschätzung des Beratungsunternehmens gibt es durchaus Alternativen. Allerdings weisen etliche von ihnen Schwächen auf. Hardware-Appliances in Niederlassungen: Sie verbinden die Systeme am Edge des Netzwerks mit dem Firmenrechenzentrum und Cloud-Ressourcen. Mit an Bord sind Security-Funktionen. Die Nachteile: die Kosten für die Hardware, auch bedingt durch Release-Wechsel, sowie die begrenzte Flexibilität einer solchen Infrastruktur. Software-basierte Infrastruktur in Außenstellen: Die Basis sind Software-Appliances in den Niederlassungen mit virtualisierten Sicherheits- und Netzwerkfunktionen. Alternativ dazu kann ein solches System auf Cloud-Services zurückgreifen. Auf diese Weise, so Gartner, lassen sich SASE-Services bereitstellen. Der Nachteil ist, dass der Anwender sich mit unterschiedlichen Anbietern und Managementkonsolen arrangieren muss. SASE selbst implementieren: Statt eine SASE-Lösung von einem Anbieter zu beziehen, können Anwender eine solche Infrastruktur selbst zusammenstellen. Das erfolgt mittels Service-Chaining: IT-Sicherheitskomponenten unterschiedlicher Anbieter werden miteinander kombiniert. Das gilt für Lösungen, die via Cloud und mittels Virtualisierung von Netzwerkfunktionen (Network Function Virtualization) bereitgestellt werden. Der Vorteil: keine Bindung an einen einzelnen Anbieter. Der Nachteil: eine komplexe Infrastruktur, die einen höheren Aufwand bei der Implementierung und im Betrieb erfordert. Service-Chaining mit Unterstützung eines Providers: Ein Carrier, Service-Provider oder IT-Security-Anbieter übernimmt das Chaining der virtualisierten Sicherheitsservices. Das entlastet die hauseigene IT-Abteilung. Problematisch ist, dass möglicherweise unterschiedliche Frameworks und Managementkonsolen zum Einsatz kommen. SD-WAN und Netzwerksicherheit „as a Service“ von zwei Anbietern: Damit werden Sicherheits- und Connection-Services in organisatorischer Hinsicht separiert. Auch das verringert die Abhängigkeit von einem Anbieter, bringt jedoch eine höhere Komplexität mit sich.
Unternehmen müssen nicht zwangsläufig auf ein SASE-Modell setzen, so Gartner. Nach Einschätzung des Beratungsunternehmens gibt es durchaus Alternativen. Allerdings weisen etliche von ihnen Schwächen auf.
Hardware-Appliances in Niederlassungen: Sie verbinden die Systeme am Edge des Netzwerks mit dem Firmenrechenzentrum und Cloud-Ressourcen. Mit an Bord sind Security-Funktionen. Die Nachteile: die Kosten für die Hardware, auch bedingt durch Release-Wechsel, sowie die begrenzte Flexibilität einer solchen Infrastruktur.
Software-basierte Infrastruktur in Außenstellen: Die Basis sind Software-Appliances in den Niederlassungen mit virtualisierten Sicherheits- und Netzwerkfunktionen. Alternativ dazu kann ein solches System auf Cloud-Services zurückgreifen. Auf diese Weise, so Gartner, lassen sich SASE-Services bereitstellen. Der Nachteil ist, dass der Anwender sich mit unterschiedlichen Anbietern und Managementkonsolen arrangieren muss.
SASE selbst implementieren: Statt eine SASE-Lösung von einem Anbieter zu beziehen, können Anwender eine solche Infrastruktur selbst zusammenstellen. Das erfolgt mittels Service-Chaining: IT-Sicherheitskomponenten unterschiedlicher Anbieter werden miteinander kombiniert. Das gilt für Lösungen, die via Cloud und mittels Virtualisierung von Netzwerkfunktionen (Network Function Virtualization) bereitgestellt werden. Der Vorteil: keine Bindung an einen einzelnen Anbieter. Der Nachteil: eine komplexe Infrastruktur, die einen höheren Aufwand bei der Implementierung und im Betrieb erfordert.
Service-Chaining mit Unterstützung eines Providers: Ein Carrier, Service-Provider oder IT-Security-Anbieter übernimmt das Chaining der virtualisierten Sicherheitsservices. Das entlastet die hauseigene IT-Abteilung. Problematisch ist, dass möglicherweise unterschiedliche Frameworks und Managementkonsolen zum Einsatz kommen.
SD-WAN und Netzwerksicherheit „as a Service“ von zwei Anbietern: Damit werden Sicherheits- und Connection-Services in organisatorischer Hinsicht separiert. Auch das verringert die Abhängigkeit von einem Anbieter, bringt jedoch eine höhere Komplexität mit sich.