11.11.2020
SASE
1. Teil: „Die Netzwerksicherheit wandert in die Cloud“
Die Netzwerksicherheit wandert in die Cloud
Autor: Bernd Reder
ProStockStudio / shutterstock.com
Security Access Service Edge - kurz SASE schützt cloudbasiert den Zugriff von Menschen und Dingen im Firmennetz. Die Corona-Pandemie dürfte diesem Ansatz deutlich an Schub verleihen.
Netzwerke und IT-Systeme, von denen aus Nutzer auf Anwendungen und Daten zugreifen. Vorgestellt wurde SASE im Sommer 2019 von Experten des Beratungsunternehmens Gartner.
Bei „Sassy“ dürften viele Menschen bestenfalls auf den Namen eines Haustiers oder eines Hip-Hop-Stars tippen. Weit gefehlt, denn auf diese Weise spricht man die Abkürzung SASE aus. Sie steht für Security Access Service Edge. Dahinter verbirgt sich eine cloudbasierte Sicherheitsarchitektur für Ausgangspunkt ist die These, dass sich die Rolle des Unternehmensrechenzentrums drastisch wandelt. Das bestätigt Steffen Brieger, Director Vendor Management beim Distributor Nuvias Deutschland. „Seit dem Aufkommen von Cloud, Mobility und Edge-Computing ist das private Rechenzentrum nicht mehr das Epizentrum des Unternehmensnetzwerks. Die Corona-Pandemie hat diese Entwicklung beschleunigt“, sagt Brieger. Der Grund ist, dass Mitarbeiter heute im Homeoffice oder von unterwegs aus verstärkt Collaboration-Plattformen wie Microsoft Teams und Videokonferenz-Software wie Zoom einsetzen. „Das trägt zur Verlagerung von Unternehmensdiensten und Anwendungen in die Public Cloud bei und beschleunigt außerdem die digitale Transformation“, so Brieger weiter.
Doch diese Entwicklung erfordert ein Umdenken, ergänzt Michael von der Horst, Managing Director Cyber Security bei Cisco: „Im Hinblick auf die Netzwerksicherheit stellen Homeoffice, Software-as-a-Service-Anwendungen und das Internet der Dinge Unternehmen vor große Herausforderungen.“ Hier komme SASE ins Spiel: „Eine vollständig integrierte, cloudnative Sicherheitslösung kann neben dem Rechenzentrum auch die Ränder von Netzwerkverbindungen von Rechenzentren, Zweigstellen und Cloud-Umgebungen absichern.“
Die Kernelemente von SASE
Gartner hat in seinem Konzeptpapier etwa 20 Komponenten definiert, die eine SASE-Plattform umfassen kann. Im Kern besteht der Ansatz aus einer Netzwerkarchitektur (Framework), die Weitverkehrstechniken (WAN, Wide Area Network) mit cloudnativen Netzwerksicherheitsfunktionen kombiniert. Zu den Sicherheitskomponenten gehören beispielsweise Secure-Web-Gateways, eine Zero-Trust-Zugangskontrolle (ZTNA), Next Generation Firewalls (NGFW) sowie Cloud Access Security Broker (CASB).
Je nach Anbieter können weitere Funktionen hinzukommen, etwa Intrusion-Detection-/-Prevention-Lösungen und Sicherheits-Software, die das Abfangen geschäftskritischer Daten verhindert (Data Loss Prevention). Auch bei den Wide Area Networks zeigt sich der Ansatz flexibel: „Für Akamai sind Content Delivery Networks ein vordefinierter Baustein von SASE. Marktforscher räumen daher CDN-Service-Providern gute Chancen auf diesem Markt ein“, sagt beispielsweise Gerhard Giese, Industry Analyst bei Akamai Deutschland. Daher werden neben klassischen IT-Security-Unternehmen und Anbietern von Software-defined WANs (SD-WANs) nun auch CDN-Spezialisten wie Akamai und Cloudflare im Bereich SASE aktiv. Sie stellen Points of Presence (PoPs) zur Verfügung, über die Nutzer auf eine SASE-Plattform zugreifen können. Ein solcher Zugangspunkt sollte sich nach Möglichkeit in der Nähe des Standorts des Users befinden, damit die Verzögerungszeiten (Latenzen) möglichst gering ausfallen, wenn dieser auf Sicherheitsfunktionen zugreift.
Für Steffen Brieger von Nuvias sind außerdem ein Identity Management und Funktionen, die den Datenfluss überwachen und auf Malware oder Angriffsmuster hin inspizieren, ein integraler Bestandteil von SASE. Das gilt auch für verschlüsselte Verbindungen. Wichtig ist zudem ein sogenanntes Policy Enforcement. Es stellt sicher, dass Endgeräte und User vorgegebene Regeln einhalten. Ein Beispiel: Ein Nutzer darf nicht über ein ungeschütztes Wireless LAN oder von einem Endgerät mit veraltetem Malware-Schutz auf Unternehmensapplikationen zugreifen. Sollte er es dennoch versuchen, wird die Verbindung automatisch unterbrochen und das System in Quarantäne gesteckt.
2. Teil: „Die Rolle von SD-WANs“
Die Rolle von SD-WANs
Ein Schlüsselbegriff, der im Zusammenhang mit SASE im wieder auftaucht, sind Software-defined WANs (SD-WANs). Solche Weitverkehrsnetze bestehen aus einer virtualisierten Overlay-Ebene, die über unterschiedliche physische WAN-Verbindungen gelegt wird: klassische Weitverkehrsverbindungen auf Basis des Multi-Protocol-Label-Switching-Protokolls (MPLS), Breitband-Internet-Links sowie Mobilfunkverbindungen. Je nach Verfügbarkeit und Qualität kombiniert ein SD-WAN solche Links zu virtuellen Übermittlungskanälen.
Für Carsten Hoffmann, Manager Sales Engineering bei Forcepoint in München, ist daher ein SD-WAN ein legitimer Bestandteil einer SASE-Strategie: „Immer mehr Unternehmen verbinden ihre mobilen und Remote-Mitarbeiter sowie ihre Niederlassungen via SD-WAN direkt mit dem Internet und Cloud-Anwendungen. Das tun sie, um einen Umweg des Datenflusses über das zentrale Rechenzentrum zu vermeiden, der zu schwacher Performance, hohen Latenzen, Verbindungsabbrüchen und auch hohen Kosten führt.“
Der Nachteil dieses Ansatzes: Dabei umgehen Anwender auch die Security-Gateways, die zentral im Unternehmensrechenzentrum installiert sind. „Indem SASE die Security in die Cloud bringt, löst es dieses Problem. Die Unternehmen müssen also nicht ihr Corporate WAN umbauen, um SASE zu nutzen; sondern sie sollten SASE nutzen, weil sie ihr Corporate WAN umbauen“, betont Hoffmann. Denn es zeichnet sich deutlich ab, dass herkömmliche Unternehmensnetze nach dem Nabe-Speiche-Muster (das Unternehmens-Datacenter als Nabe, Außenstellen und Remote-Mitarbeiter als Speichen) durch flexiblere Modelle wie SD-WANs abgelöst werden.
Remote-Access und Cloud-Apps
Einig sind sich IT-Fachleute über die Hauptaufgabe von Security Access Service Edge: „Sie besteht darin, jeden Mitarbeiter mit der gewünschten Anwendung zu verbinden, und zwar auf sichere Art und mit Hilfe einer einheitlichen Form von ‚Connectivity‘, egal ob im Büro, unterwegs oder zu Hause“, erläutert beispielsweise Nathan Howe, Director of Transformation Strategy beim IT-Security-Unternehmen Zscaler. (siehe auch nebenstehendes Interview). Der Zugang zu Daten und Anwendungen, etwa in einer Cloud, sollte außerdem automatisch auf die passende Weise konfiguriert werden.
In der Praxis heißt das beispielsweise, dass sich der Nutzer eines Notebooks oder Tablets nicht mehr darum kümmern muss, ob er die Sicherheitsvorgaben seines Arbeitgebers einhält, wenn er im Zug oder Homeoffice geschäftliche E-Mails checkt oder auf eine SAP-Anwendung in der Cloud zugreift. Die Sicherheitseinstellungen seines Endgeräts passt die SASE-Plattform automatisch an. „Ein Nutzer muss sich beispielsweise keine Gedanken mehr darüber machen, ob er ein Virtual Private Network starten muss oder nicht“, so Carsten Hoffmann.
Trotz dieser Sicherheitsvorkehrungen ist es wichtig, dass die Privatsphäre des Nutzers unangetastet bleibt, sagt Tom Davison, Technical Director EMEA beim IT-Sicherheitsspezialisten Lookout Mobile Security: „Als IT- oder Security-Spezialist muss ich nicht wissen, welche App ein Nutzer gerade auf sein Smartphone, Tablet oder Notebook heruntergeladen hat. Für mich ist dagegen wichtig, ob das System dadurch zu einem Sicherheitsrisiko wird, wenn es auf Geschäftsdaten oder entsprechende Anwendungen zugreift.“ In diesem Fall könne SASE den Zugang unterbinden, bis das Problem gelöst sei.
3. Teil: „Vorteile für die IT“
Vorteile für die IT
Auch die IT-Abteilung profitiert von SASE, so Gerhard Giese von Akamai: „Dieser Ansatz reduziert die Komplexität und verbessert gleichzeitig das Problembewusstsein. Er vereinfacht das Vendor-Management und den Compliance-Prozess. Zudem optimiert SASE Kapazitäten und verhindert unnötige Überlastungen des IT-Teams.“
Für Michael von der Horst von Cisco spielt zudem der Faktor Konsolidierung eine wichtige Rolle: „Das Konzept von SASE konsolidiert eine große Anzahl von Netzwerk- und Sicherheitsfunktionen, die bislang von mehreren Einzellösungen bereitgestellt werden, auf einer einzigen, integrierten, cloudnativen Plattform.“ Das erleichtert es Unternehmen, konsistente Richtlinien zu definieren und auf allen Endgeräten umzusetzen. Von der Horst sieht außerdem Vorteile für die Netzwerkinfrastruktur: So lasse sich mit SASE ein richtlinienbasiertes Routing umsetzen, das die Verzögerungszeiten reduziert.
Ein weiterer Pluspunkt: „IT- und Netzwerkspezialisten können Policies und den Schutz vor Bedrohungen ohne Hardware- und Software-Updates umsetzen.“
Die Hausaufgaben machen
Allerdings sei auch SASE kein Wundermittel, das auf einen Schlag alle Probleme mit der Sicherheit und Connectivity in einem Unternehmensnetz behebt, betont Tom Davison von Lookout. Unternehmen sollten sich zunächst darauf konzentrieren, besonders gefährdete Anwendungsbereiche abzusichern sowie solche, in denen die Zahl der Nutzer und eingesetzten IT-Systeme stark zunimmt. „So ist beispielsweise Mobile Security in vielen Organisationen noch ein blinder Fleck.“
Wenn man jedoch entsprechende Sicherheitslösungen auf korrekte Weise implementiert, dann lassen sich Informationen über den Status eines Endgeräts mit Informationen über die Identität eines Users dazu nutzen, um eine granulare Zugangskontrolle zum Netzwerk einzurichten. Wichtig ist laut Davison außerdem, dass alle Systeme in ein Sicherheitskonzept auf Basis von SASE einbezogen werden, die einen Zugang zu Unternehmensdaten haben. „Das gilt auch für IoT-Systeme sowie für Komponenten, die in Autos verbaut werden“, so der Fachmann.
Auf Feinheiten achten
Auch bei den SASE-Anbietern gibt es jedoch etliche Punkte, bei denen Nachbesserungsbedarf besteht, erläutert Joe Robertson vom Sicherheitsunternehmen Fortinet: „Eine der größten Lücken besteht in der Definition des Dienstes selbst. Jeder Anbieter definiert SASE so, wie er es am vorteilhaftesten findet. Kunden müssen also über das Etikett ‚SASE‘ hinausschauen und prüfen, welche Funktionen tatsächlich angeboten werden.“ So lassen seiner Einschätzung nach einige SASE-Definitionen Elemente wie Secure LAN und Secure WLAN außen vor. Diese sind für viele Organisationen jedoch wichtige Bestandteile einer solchen Lösung.
Wichtig ist laut Robertson außerdem, dass Interessenten das gesamte SASE-Angebot eines Providers betrachten, etwa wie viel Bandbreite der Provider zur Verfügung stellt, wie leistungsfähig die Firewall-as-a-Service-Engine ist, wie viele Zugangsknoten es gibt und wo sich diese befinden. Außerdem warnt Fortinet vor SASE-Implementierungen, bei denen vom Standort des Users bis zum SASE-PoP mehr als ein „Hop“ (Netzwerkübergang) erforderlich ist. Mehrere Übergänge schlagen sich negativ auf die Leistung nieder und bedeuten ein zusätzliches Sicherheitsrisiko. Für einige Branchen, etwa die Öl- und Gasindustrie und den Bergbau, wird SASE daher noch einige Zeit lang keine Option sein. Denn die entsprechenden Standorte befinden sich oft in abgelegeneren Regionen, an denen noch längere Zeit kein SASE-Zugangspunkt vorhanden sein dürfte.
4. Teil: „Die Anbieterlandschaft“
Die Anbieterlandschaft
Zu den weniger erfreulichen Aspekten von SASE zählt ein anderer Faktor: Ein Großteil der Anbieter von Lösungen wie Netzwerksicherheit oder Cloud-Security ist auf den Zug aufgesprungen. Das führt dazu, dass die Marktlage unübersichtlich wird. Interessenten sollten deshalb im Detail prüfen,ob eine SASE-Plattform ihren Anforderungen entspricht. So ist es beispielsweise in manchen Fällen durchaus hilfreich, wenn eine SASE-Komponente nicht nur als Cloud-Service zur Verfügung steht, sondern auch in Form einer Hardware-Appliance, etwa für den Einsatz in Außenstellen.
- ob die diversen Komponenten tatsächlich in dem Maß integriert sind, wie das der Anbieter behauptet. Das gilt vor allem für die Lösungen, die ein Anbieter zugekauft hat.
- ob ein zentrales Management zur Verfügung steht, nicht ein Zoo unterschiedlicher Portale, über die der Administrator die einzelnen Lösungen verwalten muss.
- ob nicht eine SASE-Lösung „neuer Wein in alten Schläuchen“ ist, sprich „Unternehmen sollten sich vor herkömmlichen Ansätzen hüten, die von den Marketingabteilungen mit dem Etikett ‚SASE‘ versehen wurden“, wie es Tom Davison von Lookout formuliert.
Fazit & Ausblick
Nach Einschätzung des SD-WAN-Spezialisten Aryaka wird der Ansatz erst in drei bis fünf Jahren in größerem Umfang zum Zuge kommen. Andere Fachleute sind optimistischer: Bis 2024 werden 40 Prozent der Unternehmen eine SASE-Strategie umsetzen, so die Einschätzung von Gartner. Auch wenn man solchen Prognosen nicht vorbehaltlos vertrauen sollte, ist eines klar: Ansätze wie Homeoffice und Work Anywhere werden über Corona hinaus Bestand haben und - ebenso wie Cloud-Computing, IoT und die Digitalisierung - die Anforderungen an Unternehmensnetze und deren Schutz fundamental verändern. Konzepte wie Security Access Service Edge sind vor diesem Hintergrund hilfreich, vielleicht sogar unverzichtbar.
5. Teil: „Im Gespräch mit Nathan Howe von Zscaler“
Im Gespräch mit Nathan Howe von Zscaler
com! professional: Herr Howe, warum ist SASE ein wichtiges Thema?
Nathan Howe: SASE ist aus einem ganz einfachen Bedürfnis heraus entstanden: Es verbindet jeden Mitarbeiter mit der gewünschten Anwendung, und zwar auf sichere Art und mit Hilfe einer einheitlichen Form von Connectivity, egal ob im Büro, unterwegs oder zu Hause. Im Büro ist der Einsatz traditioneller Sicherheitstechnologien möglich. Aber nicht zuletzt durch die Covid-19-Pandemie ist der Teleworking-Anteil deutlich gestiegen. In der Folge wurden die Remote-Services vor allem über das Remote-Desktop-Protokoll von Microsoft bereitgestellt. Dadurch haben sich Unternehmen direkt in die Angriffslinie von Cyberkriminellen begeben. Es ist wichtig, eine einheitliche Vorgehensweise zu haben, um Mitarbeitern den sicheren Zugang zu Unternehmensanwendungen und Geschäftsdaten zu ermöglichen.
com! professional: Welche Vorteile bietet denn eine SASE-Plattform?
Howe: SASE ist einfach zu benutzen. Die Vorteile gelten insbesondere für den Endbenutzer. Es geht um eine einheitliche Kontrolle, und die kann man nicht durch das Hinzufügen von Einzelteilen zu vorhandenen Connectivity- und IT-Sicherheitslösungen erreichen.
com! professional: Gibt es auch Anwendungsbereiche, für die SASE weniger relevant ist?
Howe: Ja, SASE ist weniger relevant bei Verbindungen von Maschine zu Maschine, von Server zu Server oder von Netzwerk zu Netzwerk, also dort, wo der Mensch nicht involviert ist. Derzeit sind dies Bereiche, die nicht im Zentrum der Weiterentwicklung von SASE stehen.
com! professional: Welche Komponenten umfasst eine SASE-Lösung? Anbieter führen teilweise unterschiedliche Bestandteile auf, etwa ein SD-WAN, einen DNS-Schutz, Firewalls, Gateways, ein Zero-Trust-Zugangskonzept et cetera.
Howe: SASE gibt Ihnen nicht vor, dass Sie das eine oder das andere tun müssen. Es gibt Ihnen eine umfassende Sicherheit und Kontrolle über die Netzwerkverbindungen. Dabei spielt es keine Rolle, ob es sich um einen SD-WAN-Dienst handelt oder um eine 5G-Verbindung. Unsere Komponenten bieten zum Beispiel entsprechende Schnittstellen. Wir sind etwa in der Lage, die passenden Sicherheitskontrollen zu aktivieren, egal ob es sich nun um eine Sandbox oder eine andere Funktion handelt. Wir tun dies auf einer Pro-Benutzer-/Pro-Anwendung-Basis.
Dienste anderer Anbieter setzen dagegen auf der Netzwerkebene an und bieten für alle Nutzer die gleichen Regeln an. Man kann damit keine Policies für unterschiedliche Benutzergruppen einrichten oder individuelle Kontrollen vornehmen.
com! professional: Einige Anbieter kombinieren SASE mit ihren SD-WAN-Services. Ist das für Anwender eher positiv, Stichwort keine Abhängigkeit von einem Anbieter, oder negativ, weil die Nutzer selbst ein Unternehmensnetz einrichten müssen?
Howe: Das tun Partner, wenn ein Kunde ein SD-WAN benötigt. Ein Software-defined WAN ist eine tolle Lösung, wenn Sie ein physisches Gebäude haben, das eine Verbindung zu mehreren Standorten haben muss. Dies ist beispielsweise bei einer Firmenzentrale und Außenstellen der Fall. Doch seit Beginn der Corona-Krise arbeiten viele Mitarbeiter nicht mehr in Firmengebäuden. Ein SD-WAN allein hilft SASE daher nicht unbedingt dabei, Mitarbeiter mit Anwendungen zu verbinden. Eine langfristige Strategie muss berücksichtigen, dass Menschen früher oder später von überall aus arbeiten. Dafür ist SASE die passende Lösung.
Connectivity-as-a-Service
ADN und DE-CIX schließen Partnerschaft
ADN hat einen neuen Kooperationsvertrag mit DE-CIX unterzeichnet. Der Anbieter stellt die physische Infrastruktur und Connectivity-Services bereit, mit denen Partner den Datenverkehr von Unternehmenskunden sicher routen können.
>>
Couchbase
Datenbank-Skills für KI-Apps
Daten sind gleichzeitig Motor und Treibstoff bei der Entwicklung und dem Betrieb von KI-Anwendungen. Entsprechend zentral ist die Rolle der Datenbank. Datenbank-Anbieter Couchbase erklärt, welche Skills eine KI-taugliche Datenbank mitbringen muss.
>>
Auktion
136.000 Euro für ein altes iPhone
In den USA wurden Apple-Produkte und Devotionalien zu teilweise gewaltigen Summen versteigert. Eine von Steve Jobs signierte Visitenkarte brachte 167.000 Euro.
>>
Infragistics
Angular Apps - Daten binden und anzeigen
Infragistics Professional 23.2 enthält ein leistungsstarkes Angular-Datenraster, mit dem Ihre Anwendung Datensätze jeder Größe verarbeiten kann.
>>