Secure Access Service Edge (SASE) ist ein von Gartner geprägter Sicherheitsansatz, der das Rechenzentrums-zentrierte Netzwerkdesign ablösen soll. Denn durch Edge Computing, Digitalisierung und dem Vormarsch von Remote Work hat sich das Epizentrum des Unternehmensnetzwerks längst verlagert. Erfahren Sie, ob und wie SASE mit seinem Fokus auf Identität und Kontext die Cloud-Security-Herausforderungen der Zukunft meistern kann.

 

Laut Gartner wird sich die Netzwerksicherheit zu einer dezentralen Anwendung hin entwickeln, die am Ursprung der jeweiligen Verbindung sichere Zugriffsentscheidungen trifft. Dazu ist es erforderlich, den ganzen Datenkontext zu untersuchen und zu verstehen, während ein benutzerfreundlicher und latenzarmer Zugriff jederzeit und von überall möglich ist.

Was bedeutet Secure Access Service Edge?

Um die beschriebene Anforderung zu meistern, hat das bekannte Forschungsunternehmen Secure Access Service Edge (SASE, englisch ausgesprochen: „sässi“) als Cyber-Security-Modell geprägt. Es soll eine sichere Cloud-Nutzung ermöglichen und dazu beitragen, dass sowohl Benutzer als auch Geräte von überall und jederzeit gesicherten Zugriff auf Anwendungen, Daten und Dienste haben.

SASE ist ein komplettes Angebot, das WAN-Funktionen mit umfassenden Netzwerksicherheitsfunktionen wie z. B. Cloud Access Security Broker, Secure Web Gateway, Mail Security, Next Generation Firewall, DNS-Security, Application & API Security und Zero Trust in einem einzigen, cloudbasierten Servicemodell kombiniert, um die dynamischen Zugriffsanforderungen heutiger digitaler und verteilter Unternehmen zu erfüllen.

So wird der Netzwerkperimeter bei SASE nicht mehr als Standort, sondern als eine Reihe dynamischer Edge-Funktionen verstanden, die bei Bedarf als Service aus der Cloud verfügbar sind. Sicherheitsrichtlinien werden für jeden Zugriffspunkt festgelegt und aktualisiert, aber am „Edge“ des Unternehmensnetzwerks angewendet ­– also genau da, wo der Zugriff auf die Daten, bzw. Anwendungen, erfolgt.

Wann SASE für Unternehmen geeignet ist:

 

  • Wenn der Zugriff auf Software-as-a-Service-Angebote und Cloud-Anwendungen stetig zunimmt.
  • Wenn Kosten und Komplexität durch weniger benötigte Anbieter und eine alles umfassende Cyber-Security-Plattform reduziert werden sollen.
  • Wenn Unternehmen Richtlinien auf Basis des Nutzers und unabhängig von Gerät oder Kontext festlegen möchten.
  • Wenn eine Verlagerung der Investitionskosten (CAPEX) und internen Wartungsdienste zu reinen Services und Betriebskosten (OPEX) erfolgen soll.

Kombinierte Netzwerksicherheit aus der Cloud

SASE-Funktionen werden als Service aus der Cloud bereitgestellt. Auf Basis der Identität der Entität (Benutzer, Gerät, Zweigstelle, IoT-Gerät, etc.), dem Echtzeit-Kontext, den Sicherheits-/Konformitätsrichtlinien des Unternehmens und der kontinuierlichen Bewertung des Risikos/Vertrauens während der Sitzungen trifft dieser Zugriffsentscheidungen (Zero Trust). Folgende Komponenten spielen eine Schlüsselrolle:

Cloud Access Service Broker: CASB ist ein Dienst, der Cloud-Applikationen absichert. Als „Vermittler“ zwischen dem Anwender und der Cloud ist er in der Lage, die Kommunikation zu überwachen, zu protokollieren und zu steuern. Unter anderem durch die Sichtbarkeit von und Bereinigung nach risikoreichen Ereignissen, proaktive Sicherheitsfunktionen sowie dem Schutz vor bekannten wie auch unbekannten Datenverlust-Risiken und Malware-Bedrohungen. Auch wird die unerwünschte Nutzung von Cloud-Services, wie sie durch eine Schatten-IT entstehen kann, durch den CASB verhindert.

SD-WAN, Secure Web Gateways, Zero Trust Network Access und FWaaS: Die in SASE implementierten Technologien und Konzepte müssen die Fähigkeit besitzen, sensible Daten und Malware zu identifizieren und Datenströme bei voller Leitungsgeschwindigkeit zu verschlüsseln/entschlüsseln. Hinzu kommt die kontinuierliche Überwachung der Sitzungen auf Risiko- und Vertrauensebene.

Weitere empfohlene Fähigkeiten: Webanwendungs- und API-Schutz, Remote-Browser-Isolierung, DNS-Security, Netzwerk-Sandbox, API-basierter Zugriff auf Software as a Service für Datenkontext und Unterstützung für verwaltete und nicht verwaltete Geräte.

Optionale Fähigkeiten: Wi-Fi-Hotspot-Schutz, Network-Verschleierung/Dispersion, Legacy-VPN und Edge-Computing-Schutz (offline/gecachter Schutz).

Ist SASE das Sicherheits-Ass für die digitale Transformation?

Laut Gartner soll SASE für Netzwerk- und Netzwerksicherheitsarchitekturen genauso disruptiv sein, wie es IaaS für die Architektur und das Design von Rechenzentren war. Allgemein wird damit gerechnet, dass sich das Secure Access Service Edge Modell in den nächsten fünf bis zehn Jahren auf dem Cyber-Security-Markt etabliert haben wird. „Bis 2024 werden mindestens 40 % der Unternehmen explizite Strategien zur Einführung von SASE im Köcher haben“, prophezeit Gartner, wie es auf der Anwenderseite aussehen soll.

Ich meine: Da der Markt sich noch in der Entwicklung befindet, sollten Lösungen und Dienstleister sorgfältig ausgewählt und mögliche Verträge nur für kurzfristige Zeitspannen abgeschlossen werden. Und falls Sie weitere Fragen zu SASE haben, zögern Sie nicht, mich zu kontaktieren!