Was ist Secure Access Service Edge (SASE)?

Der Hauptunterschied zwischen SASE und herkömmlicher Netzsicherheit besteht darin, dass SASE Sicherheitsfunktionen und andere Services näher an den Verbindungen der Benutzer und Endpunkte bereitstellt – also an der Netzperipherie, der Edge. Bei üblichen Ansätzen würde der gesamte Datenverkehr hingegen an ein Rechenzentrum zurückgeleitet werden, um dort Sicherheitsrichtlinien anzuwenden. Im direkten Vergleich liefert SASE also deutliche Vorteile.

Das SASE-Modell bietet ein großes Potenzial zur Stärkung der Netzwerksicherheit zur Vereinfachung des Netzwerk-Performance-Managements und zur Verbesserung der allgemeinen Benutzererfahrung.

Da immer mehr Unternehmen eine digitale Transformation anstreben und zunehmend auf Cloud-Umgebungen, Edge-Computing und Homeoffice-Optionen oder hybride Arbeitsmodelle umschwenken, befinden sich immer mehr Benutzer und IT-Ressourcen außerhalb der traditionellen Netzwerkgrenzen. SASE ermöglicht es Unternehmen, direkte, sichere Verbindungen mit geringer Latenz zwischen Benutzern und externen Ressourcen bereitzustellen – unabhängig davon, wo sich diese befinden.

Dabei gilt SASE als eine relativ neue Technologie, die im Jahr 2019 erstmals vom Branchenanalyst Gartner definiert wurde. Doch trotz ihres geringen Alters sind viele Sicherheitsexperten der Meinung, dass sie die Zukunft der Netzsicherheit darstellt.

SASE ist die Kombination bzw. Konvergenz zweier Kerntechnologien: Software-Defined Wide Area Networking (SD-WAN) und Secure Service Edge (SSE). Um die Funktionsweise von SASE besser zu verstehen, sollten wir uns zunächst damit beschäftigen, was genau hinter diesen beiden Technologien steckt.

Ein SD-WAN ist ein weiträumiges Netz (Wide Area Network, WAN), das virtualisiert wurde. Unter einer Virtualisierung versteht man einen Prozess, bei dem die Ressourcen eines Geräts in mehrere virtuelle Geräte aufgeteilt werden. Ein solcher Prozess kommt auch bei Servern häufig zum Einsatz, um auf einem großen physischen Servercomputer mehrere virtuelle Server laufen zu lassen. Im Fall eines SD-WAN bedeutet dies, dass die Netzfunktionalität von der zugrundeliegenden Hardware – Verbindungen, Switches, Router, Gateways – entkoppelt wird, um einen Pool von Netzkapazitäten und Netzsicherheitsfunktionen zu schaffen. Dieser Pool kann mithilfe von Software aufgeteilt, aggregiert und auf den Datenverkehr angewendet werden, sodass er deutlich flexibler skaliert werden kann.

Herkömmliche Wide Area Networks (WANs) wurden entwickelt, um Benutzer in Unternehmensniederlassungen mit Anwendungen in einem zentralen Unternehmensrechenzentrum zu verbinden. Dafür kamen in der Regel dedizierte, private und teure Standleitungsverbindungen zum Einsatz. Die in jeder Niederlassung installierten Router kontrollierten und priorisierten den Datenverkehr, um eine optimale Leistung für die wichtigsten Anwendungen zu gewährleisten. Sicherheitsfunktionen wie die Paketprüfung und Datenverschlüsselung wurden im zentralen Rechenzentrum durchgeführt.

Dieser Ansatz war allerdings kostspielig und schwer skalierbar. Um diese Herausforderung zu lösen, wurde SD-WAN entwickelt, das Unternehmen die Möglichkeit geben sollte, ihre WAN-Funktionen auf einer kostengünstigeren, besser skalierbaren Internet-Infrastruktur zu duplizieren. Als immer mehr Unternehmen Cloud-Services einführten, nahm die Nachfrage nach SD-WAN zu – allerdings waren viele Unternehmen zu diesem Zeitpunkt noch nicht dazu bereit, der Internetsicherheit zu vertrauen. Dadurch bekam das WAN-Sicherheitsmodell Konkurrenz: Das Routing immer größerer Volumen an Internet-Datenverkehr durch das Rechenzentrum des Unternehmens führte zu einem kostspieligen Engpass, der sowohl die Netzleistung als auch die Benutzererfahrung verschlechterte.

SD-WAN beseitigt diesen Engpass, indem es die Anwendung von Sicherheitsmaßnahmen auf den Datenverkehr am Verbindungspunkt verlagert, anstatt den Datenverkehr zwangsweise zur Sicherheitseinrichtung zu leiten. Damit können Unternehmen direkte, sichere, optimierte Verbindungen zwischen Benutzern und allem, was sie benötigen, herstellen —Software-as-a-Service (SaaS) Apps, Cloud-Ressourcen oder öffentliche Internetdienste.

Mit SSE (Secure Service Edge) prägte Gartner einen weiteren Begriff, der gemeinhin als „die Sicherheitshälfte von SASE“ betrachtet wird. Gartner definiert SSE als die Konvergenz von drei wichtigen cloudnativen Sicherheitstechnologien:

Sichere Web-Gateways (SWGs). Ein SWG ist ein bidirektionales Internet-Überwachungsprogramm, das man sich als Verkehrspolizist für den Internet-Traffic in beide Richtungen vorstellen kann. Es verhindert, dass schädlicher Datenverkehr Netzwerkressourcen erreicht, indem es Techniken wie Datenverkehrsfilterung und DNS- Abfrageprüfungen einsetzt, um Malware, Ransomware und andere Cyberbedrohungen zu erkennen und zu blockieren. Zudem verhindert es, dass autorisierte Benutzer eine Verbindung zu verdächtigen Websites herstellen: Anstatt sich direkt mit dem Internet zu verbinden, stellen Benutzer und Endgeräte eine Verbindung zum SWG her, über das sie nur auf genehmigte Ressourcen zugreifen können (z. B. lokale Rechenzentren, Geschäftsanwendungen sowie Cloud-Anwendungen und -Services).

Cloud Access Security Brokers (CASBs): CASBs verwalten den Verkehr zwischen Benutzern und Cloud-Anwendungen und -Ressourcen. Sie setzen die Sicherheitsrichtlinien des Unternehmens wie beispielsweise die Verschlüsselung, Zugriffskontrolle und Malware-Erkennung durch, während die Benutzer auf die Cloud zugreifen. Dieser funktioniert komplett unabhängig davon, wo oder wie sie sich verbinden, ganz ohne jegliche Installation von Software auf dem Endgerät. Daher eignen sich CASBs ideal für die Absicherung von BYOD (Bring Your Own Device) und andere Anwendungsfälle im Zusammenhang mit der Transformation der Belegschaft. Darüber hinaus können CASBs auch Sicherheitsrichtlinien durchsetzen, wenn Benutzer eine Verbindung zu unbekannten Cloud-Assets herstellen.

Zero Trust Network Access (ZTNA): Ein „Zero-Trust“-Ansatz für den Netzzugang legt fest, dass niemals ein grundlegendes Vertrauen zu bzw. zwischen verschiedenen Benutzern und Entitäten besteht. Stattdessen müssen sie kontinuierlich überprüft werden, unabhängig davon, ob sie sich außerhalb oder bereits innerhalb des Netzes befinden. Überprüfte Benutzer und Entitäten erhalten den Zugang mit den geringsten Berechtigungen, die zur Erfüllung ihrer Aufgaben erforderlich sind – ein Ansatz, der als Prinzip der minimalen Rechtevergabe bezeichnet wird. Alle Benutzer und Entitäten sind dazu gezwungen, sich stets neu zu validieren, wenn es zu einer Änderung ihres Kontexts kommt. Außerdem wird jede Dateninteraktion paketweise authentifiziert, bis die Verbindungssitzung endet.

Bei ZTNA handelt es sich weder um ein Sicherheitsprodukt noch um eine Software- oder Hardware-Lösung. Stattdessen ist ZTNA ein Netzsicherheitskonzept, das in Verbindung mit einer Vielzahl von Technologien umgesetzt wird, darunter Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM), Multi-Faktor-Authentifizierung (MFA), Verhaltensanalyse von Benutzern und Entitäten (User and Entity Behaviour Analytics, UEBA) und verschiedene Lösungen zur Erkennung und Abwehr von Bedrohungen.

Die SASE-Plattformen einzelner Anbieter können weitere Funktionen zur Bedrohungsabwehr und Sicherheit enthalten, darunter Firewall-as-a-Service (FWaaS), Data Loss Prevention (DLP), Network Access Control (NAC) und Endpoint Protection-Plattformen (EPP).

Zusammenfassend lässt sich festhalten: Die drei soeben erklärten Technologien und Ansätze (SWGs, CASBs und ZTNA) bilden das Konzept von SSE, welches wiederum in Kombination mit SD-WAN den SASE-Ansatz bildet. SASE-Lösungen nutzen SD-WAN, um SSE-Sicherheitsservices für Benutzer, Geräte und andere Endpunkte dort oder in der Nähe des Ortes bereitzustellen, an dem sie sich verbinden – am Netzwerkrand, der Edge.

Das bedeutet: Anstatt den gesamten Datenverkehr zur Überprüfung und Verschlüsselung an ein zentrales Rechenzentrum zu senden, leiten SASE-Architekturen den Datenverkehr an verteilte Points of Presence (PoPs), die sich in der Nähe des Endnutzers oder Endgeräts befinden. Diese PoPs sind entweder Eigentum des SASE-Serviceanbieters oder befinden sich im Rechenzentrum eines Drittanbieters. Ein PoP sichert zunächst den Datenverkehr mit den von der Cloud bereitgestellten SSE-Services. Anschließend wird der Benutzer oder das Endgerät wie gewünscht mit Public und Private Clouds (öffentlichen und privaten Clouds), Software-as-a-Service (SaaS)-Anwendungen, dem öffentlichen Internet oder einer anderen Ressource verbunden.

SASE bietet wichtige geschäftliche Vorteile für Sicherheitsteams, IT-Mitarbeiter, Endbenutzer und ganze Unternehmen.

Kosteneinsparungen – insbesondere geringere Investitionskosten: SASE ist im Wesentlichen eine SaaS-Sicherheitslösung. Der Kunde erwirbt den Zugang zur erforderlichen Software für die Einrichtung und Steuerung von SASE und kann in vollem Umfang auf die Hardware des Cloud-Service-Anbieters zugreifen, auf der es bereitgestellt wird. Anstatt den Datenverkehr aus Sicherheitsgründen von einem Router in einer Außenstelle an ein lokales On-Premises-Rechenzentrum zu leiten, leiten SASE-Kunden den Datenverkehr von der nächstgelegenen Internetverbindung in die Cloud.

Unternehmen können SASE auch als hybride Lösung nutzen, die sowohl in der Public Cloud als auch in der unternehmenseigenen lokalen Infrastruktur bereitgestellt wird. Dabei können auch physische Netzhardware, Sicherheitsanwendungen und Rechenzentren mit ihren virtualisierten cloudnativen Gegenstücken integriert werden.

Vereinfachte Verwaltung und Betrieb. SASE-Frameworks bieten eine einzige, konstante Lösung für die Absicherung all jener, die sich mit dem Netzwerk verbinden oder zu verbinden versuchen – nicht nur Benutzer, sondern auch Internet-of-Things-Geräte (IoT), APIs, containerisierte Microservices oder serverlose Anwendungen und sogar virtuelle Maschinen (VMs), die bei Bedarf gestartet werden. Außerdem ist es mit SASE nicht länger notwendig, an jedem Verbindungspunkt eine Reihe von Sicherheitslösungen (z. B. Router, Firewalls usw.) zu verwalten. Stattdessen können IT- oder Sicherheitsteams eine einzelne zentrale Richtlinie zur Sicherung aller Verbindungen und Ressourcen im Netz erstellen und die gesamte Verwaltung von einem einzigen Kontrollpunkt aus erledigen.

Stärkere Cybersicherheit: Richtig implementiert kann SASE die Sicherheit auf mehreren Ebenen verbessern. Das vereinfachte Management erhöht die Sicherheit, indem es die Wahrscheinlichkeit von Fehlern oder Fehlkonfigurationen verringert. Für die Sicherung des Datenverkehrs von Remote-Benutzern ersetzt SASE die pauschale, einheitliche Berechtigung des VPN-Zugriffs (Virtual Private Network) durch die differenzierte, identitäts- und kontextbasierte Zugriffskontrolle gemäß dem ZTNA-Prinzip für Anwendungen, Verzeichnisse, Datensätze und Workloads. 

Bessere, einheitlichere Benutzererfahrung: Mit SASE verbinden sich die Benutzer auf die gleiche Weise mit dem Netzwerk. Dabei ist es egal, ob sie vor Ort, in einer Filiale, von zu Hause oder von unterwegs aus arbeiten. Es spielt zudem keine Rolle, ob sie sich mit Anwendungen und Ressourcen verbinden, die in der Cloud oder lokal gehostet werden. SD-WAN-Services leiten den Datenverkehr automatisch an den nächstgelegenen PoP weiter und optimieren die Verbindungen nach der Anwendung von Sicherheitsrichtlinien für eine bestmögliche Leistung.

SASE bietet Vorteile für jedes Unternehmen, das ein zentrales Rechenzentrumsmodell der Anwendungsbereitstellung hinter sich lassen möchte. Insbesondere eine Reihe von spezifischen Anwendungsfällen sind heute ein zentraler Faktor für die Einführung von SASE.

Sicherung hybrider Arbeitskräfte ohne VPN-Engpässe: VPNs sind seit fast zwei Jahrzehnten das vorherrschende Mittel zum Schutz von Remote- oder mobilen Benutzern. Die Skalierung von VPNs ist allerdings komplex und kostspielig – eine Lektion, die viele Unternehmen auf die harte Tour lernen mussten, als ihre Belegschaft aufgrund der COVID-19-Pandemie vollständig remote arbeiten musste. Im Gegensatz dazu kann SASE dynamisch skaliert werden, um insbesondere die Sicherheitsanforderungen von Remote-Arbeitern und einer sich wandelnden Belegschaft im Allgemeinen zu erfüllen. Dabei ist es egal, ob ein Unternehmen gerade erst Remote Work und Homeoffice-Angebote einführt, diese ausbaut oder die ihnen zugrundeliegende Technologie und Sicherheit ausbauen möchte – SASE unterstützt Unternehmen in jeder Phase.

Einführung von Hybrid Clouds und Cloud-Migration: Eine Hybrid Cloud kombiniert Public Clouds, Private Clouds und lokale Infrastrukturen zu einer einzigen flexiblen Rechenumgebung, in der Workloads je nach den sich ändernden Umständen frei zwischen den Infrastrukturen verschoben werden können. Während WAN-Sicherheitslösungen nicht für diese Art von Workload-Mobilität ausgelegt sind, sichert SASE, das die Sicherheitsfunktionen von der zugrunde liegenden Infrastruktur abstrahiert, den Datenverkehr komplett unabhängig von seinem Ursprung und Ziel. Es gibt Unternehmen zudem die Flexibilität, Workloads in die Cloud zu migrieren – genau in dem Tempo, das sich am besten eignet.

Edge Computing und Verbreitung von IoT/OT-Geräten: Edge Computing ist ein verteiltes Datenverarbeitungsmodell, das Anwendungen und Rechenressourcen außerhalb des zentralen Rechenzentrums und näher an Datenquellen wie Mobiltelefonen, IoT- oder OT-Geräten und Datenservern ansiedelt. Diese Nähe führt zu verbesserten Anwendungsreaktionszeiten und schnelleren Erkenntnissen, insbesondere bei Anwendungen für künstliche Intelligenz (KI) und Machine Learning, die große Mengen an Streaming-Daten in Echtzeit verarbeiten.

Um diese Einsatzfälle zu ermöglichen, setzen Unternehmen oder Lösungsanbieter Tausende von IoT-Sensoren oder OT-Geräten ein, von denen viele keine oder nur eine geringe Sicherheitskonfiguration aufweisen. Das macht diese Geräte zu Hauptzielen für Hacker, die sie kapern können, um auf sensible Datenquellen zuzugreifen, Betriebsabläufe zu stören oder Distributed-Denial-of-Service (DDoS) Angriffe zu inszenieren. SASE kann Sicherheitsrichtlinien auf diese Geräte anwenden, sobald sie sich mit dem Netz verbinden, und bietet über ein zentrales Dashboard Einblicke und Verwaltungsmöglichkeiten für alle verbundenen Geräte.