SASE ist ein Netzsicherheitsansatz, der Vernetzung und Netzsicherheitsfunktionen zu einem einzigen Cloud-Service kombiniert. Der Hauptunterschied zwischen SASE und herkömmlicher Netzsicherheit besteht darin, dass der gesamte Datenverkehr zur Anwendung von Sicherheitsrichtlinien nicht an ein Rechenzentrum weitergeleitet wird, sondern dass SASE Sicherheitsfunktionen und andere Services näher an den Benutzern und Endpunkten, also an der Netzperipherie, bereitstellt.
Das SASE-Modell bietet ein großes Potenzial zur Stärkung der Netzsicherheit, zur Vereinfachung der Verwaltung der Netzleistung und zur Verbesserung der allgemeinen Benutzerfreundlichkeit.
Da immer mehr Unternehmen die digitale Transformation vorantreiben und zunehmend Cloud-Umgebungen, Edge-Computing und Arbeiten von zu Hause oder hybride Arbeitsmodelle einsetzen, werden sich immer mehr Benutzer und IT-Ressourcen außerhalb der traditionellen Netzwerkgrenzen befinden. SASE ermöglicht es Unternehmen, direkte, sichere Verbindungen mit geringer Latenz zwischen Benutzern und diesen Ressourcen bereitzustellen, unabhängig davon, wo sich diese befinden. SASE mag eine relativ neue Technologie sein – der Branchenanalyst Gartner hat den Begriff 2019 definiert –, aber viele Sicherheitsexperten sind der Meinung, dass es die Zukunft der Netzsicherheit darstellt.
SASE ist die Kombination bzw. Konvergenz zweier Kerntechnologien: Software-Defined Wide Area Networking (SD-WAN) und Secure Service Edge (SSE). Es ist einfacher zu verstehen, wie SASE funktioniert, wenn Sie zunächst wissen, was jede dieser Technologien bewirkt.
SD-WAN
Ein SD-WAN ist ein weiträumiges Netz, das virtualisiert wurde, ähnlich wie Server virtuell sind. Es entkoppelt die Netzfunktionalität von der zugrundeliegenden Hardware – Verbindungen, Switches, Router, Gateways –, um einen Pool von Netzkapazitäten und Netzsicherheitsfunktionen zu schaffen, der softwaregesteuert aufgeteilt, aggregiert und auf den Datenverkehr angewendet werden kann.
Herkömmliche Wide Area Networks (WANs) wurden entwickelt, um Benutzer in Unternehmensniederlassungen mit Anwendungen in einem zentralen Unternehmensrechenzentrum zu verbinden, in der Regel über dedizierte, private und teure Standleitungsverbindungen. Die in jeder Niederlassung installierten Router kontrollierten und priorisierten den Datenverkehr, um eine optimale Leistung für die wichtigsten Anwendungen zu gewährleisten. Sicherheitsfunktionen wie Paketprüfung und Datenverschlüsselung wurden im zentralen Rechenzentrum eingesetzt.
SD-WAN wurde ursprünglich entwickelt, um Unternehmen die Möglichkeit zu geben, ihre WAN-Funktionen auf einer kostengünstigeren, besser skalierbaren Internet-Infrastruktur zu duplizieren. Die Nachfrage nach SD-WAN nahm jedoch zu, als immer mehr Unternehmen Cloud-Services einführten, bevor sie der Internetsicherheit vertrauen konnten. Das WAN-Sicherheitsmodell wurde in Frage gestellt: Das Routing immer größerer Volumen an Internet-Datenverkehr durch das Rechenzentrum des Unternehmens führte zu einem kostspieligen Engpass, und sowohl die Netzleistung als auch die Benutzererfahrung verschlechterten sich.
SD-WAN beseitigt diesen Engpass, indem es die Anwendung von Sicherheitsmaßnahmen auf den Datenverkehr am Verbindungspunkt ermöglicht, anstatt den Datenverkehr zwangsweise zur Sicherheitseinrichtung zu leiten. Es ermöglicht Unternehmen den Aufbau direkter, sicherer und optimierter Verbindungen zwischen Benutzern und den von ihnen benötigten SaaS-Anwendungen (Software-as-a-Service), Cloud-Ressourcen oder öffentlichen Internet-Services.
SSE
SSE ist „die Sicherheitshälfte von SASE“, so ein geflügeltes Wort von Gartner. Gartner spezifiziert SSE als die Konvergenz von drei wichtigen cloudnativen Sicherheitstechnologien:
Secure Web Gateways (SWGs). Ein SWG ist ein bidirektionales Internet-Überwachungsprogramm. Es verhindert, dass bösartiger Datenverkehr zu den Netzressourcen gelangt, indem es Techniken wie die Filterung des Datenverkehrs und die Überprüfung von DNS-Anfragen einsetzt, um Malware, Ransomware und andere Cyber-Bedrohungen zu erkennen und zu blockieren. Und es verhindert, dass autorisierte Benutzer eine Verbindung zu verdächtigen Websites herstellen: Anstatt sich direkt mit dem Internet zu verbinden, stellen Benutzer und Endgeräte eine Verbindung zur SWG her, über die sie nur auf genehmigte Ressourcen zugreifen können (z. B. lokale Rechenzentren, Geschäftsanwendungen sowie Cloud-Anwendungen und -Services).
Cloud Access Security Brokers (CASBs). CASBs befinden sich zwischen Benutzern und Cloud-Anwendungen und -Ressourcen. CASBs setzen die Sicherheitsrichtlinien des Unternehmens wie Verschlüsselung, Zugriffskontrolle und Malware-Erkennung durch, während die Benutzer auf die Cloud zugreifen, unabhängig davon, wo oder wie sie sich verbinden – und das ohne Installation von Software auf dem Endgerät. Damit sind sie ideal für die Absicherung von BYOD (Bring Your Own Device) und andere Anwendungsfälle der Personalumstellung. und andere CASBs können auch Sicherheitsrichtlinien durchsetzen, wenn Benutzer eine Verbindung zu unbekannten Cloud-Assets herstellen.
Zero Trust Network Access (ZTNA). Ein Zero-Trust-Ansatz für den Netzzugang ist ein Ansatz, bei dem niemals Vertrauen besteht und alle Benutzer und Entitäten ständig überprüft werden, unabhängig davon, ob sie sich außerhalb oder bereits innerhalb des Netzes befinden. Überprüfte Benutzer und Entitäten erhalten den am wenigsten privilegierten Zugang, der zur Erfüllung ihrer Aufgaben erforderlich ist. Alle Benutzer und Entitäten sind gezwungen, sich bei jeder Änderung ihres Kontexts erneut zu validieren, und jede Dateninteraktion wird paketweise authentifiziert, bis die Verbindungssitzung endet.
ZTNA ist kein Sicherheitsprodukt an sich, sondern ein Netzsicherheitskonzept, das mit einer Vielzahl von Technologien umgesetzt wird, darunter Identitäts- und Zugriffsmanagement (IAM), Multi-Faktor-Authentifizierung (MFA), User and Entity Behaviour Analytics (UEBA) und verschiedene Lösungen zur Erkennung und Abwehr von Bedrohungen.
Die SASE-Plattformen der einzelnen Anbieter können weitere Funktionen zur Bedrohungsabwehr und Sicherheit enthalten, darunter Firewall-as-a-Service (FWaaS), Data Loss Prevention (DLP), Network Access Control (NAC) und Endpoint Protection-Plattformen (EPP).
Alles unter einem Hut
SASE-Lösungen nutzen SD-WAN, um SSE-Sicherheitsservices für Benutzer, Geräte und andere Endpunkte dort oder in der Nähe ihres Anschlusses, an der Netzperipherie, bereitzustellen.
Anstatt den gesamten Datenverkehr zur Überprüfung und Verschlüsselung an ein zentrales Rechenzentrum zu senden, leiten SASE-Architekturen den Datenverkehr an verteilte Points of Presence (PoPs), die sich in der Nähe des Endnutzers oder Endpunkts befinden. (Die PoPs sind entweder Eigentum des SASE-Serviceanbieters oder befinden sich im Rechenzentrum eines Drittanbieters). Der PoP sichert den Datenverkehr mit den von der Cloud bereitgestellten SSE-Services, und anschließend wird der Benutzer oder Endpunkt mit öffentlichen und privaten Clouds, Software-as-a-Service (SaaS)-Anwendungen, dem öffentlichen Internet oder einer anderen Ressource verbunden.
SASE bietet wichtige geschäftliche Vorteile für Sicherheitsteams, IT-Mitarbeiter, Endbenutzer und das Unternehmen als Ganzes.
Kosteneinsparungen – insbesondere weniger Kapitalkosten. SASE ist im Wesentlichen eine SaaS-Sicherheitslösung: Der Kunde erwirbt den Zugang zur Software für die Einrichtung und Kontrolle von SASE und erhält den vollen Nutzen der Hardware des Cloud-Anbieters, auf der es bereitgestellt wird. Anstatt den Datenverkehr aus Sicherheitsgründen von einem Router in einer Zweigstelle zu einem Rechenzentrum vor Ort zu leiten, leiten SASE-Kunden den Datenverkehr von der nächstgelegenen Internetverbindung in die Cloud.
Unternehmen können SASE auch als hybride Lösung nutzen, die sowohl in der öffentlichen Cloud als auch in der unternehmenseigenen lokalen Infrastruktur bereitgestellt wird und physische Netzhardware, Sicherheitsanwendungen und das Rechenzentrum mit ihren virtualisierten cloudnativen Gegenstücken integriert.
Vereinfachtes Management und Operationen. SASE-Frameworks bieten eine einzige, konsistente Lösung für die Absicherung von allem, was sich mit dem Netzwerk verbindet oder zu verbinden versucht – nicht nur Benutzer, sondern auch Internet-of-Things-Geräte (IoT), APIs, containerisierte Microservices oder serverlose Anwendungen und sogar virtuelle Maschinen (VMs), die bei Bedarf gestartet werden. Außerdem entfällt die Notwendigkeit, an jedem Verbindungspunkt eine Reihe von Sicherheitslösungen – Router, Firewalls usw. – zu verwalten. Stattdessen können IT- oder Sicherheitsteams eine einzige, zentrale Richtlinie zur Sicherung aller Verbindungen und Ressourcen im Netz erstellen und alles von einem einzigen Kontrollpunkt aus verwalten.
Stärkere Cybersicherheit. Richtig implementiert, kann SASE die Sicherheit auf mehreren Ebenen verbessern. Das vereinfachte Management erhöht die Sicherheit, da die Wahrscheinlichkeit von Fehlern oder Fehlkonfigurationen verringert wird. Für die Sicherung des Datenverkehrs von Remote-Benutzern ersetzt SASE die pauschale, einheitliche Genehmigung des VPN-Zugriffs (Virtual Private Network) durch die differenzierte, identitäts- und kontextbasierte Zugriffskontrolle von ZTNA für Anwendungen, Verzeichnisse, Datensätze und Workloads.
Besseres, konsistenteres Benutzererlebnis. Mit SASE verbinden sich die Benutzer auf die gleiche Weise mit dem Netzwerk, egal ob sie vor Ort, in einer Filiale, von zu Hause oder von unterwegs arbeiten – und egal, ob sie sich mit Anwendungen und Ressourcen verbinden, die in der Cloud oder lokal gehostet werden. SD-WAN-Services leiten den Datenverkehr automatisch an den nächstgelegenen PoP weiter und optimieren die Verbindungen nach Anwendung von Sicherheitsrichtlinien für die bestmögliche Leistung.
SASE bietet Vorteile für jedes Unternehmen, das sich vom zentralen Rechenzentrumsmodell der Anwendungsbereitstellung wegentwickelt. Aber eine Handvoll spezifischer Anwendungsfälle treibt die Akzeptanz heute voran.
Absicherung hybrider Arbeitsgruppen ohne VPN-Engpässe. VPNs sind seit fast zwei Jahrzehnten das vorherrschende Mittel zur Absicherung von Remote- oder mobilen Benutzern. Doch VPNs lassen sich weder einfach noch kostengünstig skalieren – eine Erfahrung, die viele Unternehmen auf die harte Tour gemacht haben, als ihre Belegschaft aufgrund der COVID-19-Pandemie vollständig remote arbeiten musste. Im Gegensatz dazu kann SASE dynamisch skaliert werden, um die Sicherheitsanforderungen von Remote-Arbeitern im Besonderen und einer sich wandelnden Belegschaft im Allgemeinen zu erfüllen.
Hybrid-Cloud-Einführung und Cloud-Migration. Hybrid Cloud kombiniert öffentliche Clouds, private Clouds und lokale Infrastrukturen zu einer einzigen flexiblen Rechenumgebung, in der Workloads je nach den sich ändernden Umständen frei zwischen den Infrastrukturen verschoben werden können. WAN-Sicherheitslösungen sind nicht für diese Art von Workload-Mobilität ausgelegt, aber SASE, das die Sicherheitsfunktionen von der zugrunde liegenden Infrastruktur abstrahiert, sichert den Datenverkehr, wo immer er sich bewegt. Es gibt Unternehmen auch die Flexibilität, Workloads in die Cloud zu migrieren, und zwar in dem Tempo, in dem es funktioniert.
Edge-Computing und die Verbreitung von IoT/OT-Geräten. Edge-Computing ist ein verteiltes Datenverarbeitungsmodell, das Anwendungen und Rechenressourcen außerhalb des zentralen Rechenzentrums und näher an Datenquellen wie Mobiltelefonen, IoT- oder OT-Geräten und Datenservern ansiedelt. Diese Nähe führt zu verbesserten Anwendungsreaktionszeiten und schnelleren Erkenntnissen, insbesondere bei Anwendungen für künstliche Intelligenz (KI) und maschinelles Lernen, die große Mengen an Streaming-Daten in Echtzeit verarbeiten.
Um diese Anwendungen zu ermöglichen, haben Unternehmen oder Lösungsanbieter Tausende von IoT-Sensoren oder OT-Geräten eingesetzt, von denen viele keine oder nur eine geringe Sicherheitskonfiguration aufweisen. Dies macht diese Geräte zu bevorzugten Zielen für Hacker, die sie kapern können, um auf sensible Datenquellen zuzugreifen, den Betrieb zu stören oder DDoS-Angriffe (Distributed Denial of Service) durchzuführen. SASE kann Sicherheitsrichtlinien auf diese Geräte anwenden, sobald sie sich mit dem Netz verbinden, und bietet dem Management über ein zentrales Dashboard Einblick in alle verbundenen Geräte.
IBM Security Services bietet eine maßgeschneiderte Secure Access Service Edge-Lösung (SASE), um Ihre digitale Transformation in dem für Sie passenden Tempo voranzutreiben.
Sicherheit für jeden Benutzer, jedes Gerät und jede Verbindung – zu jeder Zeit mit IBM Security-Zero-Trust-Lösungen.
Modernes Endpunktmanagement zum Schutz Ihrer Endanwender und deren Geräte vor den neuesten Cybersecurity-Bedrohungen.
Bei einem Zero-Trust-Sicherheitskonzept wird allen Endpunkten standardmäßig misstraut und Benutzer erhalten Zugriff mit den geringsten Rechten, der für ihre Jobs oder Funktionen erforderlich ist.
Endpunktsicherheitslösungen schützen Geräte, Benutzer und Unternehmen vor immer raffinierteren Cyberangriffen
Digitale Transformation bedeutet, dass die Erfahrungen von Kunden, Geschäftspartnern und Mitarbeitern in den Mittelpunkt gestellt werden.