Zpedia 

/ Was versteht man unter Secure Access Service Edge (SASE)?

Was versteht man unter Secure Access Service Edge (SASE)?

Secure Access Service Edge (SASE) ist ein Framework für die Netzwerkarchitektur, das cloudnative Sicherheitstechnologien wie SWG, CASB, ZTNA und FWaaS mit WAN-Funktionen kombiniert, um User, Systeme und Endgeräte sicher und ortsunabhängig mit Anwendungen und Services zu vernetzen.

SASE und SSE im Vergleich - Blog lesen
Zero TrustCloud-Sicherheit
  1. Was bedeutet das?
  2. Funktionsweise
  3. Was steckt hinter dem Hype?
  4. Komponenten einer SASE-Lösung
  5. 3 Vorteile
  6. Warum ist das erforderlich?
  7. Zscaler SASE
  8. Empfohlene Ressourcen
  9. FAQs
  10. Ähnliche Themen

Was versteht man unter SASE?

SASE steht für SecureAccessServiceEdge, eine Kategorie, die erstmals 2019 im Gartner-Bericht „The Future of Network Security is in the Cloud“ eingeführt wurde und WAN mit Netzwerksicherheit kombiniert. So profitieren Unternehmen u. a. von mehr Agilität, besserer und zuverlässigerer Netzwerkleistung sowie mehr Transparenz und Kontrolle in heterogenen IT-Umgebungen.

Im Unterschied zu SASE bezeichnet der ebenfalls von Gartner geprägte Begriff der Security Service Edge (SSE) diejenigen Funktionen einer SASE-Cloud-Plattform, die sich unmittelbar auf die Bereitstellung der Sicherheit beziehen.

Wie funktioniert SASE?

Eine SASE-Architektur kombiniert ein softwaredefiniertes Wide Area Network (SD-WAN) oder ein anderes WAN mit verschiedenen Sicherheitsfunktionen (z. B. Sicherheitsbroker für den Cloud-Zugriff, Anti-Malware), deren Zusammenwirken den Netzwerk-Traffic schützt.

Herkömmliche Methoden zur Überprüfung und Verifizierung – z. B. die Weiterleitung des Traffics über einen MPLS-Service (Multiprotocol Label Switching) zu Firewalls im unternehmenseigenen Rechenzentrum – sind effektiv, solange die User im Büro sitzen. Diese Methode, den Traffic von Remote-Usern zur Überprüfung ans Rechenzentrum weiterzuleiten und dann wieder zurückzuschicken, wird auch als „Hairpinning“ bezeichnet. Mittlerweile befinden sich jedoch so viele User an Remote-Standorten, dass dieses Verfahren sowohl der Produktivität als auch der User Experience abträglich ist.

SASE unterscheidet sich von Einzellösungen und anderen Verfahren der Netzwerksicherheit insofern, als es gleichermaßen sicher wie direkt ist. Anstatt sich auf die Sicherheit des Rechenzentrums zu verlassen, wird der Datenverkehr der Anwendergeräte hier an einem nahegelegenen Point of Presence (POP) überprüft und von dort aus an sein Ziel weitergeleitet. Das ermöglicht einen effizienteren Anwendungs- und Datenzugriff und ist somit die deutlich bessere Alternative für den Schutz dezentraler Belegschaften und Clouddaten.

Ist SASE nur ein Buzzword?

Das SASE-Framework erregte einiges Aufsehen bei Serviceanbietern und Fachmedien. Am überzeugendsten ist allerdings der Grundgedanke, der hinter dem Hype steckt – nämlich die Erkenntnis, dass Sicherheits- und Netzwerkarchitekturen, die in Rechenzentren verankert sind, in der heutigen Zeit nicht mehr ausreichen. Diese Aussage ist nicht einfach ein Werbespruch, sondern eine Einsicht, die sich in der Branche weitgehend unumstritten durchgesetzt hat.

Worin liegt also der konkrete Mehrwert einer SASE-Lösung gegenüber herkömmlicher unternehmensfähiger Netzwerksicherheit, bei der Zweigstellen durch private Netzwerke verbunden werden und Traffic über Secure Web Gateways und Firewalls geroutet wird?

Gartner merkt an, dass herkömmliche Modelle, bei denen Netzwerkverbindungen und Sicherheitsrichtlinien zentral über das Rechenzentrum verwaltet werden, längst nicht mehr zeitgemäß sind. Stattdessen müsse der Fokus auf User-Identitäten und Gerätedaten liegen. „In einem heutigen Cloud-zentrierten digitalen Unternehmen sind User, Geräte und die Anwendungen, auf die sie sicher zugreifen müssen, überall verteilt“, heißt es in dem Bericht.

Mit anderen Worten: Die heutigen Arbeitsabläufe, Datenverkehrsmuster und Anwendungsfälle unterscheiden sich stark von denen zu der Zeit, als Hub-and-Spoke-Netzwerke konzipiert wurden. Das liegt daran, dass:

  • Mehr User-Traffic zu Cloud-Diensten als zu Rechenzentren geleitet wird
    • .
  • Mehr Arbeit außerhalb des Netzwerks ausgeführt wird als innerhalb des Netzwerks.
  • Mehr Workloads in Cloud-Diensten als in Rechenzentren ausgeführt werden.
  • Mehr SaaS-Anwendungen verwendet werden als solche, die lokal gehostet werden.
  • Mehr vertrauliche Daten in Cloud-Diensten gespeichert werden als im Unternehmensnetzwerk.

Quote

Statt statisch in einer Box am Rand des Rechenzentrums platziert zu sein, sind Sicherheitsperimeter nun überall dort, wo ein Unternehmen sie benötigt – eine dynamisch erstellte, auf Richtlinien basierende Secure Access Service Edge.

Gartner, The Future of Network Security Is in the Cloud, 30. August 2019, Lawrence Orans, Joe Skorupa, Neil MacDonald

Komponenten des SASE-Modells

SASE setzt sich aus sechs wesentlichen funktionalen bzw. technologischen Elementen zusammen:

1. Softwaredefiniertes Wide Area Network (SD-WAN)

Bei SD-WAN handelt es sich um eine Overlay-Architektur, die die Komplexität verringert und die User Experience optimiert. Dazu wird für den Traffic immer die beste Route ins Internet, zu cloudbasierten Anwendungen bzw. zum Rechenzentrum ausgewählt. Dadurch wird ebenfalls die Bereitstellung neuer Apps und Services sowie die standortübergreifende Richtlinienverwaltung erleichtert.

2. Secure Web Gateway (SWG)

SWGs verhindern, dass Traffic ungeprüft aus dem Internet ins interne Unternehmensnetzwerk gelangt. Dadurch schützen Sie Ihre Mitarbeiter und User vor dem Zugriff auf bzw. Infektionen durch schädlichen Web-Traffic, Websites mit Sicherheitslücken, über das Internet übertragene Viren, Malware und Cyberbedrohungen.

3. Cloud Access Security Broker (CASB)

CASBs gewährleisten die sichere Nutzung cloudbasierter Anwendungen und Services, um Datenlecks, Malware-Infektionen, Verstöße gegen aufsichtsrechtliche Vorschriften und mangelnde Transparenz zu verhindern. Sie schützen Anwendungen, die in privaten oder öffentlichen Clouds (IaaS) gehostet oder auch als Software-as-a-Service (SaaS) bereitgestellt werden.

4. Firewall as a Service (FWaaS)

FWaaS ermöglicht den Umstieg von physischen Firewall-Appliances auf Cloud-Firewalls, die erweiterte L7/NGFW-Funktionen (Level 7/Next-Generation Firewall) bereitstellen können. Dazu zählen URL-Filterung und andere Zugriffskontrollen, Schutz vor komplexen Bedrohungen, Eindringschutzsysteme und DNS-Sicherheit.

5. Zero Trust Network Access (ZTNA)

ZTNA-Lösungen ermöglichen Remote-Usern sicheren Zugriff auf interne Apps. Im Zero-Trust-Modell wird keine Entität automatisch als vertrauenswürdig eingestuft. Basierend auf granularen Richtlinien werden Zugriffsberechtigungen immer nach dem Prinzip der minimalen Rechtevergabe gewährt. Remote-User profitieren so von sicheren Verbindungen zu privaten Anwendungen, ohne Zugang zum Netzwerk zu erhalten. Umgekehrt werden Anwendungen niemals im Internet exponiert.

6. Zentrale Verwaltung

Durch die Verwaltung des gesamten Funktionsumfangs über eine einzige Konsole können viele Herausforderungen rund um Änderungskontrolle, Patch-Management, Koordinierung von Ausfallzeiten und Richtlinienverwaltung vermieden werden. Richtlinien lassen sich unternehmensweit unabhängig vom Standort der User konsistent durchsetzen.

3 Vorteile von SASE

Wie können Unternehmen unter heutigen Vorzeichen Zugriffskontrollen und Sicherheitsrichtlinien durchsetzen? Eine herkömmliche On-Premise-Netzwerkinfrastruktur ist den aktuellen Herausforderungen nicht gewachsen. Stattdessen empfiehlt sich der Umstieg auf eine cloudbasierte SASE-Plattform, die WAN-Funktionen (SD-WAN) mit umfassenden Sicherheitsservices kombiniert. Cloudbasiertes SASE bietet erhebliche Vorteile für Unternehmen, die statt einer herkömmlichen Netzwerkinfrastruktur und -sicherheit Cloud-Dienste, Mobilität und andere Aspekte der digitalen Transformation nutzen wollen.

1. Geringere IT-Kosten und weniger Komplexität

Organisationen wollen sicheren Zugriff auf Cloud-Dienste ermöglichen, Remote-User und -Geräte schützen und Sicherheitslücken schließen. Zu diesem Zweck nutzen sie zahlreiche Sicherheitslösungen, die einen erheblichen Kosten- und Verwaltungsaufwand verursachen. Zudem ist dieses Modell der lokalen Netzwerksicherheit in der digitalen Welt schlichtweg ineffektiv.

Anstatt ein neues Problem mit einem veralteten Konzept lösen zu wollen, stellt SASE das Sicherheitsmodell einfach auf den Kopf. Statt wie früher den Netzwerkperimeter abzusichern, gewährleistet SASE standortunabhängig den Schutz von Usern und anderen Entitäten. SASE basiert auf dem Konzept des Edgecomputing, also der Verarbeitung von Daten in möglichst großer Nähe zu den Personen und Systemen, die sie benötigen. Entsprechend werden Sicherheits- und Zugriffslösungen nahe am User bereitgestellt. Verbindungen zu Anwendungen und Services werden anhand der unternehmensspezifischen Sicherheitsrichtlinien dynamisch zugelassen oder abgelehnt.

2. Schnelle, nahtlose User Experience

Solange die User im Netzwerk angemeldet waren und die IT für die Verwaltung von Anwendungen und Infrastruktur verantwortlich zeichnete, waren Anwendererfahrungen einfach kontrollier- und berechenbar. Heutzutage arbeiten Unternehmen zwar zunehmend mit distribuierten Multicloud-Umgebungen, verbinden User jedoch zur Gewährleistung der Sicherheit weiterhin über VPNs mit dem Netzwerk. VPNs beeinträchtigen nicht nur die User Experience, sondern exponieren auch IP-Adressen im Internet. Dadurch vergrößert sich die Angriffsfläche des Unternehmens.

SASE bewirkt genau das Gegenteil, nämlich eine Optimierung der Anwendererfahrung. Gemäß diesem Modell werden Sicherheitsrichtlinien möglichst nahe an der Entität durchgesetzt, die abgesichert werden soll. Statt den User-Traffic zur Sicherheitslösung weiterzuleiten, wird die Sicherheitslösung also in User-Nähe bereitgestellt. SASE ist auf den Schutz von Cloud-Umgebungen ausgelegt. Unternehmen profitieren insbesondere von der intelligenten Verwaltung von Verbindungen an Internetknoten in Echtzeit sowie der Optimierung latenzarmer Direktverbindungen zu cloudbasierten Anwendungen und Services.

3. Geringeres Risiko

Als cloudnative Lösung ist SASE speziell darauf ausgelegt, die einzigartigen Risikoherausforderungen der neuen Realität verteilter User und Anwendungen zu bewältigen. Indem Sicherheit, einschließlich Bedrohungsschutz und Data Loss Prevention (DLP) als zentrale Bestandteile des Konnektivitätsmodells definiert werden, wird sichergestellt, dass alle Verbindungen unabhängig von Standort, App oder Verschlüsselung überprüft und gesichert werden.

Eine Schlüsselkomponente des SASE-Frameworks ist Zero Trust Network Access (ZTNA), um sicheren Anwendungszugriff für mobile User, Remote-Mitarbeiter und Zweigstellen und gleichzeitig die Angriffsfläche und das Risiko lateraler Bewegungen im Netzwerk zu eliminieren.

Warum ist SASE erforderlich?

Im Zuge der digitalen Transformation sind mehr Agilität und Skalierbarkeit, reduzierte Komplexität und optimierte Sicherheit unverzichtbar geworden. Darüber hinaus müssen moderne Unternehmen eine erstklassige Anwendererfahrung gewährleisten – unabhängig davon, wo sich die User befinden.

SASE ist heute kein wünschenswertes Extra mehr, sondern eine alternativlose Voraussetzung für die Cybersicherheit digital aufgestellter Organisationen. Hier sind vier Gründe dafür:

  • SASE wächst mit Ihrem Unternehmen: Wenn Ihr Unternehmen wächst, müssen sowohl Ihr Netzwerk als auch Ihre Sicherheit in der Lage sein, die daraus resultierende Nachfragesteigerung zu bewältigen. SASE ermöglicht die gemeinsame Skalierung Ihres Unternehmens, Netzwerks und Ihrer Sicherheit durch sein cloudbasiertes Modell.
  • SASE macht das Arbeiten von überall aus möglich: Herkömmliche Hub-and-Spoke-Architekturen können die erforderliche Bandbreite nicht bewältigen, um Ihren Remote-Mitarbeitern die Flexibilität zu geben, die sie brauchen, um produktiv zu bleiben. SASE kann das und bietet dabei unternehmensweite Sicherheit für alle User und Geräte an jedem Standort.
  • SASE hält der Entwicklung von Cyberbedrohungen stand: Sicherheitsteams sind ständig in Alarmbereitschaft und verteidigen sich gegen die neuesten Bedrohungen. SASE hilft ihnen, indem es überlegene Sicherheit und einfache Verwaltung bietet und diesen Teams die Möglichkeit gibt, fortgeschrittene Bedrohungen zu bewältigen, woher auch immer sie kommen.
  • SASE bietet Ihnen eine Basis für die Einführung des IoT: Das Internet der Dinge schafft Nutzen für Unternehmen weltweit, aber um IoT-Technologie und -Funktionen effektiv einzuführen, benötigen Sie eine starke Plattform, auf der Sie ein IoT-Ökosystem aufbauen können. Mit SASE können Sie Ihre IoT-Ziele mit beispielloser Konnektivität und Sicherheit erreichen.

All dies hat Anbieter von Networking- und Sicherheitslösungen dazu veranlasst, eigene Versionen einer SASE-Architektur zu entwerfen. Viele dieser Anbieter behaupten, ihr Produkt sei cloudbasiert, doch tatsächlich handelt es sich meist nur um eine Cloud-Plattform, die auf Legacy-Hardware aufsetzt.

Lediglich ein Anbieter ist in der Lage ein wirklich cloudbasiertes SASE-Modell bereitstellen. Woran liegt das? Wir haben unsere Plattform in der Cloud und für die Cloud entwickelt.

Quote

„Es ist davon auszugehen, dass mindestens 40 % der Unternehmen bis 2024 explizite Strategien für die Einführung von SASE haben – Ende 2018 lag dieser Anteil noch bei unter 1 %.“

Gartner, Die Zukunft der Netzwerksicherheit liegt in der Cloud

Zscaler SASE

Zscaler Zero Trust Exchange™ ist unsere SASE-Lösung, die Ihnen ein schnelles, flexibles, einfaches und sicheres Modell für die Verbindung von Usern und Geräten gewährleistet. Unsere Plattform lässt sich als automatisierter, cloudbasierter Dienst einfach bereitstellen und verwalten. Und da sie global verteilt ist, sind Ihre User immer nur einen Katzensprung von ihren Anwendungen entfernt.

Das macht unser SASE einzigartig:

  • Eine native, mehrmandantenfähige Cloud-Architektur, die dynamisch mit der Nachfrage skaliert.
  • Proxy-basierte Architektur für die vollständige Überprüfung des verschlüsselten Datenverkehrs im großen Maßstab.
  • Sicherheit und Richtlinien werden den Usern nahe gebracht, um unnötiges Backhauling zu vermeiden.
  • Zero Trust Network Access (ZTNA), der den Zugriff einschränkt, um native Anwendungssegmentierung bereitzustellen.
  • Keine Angriffsfläche, wodurch gezielte Angriffe verhindert werden, da Ihre Netzwerke und User-Profile nicht dem Internet ausgesetzt sind.

Durch das Peering mit Hunderten von Partnern in großen Internet-Knotenpunkten auf der ganzen Welt bietet die Zero Trust Exchange Ihren Usern optimale Leistung und Zuverlässigkeit.

promotional background

Entdecken Sie, wie Sie mit unserer SASE-Architektur die IT-Kosten und -Komplexität senken und gleichzeitig die Sicherheit und User Experience verbessern können.

Weitere Informationen zu Zero-Trust-SASE

Empfohlene Ressourcen

Eine echte SASE-Lösung erfordert eine Cloud-First-Architektur
Zum Blogbeitrag
Branchengespräch mit Experten von Gartner zu SASE als zukunftsweisendem Netzwerksicherheitskonzept
On-demand ansehen
Zscaler SASE: Moderne IT-Architektur für eine Cloud- und mobilzentrierte Welt
Mehr erfahren
Häufig gestellte Fragen