Definition

SASE (Secure Access Service Edge)

Mitarbeiter: Amit Bareket

SASE, ausgesprochen "sässi", ist das Akronym für Secure Access Service Edge. SASE beschreibt ein Cloud-Architekturmodell, das Netzwerk- und Security-as-a-Service-Funktionen bündelt und als einen gemeinsamen Cloud-Service bereitstellt.

Fortsetzung des Inhalts unten

SASE ermöglicht es Organisationen, ihre Netzwerk- und Sicherheitswerkzeuge in einer einzigen Verwaltungskonsole zu vereinen. Damit steht ein einfaches Sicherheits- und Netzwerk-Tool zur Verfügung, das unabhängig davon ist, wo sich Mitarbeiter und Ressourcen befinden. SASE erfordert wenig bis gar keine lokale Hardware und nutzt die weitverbreitete Konnektivität der Cloud-Technologie, um SD-WAN mit Netzwerksicherheitsfunktionen zu kombinieren, einschließlich:

  • Firewalls as a Service (FaaS)
  • Software as a Service (SaaS)
  • Secure Web Gateways (SWG)
  • Cloud Access Security Broker (CASB)
  • Zero-Trust-Netzwerkzugang

Da die Zahl der Remote-Mitarbeiter zunimmt, und Unternehmen zunehmend Cloud-Dienste zur Ausführung von Anwendungen nutzen, bietet SASE ein bequemes, agiles, kostengünstiges und skalierbares SaaS-Produkt für Netzwerke und Sicherheit.

Organisationen, die auf der Suche nach einem fortschrittlicheren und benutzerzentrierten Netzwerk für ihre Anforderungen an die Verwaltung des Unternehmensnetzwerks sind, könnten davon profitieren, sich über SASE-Architekturen zu informieren. Durch die Einführung von Cloud-Diensten, mobilen Mitarbeitern und Edge-Netzwerken verändert die digitale und Cloud-Transformation die Art und Weise, wie Unternehmen Netzwerksicherheit anwenden. In der Vergangenheit realisierten Unternehmen ihre IT-Sicherheit über alte Hardwarenetzwerke und eine veraltete Einstellung zur Sicherheitsarchitektur.

Wie eine SASE-Architektur funktioniert

SASE-Plattformen funktionieren durch die Bündelung mehrerer Elemente: die Kombination von SD-WAN mit Netzwerksicherheitsdiensten wie FaaS, SaaS, sicheren Web-Gateways, Cloud Access Security Brokern, Endpunktsicherheit und Zero-Trust-Netzwerkzugang. Das Ergebnis ist eine mandantenfähige und multiregionale Sicherheitsplattform, die unabhängig von den Standorten der Mitarbeiter, Rechenzentren, Cloud-Services oder Büros vor Ort ist.

SASE verlässt sich nicht auf Inspektions-Engines in Rechenzentren. Stattdessen werden SASE-Inspektionsgeräte zu einem nahe gelegenen Point of Presence (PoP) gebracht. Ein SASE-Client (etwa ein mobiles Gerät mit einem SASE-Agenten, ein IoT-Gerät, ein mobiles Gerät mit clientlosem Zugriff oder Zweigstellenausrüstung) sendet den Datenverkehr zur Inspektion und Weiterleitung an den PoP – ins Internet oder über die zentrale SASE-Architektur.

SASE-Dienste haben vier entscheidende Merkmale:

  • Globaler SD-WAN-Dienst: SASE verwendet einen SD-WAN-Dienst mit einem privaten Backbone, der Latenzprobleme des globalen Internets vermeidet und die einzelnen PoPs miteinander verbindet, die für Sicherheits- und Netzwerksoftware verwendet werden. Der Datenverkehr berührt nur selten das Internet, und zwar nur, um sich mit dem globalen SASE-Backbone zu verbinden.
  • Verteilte Inspektion und Durchsetzung von Richtlinien: SASE-Dienste verbinden nicht nur Geräte, sondern schützen sie auch. Die Ver- und Entschlüsselung des Inline-Verkehrs ist ein wichtiges Thema. SASE-Dienste sollten den Datenverkehr mit mehreren parallel arbeitenden Engines inspizieren. Zu den Inspektions-Engines gehören Malware-Scanning und Sandboxing. SASE sollte auch andere Dienste anbieten, wie DNS-basierten (Domain Name System) und DDoS-Schutz (Distributed Denial-of-Service). Lokale Vorschriften, wie die EU-Datenschutz-Grundverordnung (EU-DSGVO), sollten in den Routing- und Sicherheitsrichtlinien der SASE durchsetzbar sein.
  • Cloud-Architektur: SASE-Dienste sollten Cloud-Ressourcen und -Architekturen ohne spezifische Hardware-Anforderungen nutzen und keine Dienstverkettung beinhalten. Software sollte aus Gründen der Preisfreundlichkeit mandantenfähig sein und für eine schnelle Erweiterung instanziierbar sein.
  • Identitätsgesteuert: SASE-Dienste haben Zugriff auf der Grundlage von Benutzeridentitätskennzeichen wie spezifisches Anwendergerät und Einsatzort.

 

Ein Vergleich von SASE-Modell und traditionellen Netzwerk-Sicherheitsarchitekturen.
Abbildung 1: Ein Vergleich von SASE-Modell und traditionellen Netzwerk-Sicherheitsarchitekturen.

Vorteile einer SASE-Architektur

Leichte Bedienbarkeit: Es gibt eine einzige Verwaltungsplattform, die die Sicherheitsrichtlinien eines gesamten Unternehmens kontrolliert sowie durchsetzt und damit eine Vereinfachung des Betriebs ermöglicht. Dies ist eine bedeutende Verbesserung für IT-Teams, die es ihnen ermöglicht, von der standortbezogenen Sicherheit auf eine benutzerbezogene Sicherheit umzustellen.

Vereinfachung des Netzwerks: Es besteht keine Notwendigkeit für komplexe und teure MPLS-Leitungen (Multiprotocol Label Switching) oder Netzwerkinfrastruktur. Die gesamte Netzwerkinfrastruktur ist so angepasst, dass sie einfach, wartungsfreundlich und leicht konsumierbar ist. Das ist unabhängig davon, wo sich Mitarbeiter, Rechenzentren oder Cloud-Umgebungen befinden.

Verbesserte Netzwerksicherheit: Eine effektive Implementierung von SASE-Diensten kann sensible Daten schützen und dazu beitragen, eine Vielzahl von Angriffen wie MITM-Attacken (Man-in-the-Middle), Spoofing und böswilligen Datenverkehr abzuschwächen. Führende SASE-Dienste bieten auch sichere Verschlüsselung für alle Remote-Geräte und wenden strengere Inspektionsrichtlinien für öffentliche Zugangsnetze (beispielsweise öffentliches WLAN) an. Datenschutzkontrollen lassen sich in der Regel auch besser durchsetzen, indem der Verkehr an PoPs in bestimmten Regionen weitergeleitet wird.

Vereinheitlichung von Backbone und Edge: Mit SASE kann ein einzelner Backbone mit Edge-Diensten kombiniert werden. Das sind beispielsweise Content Delivery Networks (CDN), Cloud Access Security Brokers (CASB), VPN-Ersatz und Edge-Netzwerke. Mit SASE kann ein Anbieter Cloud, Internetzugang, Rechenzentrumsdienste, Netzwerk- und Sicherheitsfunktionen über einen einzigen Dienst anbieten – als gemeinsame Anstrengung von Netzwerk-, Sicherheits-, Mobil-, App-Entwicklungs- und Systemadministrationsteams.

Bedeutung von SASE

Da Unternehmen zunehmend Cloud-Dienste einführen, lernen viele schnell, dass Netzwerksicherheit nicht so einfach ist. Die traditionelle Netzwerksicherheit basierte auf der Idee, dass Organisationen den Datenverkehr an statische Unternehmensnetzwerke senden sollten, in denen sich die erforderlichen Sicherheitsdienste befinden. Dies war das akzeptierte Modell, da die Mehrheit der Mitarbeiter von standortzentrierten Büros aus arbeitete.

Das Konzept der benutzerzentrierten Netzwerke hat das traditionelle Netzwerk verändert, das wir einst kannten. In den letzten zehn Jahren hat die Zahl der Menschen zugenommen, die weltweit aus der Ferne arbeiten. Infolgedessen sind die standardmäßigen, hardwarebasierten Sicherheitseinrichtungen, auf die Netzwerkadministratoren angewiesen sind, nicht mehr ausreichend, um den Fernzugriff auf das Netzwerk zu sichern.

SASE ermöglicht es Unternehmen, Sicherheitsdienste in Betracht zu ziehen, ohne vom Verbleib der Unternehmensressourcen diktiert zu werden, und zwar mit konsolidierter und einheitlicher Richtlinienverwaltung auf der Grundlage von Benutzeridentitäten.

Damit verschiebt sich die Frage von "Wie sieht die Sicherheitspolitik für meinen Standort oder mein Büro in München aus?" zu "Wie sieht die Sicherheitspolitik des Benutzers aus?“. Diese Änderung führt zu einer bedeutenden Veränderung in der Art und Weise, wie Unternehmen Netzwerksicherheit umsetzen, und ermöglicht es ihnen, sieben bis zehn verschiedene Sicherheitsanbieter durch eine einzige Plattform zu ersetzen.

Diese Definition wurde zuletzt im August 2020 aktualisiert

Erfahren Sie mehr über Netzwerksicherheit

ComputerWeekly.de

Close