SASE: Secure Access Service Edge ist die Zukunft von SD-WAN
Secure Access Service Edge (SASE) ist eine Architektur, die das Data-Center-zentrierte Netzwerkdesign ablöst. Das neue Modell basiert stattdessen auf Identität und Nutzerkontext.
Als es mit Software-defined WAN (SD-WAN) losging, wurde die Technologie schnell zum Synonym für WAN-Transformation (Wide Area Networking). Wenn man die Missstände von WAN in den Griff bekommen wollte, führte der Weg über SD-WAN. In Wahrheit aber ignoriert SD-WAN viele andere Netzwerk- und Sicherheitsherausforderungen, mit denen das digitale Geschäft konfrontiert ist.
Es entsteht gerade ein neues Architekturmodell, von dem einige Analysten annehmen, es werde diese Herausforderungen meistern: Secure Access Service Edge (SASE). Der Begriff SASE – wie das englische Wort sassy ausgesprochen – wurde zuerst geprägt von den Gartner-Analysten Neil MacDonald, Lawrence Orans und Joe Skorupa in Gartners BerichtHype Cycle for Enterprise Networking, 2019. Eine tiefergehende Betrachtung bietet der ReportThe Future of Network Security Is in the Cloud.
Finden wir heraus, worum es bei Secure Access Service Edge geht und warum es relevant ist.
Was mit SD-WAN nicht stimmt und weshalb wir SASE brauchen
Bei Legacy-Enterprise-Architekturen steht das Data Center im Mittelpunkt. Der Internetzugang wird über sichere Gateways im Data Center realisiert. MPLS durch SD-WAN auszutauschen, ändert dieses Paradigma nicht – und das ist ein Problem.
Mit der Einführung von Cloud, Mobility und Edge Computing ist das private Data Center nicht länger das Epizentrum des Unternehmensnetzwerks. Das Zurückschleifen (Backhaul) des Datenverkehrs zum Data Center zu erzwingen, ist nicht sinnvoll.
Neben dem Lösen der Konnektivitätsprobleme von MPLS müssen wir einen Weg finden, um überall für Sicherheitskontrollen zu sorgen. Wir müssen dies zudem auf eine Weise erledigen, die für mobile Anwender und Filialbüros konsistent ist.
Was ist SASE?
Jetzt kommt SASE ins Spiel, ein neuer Typ von Sicherheits- und Netzwerkarchitektur. SASE-Plattformen verbinden und sichern Entitäten basierend auf ihrem Echtzeitkontext in Übereinstimmung mit Unternehmensrichtlinien.
Abbildung 1: Die SASE-Architektur konvergiert Netzwerk- und Sicherheitsfunktionen zu einer einzigen Cloud-nativen Plattform.
Anstatt Traffic zwangsweise per Backhaul zum Data Center zurückzutransportieren, wo er von Inspection Engines untersucht wird, bringt SASE die Inspection Engines zu einem nahe gelegenen Point of Presence (PoP). Clients senden Traffic zum PoP, wo er überprüft und weiter ins Internet geleitet wird, oder über den globalen SASE-Backbone zu anderen SASE-Clients.
Ein SASE-Client kann ein mobiles Gerät mit einem SASE-Agenten sein. Es kann sich aber auch um ein IoT-Gerät, einen mobilen Nutzer mit Client-losem Zugriff oder eine Appliance in einer Niederlassung handeln.
SASE konvergiert die zuvor disparaten Netzwerk- und Sicherheitsservices für feste und mobile Anwender – sowie IoT-Geräte und Cloud-Ressourcen – zu einem kohärenten Service basierend auf dem Nutzerkontext.
Zentrale Eigenschaften von SASE
Gartner hat über ein Dutzend verschiedene SASE-Merkmale definiert, die sich aber zu vier Hauptattributen zusammenfassen lassen.
Globaler SD-WAN-Fußabdruck. SASE versucht, die bestmögliche Netzwerk-Performance für alle Anwendungen überall zu liefern. Zu diesem Zweck enthält SASE einen globalen SD-WAN-Service, der über einen privaten Backbone operiert. Mithilfe eines privaten Netzwerks lassen sich die Latenzprobleme des globalen Internets lösen. Der Backbone sollte verteilte PoPs verbinden, auf denen die Sicherheits- und Netzwerksoftware des Unternehmens läuft. Der Datenverkehr des Unternehmens sollte so gut wie nie mit dem Internet Kontakt haben, sondern höchstens, um den SASE-Backbone zu erreichen.
Verteiltes Inspection und Policy Enforcement. SASE-Services verbinden nicht einfach nur Geräte, sondern schützen sie auch. Umfang von Ver- und Entschlüsselung des Inline Traffics ist ein wichtiges Feature. SASE-Services sollten den Traffic mit mehreren Engines untersuchen, die parallel arbeiten. Die Inspection Engines umfassen Malware Scanning und Sandboxing. SASE sollte auch andere Services zur Verfügung stellen, etwa DNS-basierten Schutz und DDoS-Schutz (Distributed Denial-of-Service). Lokale oder regionale gesetzliche Bestimmungen, zum Beispiel die DSGVO, sollten sich in den Routing- und Sicherheitsrichtlinien von SASE erzwingen lassen.
Cloud-native Architektur. Idealerweise wird ein SASE-Service eine Cloud-native Architektur nutzen, die keine speziellen Hardwareabhängigkeiten besitzt. Ebenso sollten Appliances nicht in einer Service Chain zusammengefasst werden. Als Software kann der SASE-Service je nach Bedarf skalieren, ist mehrmandantenfähig für maximale Kosteneinsparungen und lässt sich für eine schnelle Serviceerweiterung rasch instanziieren.
Lokal sind Bereitsstellungsoptionen für Customer Premises Equipment (CPE) verfügbar. Aber diese SASE-Endpunkte sollten schlüsselfertige Black Boxes sein, die Nutzer „einschalten und dann vergessen“, wie Gartner sagt.
Identitätsgetrieben. Im Gegensatz zu anderen Managed-Network-Services stellt die SASE-Architektur Services basierend auf der Identität und dem Kontext der Verbindungsquelle bereit. Zur Identität gehören eine Vielzahl von Faktoren, etwa der initiierende Anwender, das genutzte Gerät und Echtzeitfaktoren, wie die Tageszeit und der Gerätestandort.
Vorteile von SASE
SASE führt zu vielen Vorteilen im Unternehmen. Dazu zählen:
Geringere Komplexität und Kosten. SASE reduziert die Komplexität und Kosten, indem es die Anzahl der Anbieter verringert, die IT-Teams benötigen. Das Modell erfordert weniger Branch Appliances – physisch oder virtuell – und Agenten auf Geräten der Endnutzer. Der SASE-Wettbewerb wird zu weiteren Kosteneinsparungen führen.
SASE-Plattformen verbinden und sichern Entitäten basierend auf ihrem Echtzeit-Kontext in Übereinstimmung mit Unternehmens-Richtlinien.
Verbesserte Performance. Mit ihren eigenen Backbones werden SASE-Provider imstande sein, latenzoptimiertes Routing unter ihren PoPs weltweit zu bieten. Das ist besonders kritisch für latenzempfindliche Apps, zum Beispiel Collaboration, Video, VoIP und Web Conferencing.
Bessere Sicherheit. SASE-Anbieter, die Content untersuchen, werden es Unternehmen möglich machen, Datenrichtlinien auf jeden Nutzer anzuwenden, unabhängig von Gerät oder Kontext. Auch der Zugang wird verbessert, wenn Unternehmen Richtlinien auf Basis der Identität und nicht des Nutzers festlegen – Zero-Trust Networking Access, kurz ZTNA.
Verbesserter IT-Betrieb. Da SASE-Provider die Inspection Engines verwalten, müssen sich Organisationen keine Sorgen mehr machen um Updates zum Schutz vor neuen Angriffen, Appliance-Skalierung und die regelmäßige Anschaffung von neuer Hardware. Ein weiterer unbestreitbarer Vorteil ist eine zentralisierte Richtliniendefinition. IT-Operations-Teams, die von solch banalen Aufgaben entbunden sind, haben mehr Zeit für die wirklich wichtigen Dinge: Mehrwert für das Unternehmen zu schaffen.
SD-WAN und SASE: Welche Optionen stehen Ihnen zur Verfügung?
Gartner ist klar, dass es sich bei SASE um einen dynamischen Markt handelt. Dort finden sich Anbieter mit sehr unterschiedlichem Background – einige kommen aus dem Bereich Content Delivery Networks, andere aus der IT-Sicherheit und wieder andere vom SD-WAN-Markt.
Etliche SD-WAN-Provider wechseln zu SASE. Cato Networks ist das bekannteste Beispiel in diesem Zusammenhang. Das Unternehmen bietet alle vier Elemente eines SASE-Service: globaler Fußabdruck, verteiltes Inspection und Policy Enforcement, eine Cloud-native Plattform und Identity Awareness.
Andere SD-WAN-Anbieter verfolgen einen Black-Box-Edge-Ansatz gegenüber SASE. Open Systems ist ein solcher Fall. Die Firma bietet Security und Networking, komplette Verwaltung – Open Systems kümmert sich um alle Änderungen – und sogar eine Co-Management-Option. Open Systems greift auf das Internet oder das Microsoft Azure Virtual Network als globalen Backbone zurück. Versa Networks verfolgt einen ähnlichen Ansatz, wenn seine Lösungen von Partnern weiterverkauft werden, obwohl jeder Partner individuell bestimmt, welche Versa-Funktionen er seinen Kunden anbietet.
