5 Top-SASE-Anwendungsfälle: Balance zwischen Cloud und uCPE
Secure Access Service Edge kann die Netzwerk-Performance und Sicherheitskontrollen für Remote-Standorte verbessern. Doch es gibt noch andere Top-SASE-Anwendungsfälle.
Vor IPsec und Software-defined WAN (SD-WAN) nutzte der typische Remote-Standort – etwa eine Bankfiliale oder ein Einzelhandelsgeschäft – private Leitungen wie Time-Divison Multplexing oder MPLS. Diese stellten die Anbindung an ein unternehmenseigenes Data Center oder einen anderen Hub-Standort her, um den Zugang ins Internet, die Cloud oder zu SaaS-Anbietern zu ermöglichen.
Die Kosteneinsparungen durch den Verzicht auf Telekommunikationsdienste zugunsten von Direct Internet Access (DIA) und Breitbandservices sind so erstrebenswert, dass der Einsatz von SD-WAN in den letzten fünf Jahren astronomisch anstieg. Allerdings wuchs dadurch auch das Ausmaß der Internetsicherheitsprobleme exponentiell.
Eine einfache Internetsuche nach CVE SD-WAN oder direkt in der CVE-Liste veranschaulicht den Umfang des Problems. Hacker nutzen SD-WAN-Tunnelendpunkte und physische Geräteadressen für eine Vielzahl von Angriffsvektoren.
Um das Sicherheitsproblem zu lösen, wurden mehrere proprietäre Methoden entwickelt, um SD-WAN-Endpunkte zu härten. Die Sicherheitsteams in Unternehmen können diesen Methoden aber nicht mehr vertrauen und setzen auf das SASE-Modell (Secure Access Service Edge) von Gartner, um den Sicherheits-Stack zu standardisieren und zu stärken.
Ein reines Cloud-Modell für SASE ist jedoch unzureichend. Das SASE-Gerät – nennen wir es Universal Customer Premises Equipment (kurz: uCPE) – muss mindestens in der Lage sein, die Control Plane zu härten und den Standort vor Angriffen zu schützen. Das bedeutet, ihm müssen mehr als verschlüsselte Tunnel zur Verfügung stehen. Gleichzeitig wird eine reine uCPE-Strategie aber auch nicht funktionieren. Bei SASE geht es um Ausgewogenheit.
Da das SASE-Framework weiter an Bedeutung gewinnt, lassen Sie uns einige mögliche SASE-Anwendungsfälle untersuchen.
SASE-Anwendungsfall 1: Netzwerk-Performance
In geografisch verteilten Systemen – zum Beispiel in Bankfilialen oder im Einzelhandel – durchliefen frühere Kommunikationsmodelle das Unternehmensnetzwerk bis zu einem Hub, wo es einen Sicherheits-Stack der Enterprise-Klasse gab. Als sich die Anwendungen zu den aktuellen Web-, Cloud- und SaaS-Modellen weiterentwickelten, wurden die Performance-Probleme offensichtlich.
Denken Sie an einen Flächenstaat wie die USA. Beispielsweise verfügt ein Einzelhandelsunternehmen mit Sitz in Seattle, im äußersten Nordwesten, über Verteilungszentren und Filialen in den gesamten Vereinigten Staaten. Ein Remote-Knotenpunkt, etwa eine Filiale in Miami, muss möglicherweise das ganze Land durchqueren, um über ein Data Center im pazifischen Nordwesten ins Internet zu gelangen und eine Transaktion mit einer Bank in Florida durchzuführen. Während die zusätzliche Latenz für eine Anwendung zur Finanztransaktion wahrscheinlich in Ordnung ist, stellen Sie sich die Probleme für Echtzeitanwendungen wie Sprache und Video vor.
Mit SASE würde sich die Filiale in Miami mit Unternehmensanwendungen über sichere Tunnel verbinden, aber für SaaS- und IP-basierte Dienste mit lokalen Anbietern den direkten Weg wählen. Dies verbessert die Performance und optimiert die Nutzer- und Anwendungserfahrung.
Handelt es sich hierbei um eine Cloud- oder eine uCPE-Konfiguration? Die Antwort lautet: beides. Ein uCPE-System ist mindestens für die Standortabsicherung und Tunneling erforderlich. Aber auch Cloud-Funktionen, wie DDoS-Abwehr (Distributed Denial of Service) und Cloud Access Security Broker (CASB), sind erforderlich. Das lässt sich nicht auf Standortebene lösen.
Welcher Anteil wird in der Cloud und welcher Anteil am Standort erledigt? Um dieses Gleichgewicht dreht sich alles.
SASE-Anwendungsfall 2: Cloud-basiert
In geografisch verteilten Netzwerken wird das Cloud-Modell von den meisten SD-WAN-Anbietern vorangetrieben. Ein führender Cloud-Sicherheits-Provider in diesem Bereich ist Zscaler, der leistungsstarke Sicherheits-Tools anbietet. Diese Art von Anbieter muss mit einem anderen gekoppelt werden, der die uCPE- und Networking-Seite von SASE bereitstellt. Obwohl Zscaler kein SD-WAN anbietet, arbeitet das Unternehmen mit SD-WAN-Providern zusammen, um Sicherheitskontrollen anzubieten.
Außerdem kooperieren Anbieter mit gehärtetem uCPE auch mit Zscaler. Aber es ist auch zu erwarten, dass diese Klasse von Anbietern ihre eigene uCPE-Funktionalität kauft oder entwickelt.
SASE-Anwendungsfall 3: UCPE-basiert
Beim uCPE-basierten Modell wird der größte Teil des Dienstes auf den Edge verteilt. Ein Beispiel hierfür ist Versa Networks mit seinem umfassenden Routing, der Next-Generation Firewall (NGFW) und anderen Funktionen. Zu den anderen Anbietern, die auf dieses Modell hinarbeiten, gehören Cisco und Palo Alto. Alle diese Provider setzen einige Cloud-basierte Services ein, um das SASE-Modell zu vervollständigen.
SASE adressiert Konnektivität, Routing und Sicherheit für Unternehmen und wird sich in den nächsten Jahren schnell weiterentwickeln.
SASE-Anwendungsfall 4: Network as a Service
In der Regel entwickeln Firmen ein Unternehmen um ein Produktangebot herum. Aber eine neue Klasse von Providern, wie Cato Networks, bietet einen End-to-End-Service an, der Standorte mit ihren eigenen Backbone- und Cloud-Services verbindet. Mehrere Anbieter von Content Delivery Networks (CDN) und neue Carrier-Services tendieren ebenfalls in diese Richtung.
SASE-Anwendungsfall 5: Konsistente Sicherheit
SD-WAN hat mehrere Skalierungs- und Performance-Probleme für Unternehmen gelöst, aber nicht die Frage der komplexen Sicherheit. Wenn überhaupt, dann hat SD-WAN das Problem sogar noch verschärft. Die Anzahl der Internetzugangspunkte auf Basis von DIA und Breitbandverbindungen zu den SD-WAN-Standorten hat deutlich zugenommen.
Selbst in geografisch nicht oder kaum verteilten Unternehmen – wie einem Medizinbetrieb mit ein paar Dutzend Kliniken in einem einzigen Ballungsraum oder einer kleinen Region – kann SASE trotzdem eingesetzt werden. Obwohl in diesen Umgebungen keine ernsthaften Performance-Probleme auftreten dürften, gibt es ein inhärentes Problem mit einem SD-WAN-Gerät ohne native Sicherheit, wenn es darum geht, dessen Verbindung zum Internet zu härten.
Fazit
Zusammenfassend lässt sich sagen, dass SASE entwickelt wurde, um festzulegen, wie Services sicher über das Internet angeboten werden können und die damit verbundenen Probleme zu lösen. Es adressiert Konnektivität, Routing und Sicherheit für Unternehmen und wird sich in den nächsten Jahren schnell weiterentwickeln.
Unternehmen sollten in Services investieren, die ein Gleichgewicht zwischen den benötigten Konnektivitätseinsparungen und der erforderlichen Sicherheit zum Schutz ihrer Benutzer, Daten und Systeme bieten.
