Umbrella, die SASE-Plattform von Cisco, verfügt über alle Komponenten einer SASE-Architektur, weist jedoch eine hohe Integrationskomplexität auf und ist auf Appliances angewiesen.
Cisco dürfte wohl der bekannteste Name im Netzwerkbereich sein. Daher kommt bei den meisten Unternehmen wahrscheinlich Secure Access Service Edge (SASE) von Cisco in die engere Wahl, wenn es um SASE-Optionen geht. Während Cisco SASE in einer Präsentation toll aussieht, müssen Netzwerkteams tiefer einsteigen, um zu verstehen, wie viele Appliances und Komponenten für eine SASE-Architektur erforderlich sind.
Dieser Artikel wirft einen genaueren Blick darauf, wie die SASE-Plattform von Cisco im Vergleich zu anderen Anbietern abschneidet.
Die Merkmale von SASE kurz zusammengefasst
Im Idealfall handelt es sich bei SASE-Angeboten um Cloud-Services, die Unternehmensnutzer überall mit Unternehmensressourcen an jedem Ort auf sichere Weise verbinden. Sie sollen so einfach und kosteneffizient bereitzustellen und zu warten sein wie jeder andere Cloud-Service – ein deutlicher Unterschied zu den Kopfschmerzen, die Appliance-basierte, ältere Netzwerkarchitekturen bereiten.
SASE-Architekturen vereinen Networking und Sicherheit. SASE-Services nutzen die folgenden Komponenten zur Konnektivität:
Mobile Clients oder clientloser Zugang für die Anbindung von Remote-Benutzern.
Shared Gateways oder Points of Presence zur Verbindung von Cloud-Ressourcen.
Alle diese Komponenten sollten über einen globalen privaten Backbone verbunden sein, um eine optimale Performance weltweit zu gewährleisten. Sie sollten auch durch eine in die SASE-Struktur integrierte Sicherheitssuite geschützt werden, die eine Next-Generation Firewall (NGFW), ein Secure Web Gateway (SWG) und ein Intrusion Prevention System (IPS) umfasst.
Die meisten SASE-Provider bieten jedoch derzeit kein Cloud-natives SASE an. Es handelt sich um eine Strategie oder Roadmap, nicht um ein Produkt.
Das Geniale an SASE sind nicht die neuen Funktionen. Die meisten, wenn nicht sogar alle Funktionen einer SASE-Plattform gibt es bereits in irgendeiner Form auf dem Markt. Das Innovative an SASE ist die Bündelung dieser Funktionen in einem einzigen, globalen Cloud-Service. Der Wechsel von Appliances und separaten Diensten zu einer SASE-Cloud ist ebenso revolutionär und vorteilhaft wie der Umstieg von Servern zu Cloud Computing.
Die Komponenten von Cisco SASE
Cisco macht deutlich, dass es sich bei SASE nicht um ein Produkt, sondern um eine Architektur handelt. In diesem Fall wird die SASE-Architektur unter dem Markennamen Cisco Umbrella angeboten, der den von Gartner definierten Services von SASE folgt:
Die Architektur von Cisco Umbrella basiert auf bereits vorhandenen Produkten, die durch Partnerschaften entwickelt wurden.
Edge-Standorte
Cisco verbindet Standorte, Remote-Benutzer, SaaS-Anwendungen und IaaS-Ressourcen über die folgenden SASE-Edges:
Standorte: Die Standorte sind mit Appliances von Cisco Meraki SD-WAN oder Cisco Viptela SD-WAN ausgerüstet, die sich mit eingebauter Cloud-nativer Sicherheit integrieren lassen. Cisco SD-WAN kann auf einer Vielzahl von Plattformen und mit Cisco-Routern bereitgestellt werden.
IaaS: IaaS-Ressourcen können über die Router der Serie CSR 1000V oder Catalyst 8000V für die Viptela-Option und Virtual MX für Meraki verbunden werden.
SaaS-Anwendungen: SaaS-Anwendungen werden nicht speziell unterstützt. Deshalb gibt es keinen optimierten Zugriff von Cisco Umbrella auf SaaS-Anwendungen.
Sicherheit
Cisco bietet die folgenden Sicherheitsdienste:
Einfaches Firewalling durch Access Control Lists (ACL) in Cisco Routern und Appliances von Viptela SD-WAN.
NGFW in Cisco Firepower, Cisco AnyConnect oder bestimmten Modellen der Appliances von Cisco Viptela SD-WAN.
SWG in Cisco Umbrella.
CASB durch Ciscos Übernahme von CloudLock.
ZTNA durch Duo.
IPS durch Cisco Secure Endpoint.
Management
Die Verwaltung für Cisco SASE hängt vom jeweiligen Einsatzgebiet ab.
Für das Sicherheitsmanagement bietet Cisco die folgenden Optionen an:
Cisco Meraki nur für die Meraki-Verwaltung.
Cisco Umbrella nur für die Verwaltung von Umbrella.
Cisco SecureX für das Sicherheitsmanagement aller Optionen, außer SD-WAN.
Cisco benötigt mehrere Plattformen für das Netzwerkmanagement, unter anderem:
Cisco Meraki nur für die Meraki-Verwaltung.
Cisco Command-Line Interface für die Gerätekonfiguration und -überwachung.
vManage, ein Dashboard, in dem Admins WAN-Kommunikationsrichtlinien festlegen und verwalten, sowie NGFW für Router, die diese Funktion unterstützen.
vSmart, der Cloud-basierte Controller für das Viptela-SD-WAN-Netzwerk.
vBond, um Prozesse auf Edge-Geräten zu initiieren und mit vSmart und vManage zu koordinieren.
Cisco AnyConnect für die Unterstützung von Remote- und mobilen Nutzern.
Stärken von Cisco SASE
Was sind nun die Stärken von Cisco? Die Offensichtliche ist, dass Cisco eben Cisco ist. Es handelt sich um ein etabliertes Technologieunternehmen, das – sofern von den IT-Teams gewünscht – eine Basis von Produkten und Services bereitstellen kann, die in der SASE-Architektur verwendet werden. Diese Services lassen sich untereinander und mit mehreren Plattformen integrieren, so dass Cisco ein End-to-End-Programm in großem Umfang erstellen kann.
Schwächen von Cisco SASE
Der Ansatz von Cisco ist jedoch gleichzeitig seine Schwäche. Wenn es bei SASE um die Konvergenz von Networking und Sicherheit zu einem Cloud-Service geht, ist es schwer zu erkennen, wie der Ansatz von Cisco derzeit als SASE bezeichnet werden kann.
Komplexität der Integration
Ciscos SASE-Ansatz ist komplex und umfasst viele Produktlinien. Für viele Unternehmen ist es schwierig, diese Plattform ohne große IT-Abteilungen oder Unterstützung durch einen Managed Service Provider zu betreiben.
Cisco SASE erfordert die Ressourcen für die Bereitstellung verschiedener Appliances und die Koordinierung der Verwaltung mehrerer Plattformen. Es sieht aus wie das, was es ist: viele einzelne Produkte, die in die aktuelle Architektur eines Unternehmens integriert werden müssen. Schauen wir uns das einmal genauer an.
Cisco integriert Cisco SD-WAN und Umbrella in einem Prozess, den Cisco als „Vereinheitlichung von Cloud-Sicherheit und Networking mit SD-WAN-Automatisierung“ bezeichnet. Die Lösung nutzt IPsec und ermöglicht es den IT-Teams, bis zu 50 IKEv2-Tunnel (IPsec Internet Key Exchange Version 2) von Netzwerkgeräten zu Umbrella anzulegen. Die Tunnel nutzen jedoch die Bandbreite schlecht aus, was an sich schon eine Schwäche darstellt.
Cisco Viptela SD-WAN besteht aus den folgenden vier Elementen:
vBond, das mit jedem Gerät vollständig verbunden sein muss.
vSmart ist der Cloud-basierte Controller für das Netzwerk und verwaltet alle Daten- und Kontrollrichtlinien.
vEdge, der Router, der seine Informationen von vSmart erhält.
vManage, das zentralisierte Portal, das alles verwaltet.
Umbrella soll im gesamten SD-WAN bereitgestellt werden, hat aber seine Grenzen. Geräte müssen DNS für die Sicherheit und die Durchsetzung von Richtlinien verwenden. Das Senden von Abfragen über einen Web-Proxy oder die direkte Verwendung einer IP-Adresse umgeht den Schutz von Umbrella.
Zusätzlich zur vManage-Konsole benötigen die IT-Teams eine zweite Konsole für die GUI von Cisco Umbrella. Auch wenn es bei SASE um die Vereinheitlichung von Sicherheit und Networking geht, werden Cisco SD-WAN und Umbrella getrennt gemanagt.
Die IT-Abteilung muss zudem für Viptela SD-WAN und Umbrella ein zusätzliches Budget einplanen, da dieses Paket teuer ist. Erforderlich hierfür ist das laufzeitbasierte Lizenzpaket Cisco DNA Premier. Darüber hinaus müssen die IT-Teams aufgrund der Anzahl der benötigten Appliances mit höheren Wartungskosten rechnen.
Schlechte Performance von Netzwerk und Dashboard
Wie erwähnt, eignet sich Cisco Umbrella nicht für IP-basierte Ziele. Auch die Tunnelbandbreite ist mit einem maximalen Durchsatz von 250 MBit/s pro Tunnel begrenzt. Dies bedeutet in der Regel eine schwache Netzwerk-Performance.
Die geringe Performance macht sich besonders beim Umbrella-Dashboard bemerkbar, wo das Laden der Daten bis zu einer Stunde dauern kann. Diese Verzögerung dürfte IT-Teams davon abhalten, das Dashboard für Incident Response und Mitigation zu nutzen.
Selbst wenn die Daten auf dem Dashboard angezeigt werden, handelt es sich möglicherweise nicht um die Informationen, die von den IT-Teams benötigt werden. Hier könnte ein Problem mit dem falschen Abonnementtarif vorliegen. Es ist ein Vorteil, wenn mehrere Tarife zur Auswahl stehen, bis die IT-Abteilung feststellt, dass der gekaufte Tarif nicht ihren Anforderungen entspricht. Ein falsches Abonnement verhindert, dass die IT-Teams die wichtigsten Daten in ihrem Dashboard zu Gesicht bekommen.
Zusätzliche Lizenzen
Ein weiteres Problem bei Umbrella ist der Bedarf an zusätzlichen Lizenzen. Zwar erkennt Umbrella sehr gut, woher Bedrohungen kommen, aber die IT-Teams erhalten nur mit dem Tool Roaming Client die umfassendsten Informationen. Das Problem besteht darin, dass der Roaming Client eine zusätzliche Lizenz für jeden Nutzer erfordert, was die ohnehin schon hohen Kosten für den Einsatz von Umbrella weiter erhöht.
Abhängigkeit von Appliances bedeutet regelmäßige Upgrades
Die IT-Teams werden mit mehreren Appliances beschäftigt sein, die sie aufrüsten und skalieren müssen, wenn die Bandbreite steigt und neue Funktionen aktiviert werden. Nicht alle Appliances sind ideal für eine SASE-Plattform.
Cisco Meraki zum Beispiel gilt als eine der besten Optionen für Cloud-gesteuertes Networking. Während es als Komplettangebot eine gute Figur macht, treten Probleme auf, wenn es als Teil einer größeren SASE-Bereitstellung verwendet wird. Das Line Failover ist schlecht und kann bis zu fünf Minuten dauern, bis es konvergiert. Das Failover zwischen IPsec-Tunneln und Umbrella ist mit 60 Sekunden nur geringfügig schneller.
Meraki ist CPU-intensiv, was seine Gesamt-Performance beeinträchtigt. Und obwohl es einen VPN-Client gibt, erhöht seine Funktionsweise – er ruft erst ein Meraki-Gerät auf – die Latenz. Insgesamt befindet sich Meraki auf der Kriechspur, was den Netzwerk-Traffic angeht.
Obwohl sich Cisco SD-WAN bei der Skalierung besser schlägt als Meraki, gibt es auch Probleme mit der Integrationskomplexität. Die vier Elemente von Viptela führen ebenfalls zu Komplexitätsproblemen innerhalb der Managementinfrastruktur. Und sowohl die SASE- wie die SD-WAN-Lösung von Cisco haben ein ähnliches Problem: Sie haben zu viele Optionen und Funktionen, die verwaltet werden müssen, was sie für potenzielle Sicherheitslücken anfällig macht, weil man etwas übersehen könnte.
Wenn Teams sich intensiver mit der Materie beschäftigen, werden sie feststellen, dass Cisco SASE doch mehr verspricht, als es halten kann.
Die Plattform bietet auch zu viele Optionen für sicheren Remote Access. Duo kommt für den sicheren Internet- und SaaS-Zugang zum Einsatz. AnyConnect wird für den Zugriff auf intern gehostete Anwendungen verwendet. Duo arbeitet Cloud-basiert, während AnyConnect Investitionen in und die Bereitstellung von Appliances erfordert. Es gibt keine Integration zwischen den Remote-Access-Funktionen der beiden. Somit kann es wieder dazu kommen, dass IT-Teams wichtige Informationen zu Sicherheitsfragen übersehen.
Cisco SASE ist eher eine Marketingbezeichnung
Auf dem Papier oder in einer PowerPoint-Präsentation hinterlässt Cisco SASE einen großartigen Eindruck. Aufgrund der zahlreichen Angebote, die unter der Marke Umbrella zusammengefasst sind, kann es alle wichtigen Kriterien erfüllen.
Wenn IT-Verantwortliche sich aber intensiver mit der Materie beschäftigen, werden sie feststellen, dass Cisco SASE doch mehr verspricht, als es halten kann. Die Bereitstellung ist komplex, die Integration mangelhaft. Außerdem bieten die Appliances nichts von der Elastizität, den Kosteneinsparungen, der schnellen Bereitstellung, dem einfachen Management und der globalen Verfügbarkeit für Benutzer oder Standorte, die das Markenzeichen von Cloud-Services sind.
Cisco SASE verfolgt die gleiche Appliance-basierte Strategie, mit der auch die IT konfrontiert ist und die auf lange Sicht kostspielig und komplex sein wird. Ja, bei Cisco SASE findet eine Entwicklung statt. Doch es ist nicht klar, ob es im Interesse von Cisco ist, einen einzigen Cloud-Service zu etablieren, der die vielen Umsatzbereiche, die den Gewinn der Firma ausmachen, effektiv ersetzen wird.
Kurz gesagt: Unternehmen, die Cisco treu sind, können sich an dessen SASE-Marketing erfreuen. Aber für Unternehmen, die heute von SASE profitieren wollen, bieten andere Optionen einen besseren Ansatz.
