metamorworks - stock.adobe.com
SASE vereint mehrere Security- und Networking-Technologien
Mit SASE lassen sich Netzwerk- und Sicherheitstechnologien zusammenführen. Aber es gibt mehr als nur eine Möglichkeit, um diesen neuesten Konnektivitätsansatz zu implementieren.
Die geschäftliche Nutzung von direkten Internetzugängen und Breitbanddiensten für Remote Access begann mit IPsec-Tunneling. Mit der Entwicklung und dem Rollout von Software-defined WAN (SD-WAN) weitete sie sich schnell aus. Als Zugriffsmethoden ermöglichten diese Technologien es Unternehmen, ihren IT-Traffic sicher über das Internet zu tunneln. Allerdings verlangten die meisten Enterprise-Sicherheitsstandards, dass der Nutzer-Traffic zum Internet über dafür vorgesehene Sicherheits-Stacks geleitet werden musste. Diese waren in der Regel zentralisiert und befanden sich in den Data Centern der Unternehmen.
Während die Benutzer-Performance für IT-gehostete Anwendungen optimiert war, galt das nicht für den Internetzugang oder SaaS-Anwendungen, wie Microsoft 365 oder Salesforce. Infolgedessen suchten Unternehmen nach Optionen, die Anwendern in SD-WAN-fähigen Zweigstellen einen direkten Zugriff auf Internetdienste und gleichzeitig sichere Tunnel für den Unternehmens-Traffic ermöglichten. Dies führte zu einem Modell, das sich am besten als hybride Konnektivität beschreiben lässt.
Leider ordnete dieses Modell die Sicherheitsanforderungen am Netzwerk-Edge an. Dadurch hatten Unternehmen mit der Komplexität zu kämpfen, am Edge mehrere Geräte zu verwalten oder mehrere Funktionen auf einem oder mehreren Geräten per Service Chaining zu managen.
Im Gartner-Bericht von 2019, der das Konzept von Secure Access Services Edge (SASE) beschreibt, erläutern Joe Skorupa und Neil MacDonald die Notwendigkeit der Konvergenz zwischen Netzwerk- und Sicherheitsfunktionen am WAN-Edge.
Entsprechend gibt es in der SD-WAN-Welt drei verschiedene SASE-Modelle:
- SD-WAN-only
- SD-WAN mit SASE-Overlay
- Natives SASE
SD-WAN-only
SD-WAN begann als WAN-only-Technologie ohne native Sicherheitsfunktionen. Viptela, VeloCloud und die meisten der frühen SD-WAN-Start-ups begannen als reine Netzwerkanbieter. Ihr erster Vorstoß erfolgte in Zusammenarbeit mit Service-Providern.
So kooperierte etwa Viptela mit Verizon und Singtel, während AT&T der Partner von VeloCloud war. Diese Service-Provider verkauften buchstäblich ein gemanagtes beziehungsweise Pauschalangebot. Dazu lieferten sie SD-WAN-Router, die als Customer Premises Equipment (CPE) des Service-Providers fungierten. Die Service-Provider waren aufgrund der Komplexität nicht an Sicherheit interessiert und überließen diese Option den Kunden.
SD-WAN-only bietet bezüglich Sicherheit die beiden folgenden Anwendungsfälle:
- Security in Eigenregie (DIY-Ansatz): Für Unternehmen mit einer strikten Arbeitsteilung zwischen Netzwerk- und Sicherheitsteams dürfte dieses Modell attraktiv sein. Diese Unternehmen erlauben keinen direkten Internet-Offload am Remote-Standort.
- Neue Service-Provider: Traditionelle Service-Provider, beispielsweise Carrier, haben sich auf andere Dinge als Sicherheit und Content-Verarbeitung konzentriert. Die durch SD-WAN ausgelösten Entwicklungen haben neue Carrier ermutigt, in diesen Markt einzutreten. Dazu zählen unter anderem Masergy und Apcela, die SASE-Optionen für die SD-WAN-Produktsuite anbieten. Große Anbieter von Content Delivery Networks (CDN), etwa Akamai und Cloudflare, sind ebenfalls relativ neu in diesem Bereich.
SD-WAN mit SASE-Overlay
Wie erwähnt, waren die frühen SD-WAN-Anbieter reine Netzwerk-Provider. Der SD-WAN- und Security-Ansatz wurde von Zscaler und Opaq Networks, jetzt ein Teil von Fortinet, als Sicherheits-Overlay eingeführt, um das bereitzustellen, was wir heute SASE-Funktionen nennen.
Dieser Ansatz in Form eines Cloud-Modells nutzte SD-WAN, um sowohl eine Verbindung mit dem Unternehmen als auch mit dem SASE-Provider zu ermöglichen. Die meisten der frühen SD-WAN-Provider offerierten Partnerschaften mit einem Sicherheits-Overlay-Anbieter, um Sicherheitsbedenken Rechnung zu tragen und gleichzeitig ein optimales Routing für hybride Umgebungen bereitzustellen.
Provider, die SD-WAN mit SASE-Overlay anbieten, verfügen über eigene Colocation-Einrichtungen mit ISP-Konnektivität und kompletten Sicherheits-Stacks, die ein As-a-Service-Modell erlauben. Diese Einrichtungen sind weltweit verteilt und bieten einen erheblichen Vorteil gegenüber Unternehmen, die ein DIY-Modell einsetzen. Bei diesem Ansatz durchquert der Traffic auf dem Weg ins Internet zunächst das SD-WAN und ein Enterprise Data Center.
Dieses Modell eignet sich auch für Organisationen, in denen Netzwerk- und Sicherheitsteams voneinander getrennt sind.
Da die SASE-Studie von Gartner eine Konvergenz von Networking und Sicherheit fordert, behaupten jetzt jedoch etliche andere Anbieter, diese Art von Service anzubieten. So gibt ein bekannter CASB-Provider (Cloud Access Security Broker) nun an, ein SASE-Angebot im Portfolio zu haben, ebenso wie eine Reihe von Start-ups im CASB-Bereich.
Infolgedessen bieten einige Colocation- und neue Service-Provider jetzt Dienste an und nennen sie SASE. Start-ups wie Alkira und Aviatrix reizen mit dem Aufbau von Netzwerken in einer Cloud-First-Umgebung mit virtuellen Sicherheits-Stacks die Grenzen aus.
Natives SASE
Native SASE-Funktionalität kombiniert diese Sicherheits- und Routing-Funktionen entweder in einem universellen CPE-Gerät oder in einer Kombination aus uCPE- und Cloud-Services.
Während sich die ersten Start-ups nur auf SD-WAN konzentrierten, differenzierten später gegründete Unternehmen ihre Produktvorschläge für die Venture-Capital-Szene mit nativen Sicherheitsfunktionen. Versa Networks zum Beispiel hat eine mit allen Funktionen ausgestattete Next-Generation-Firewall (NGFW) in sein Angebot aufgenommen.
Die Untersuchungen von Gartner ermöglichten es Versa, sein Marketing auf die bereits vorhandenen Funktionen auszurichten und gleichzeitig seine Produktpipeline anzupassen, um die fehlenden Features nachzurüsten.
Das Ergebnis eines nativen SASE-Modells ist ein breites Spektrum an Netzwerk- und Sicherheitsfunktionen. Es umfasst Routing, SD-WAN, Carrier-Grade-NAT (Network Address Translation), Denial of Service (DoS), IP-Adressmanagement (IPAM), Stateful Firewall, NGFW, Intrusion Prevention System (IPS), Intrusion Detection System (IDS) sowie Antivirus- und Antimalware-Lösungen. Und das alles innerhalb einer einzigen Plattform mit zentraler Policy-Verwaltung.
Cisco und Palo Alto Networks sind durch Übernahmen im SD-WAN-Bereich in diese SASE-Kategorie vorgestoßen und arbeiten jeweils an kombinierten Produktangeboten, um zu vollwertigen SASE-Anbietern zu werden. Darüber hinaus hat Fortinet, das bereits über ein SD-WAN-Angebot verfügte, den Sicherheitsanbieter Opaq Networks übernommen, um sein SASE-Portfolio zu vervollständigen.
Cisco nutzte für seinen Ansatz die eigenen Router-Plattformen mit Software, die Ciscos Sicherheit mit SD-WAN-Technologie kombinierte. Da das integrierte IOS-XE-System jedoch Berichten zufolge schlecht funktionierte, hat das Unternehmen eine neue, speziell entwickelte Plattform auf den Markt gebracht: die Serie Cisco Catalyst 8000 Edge. Diese besteht aus der Catalyst-8500-Edge-Plattform, die für Aggregationsaufgaben im Data Center oder einer Colocation-Einrichtung konzipiert wurde, der 8300er-Reihe, die für Filialbüros gedacht ist, und einer Catalyst 8000V als reine Softwareversion.
Fortinet hatte bereits ein SD-WAN-Angebot, das preisgünstig war und Sicherheitsfunktionen enthielt. Durch die Übernahme von Opaq Networks verfügt das Unternehmen nun über eigene Colocation-Einrichtungen, dedizierte Sicherheits-Stacks und ein Backend-Netzwerk.
Palo Alto hat Anfang 2020 CloudGenix übernommen und ist somit in der Lage, eines der vollständigsten SASE-Angebote auf den Markt zu bringen, wenn alle Integrationsarbeiten abgeschlossen sind. Sowohl Cisco als auch Palo Alto fehlt derzeit ein kostengünstiges uCPE-Gerät.
Wie Sie ein geeignetes SASE-Modell wählen
SD-WAN selbst ist nur eine Verbindungstechnologie, während SASE verschiedene Networking- und Security-Technologien konvergiert. Diese Konvergenz vereinfacht die Verwaltung, weil sie die Größe der Netzwerk- und Sicherheits-Stacks reduziert. Aus diesem Grund sollten Unternehmen von SD-WAN-only-Implementierungen absehen.
Auf der einen Seite können sich Unternehmen für ein Cloud-Modell entscheiden, das die SD-WAN-Funktionalität mit einem Cloud-Services-Modell koppelt. Bei dieser Option müssen Unternehmen in der Regel nicht mehr als nur zwei Dienste verwalten. In diesem Fall ermöglicht ein SD-WAN-Anbieter oder -Service ein gewisses Maß an Network as a Service. Wenn man noch ein Cloud Overlay hinzufügt, wie Zscaler oder Opaq, erhält man eine vollwertige SASE-Lösung.
Die andere Option sieht ein uCPE-Gerät vor, das dem Remote-Standort mehr Netzwerk- und Sicherheitsdienste lokal bereitstellt. Einige Services können aber auch Cloud-basiert sein. Dieses Modell bietet die beste Performance. Unternehmen sollten aber darauf achten, die Implementierung des Anbieters zu prüfen.
Ein uCPE-Provider, der Services innerhalb der Architektur verkettet, wird im Vergleich zu einer Implementierung, die den Traffic für alle lokal verarbeiteten Funktionen in einem einzigen Durchgang verarbeitet, eine schlechte Performance liefern.