Überlegungen zu Management und Troubleshooting von SASE
SASE bietet neue Möglichkeiten für das Netzwerkmanagement und -Troubleshooting. IT-Teams sollten auch auf Benutzerfreundlichkeit sowie Einsichten in Traffic und Policies achten.
Über die SASE-Architektur (Secure Access Service Edge) ist viel geschrieben worden, seit Gartner sie 2019 erstmals definiert hat. Aber die kritischen Funktionen von SASE-Management und -Troubleshooting werden nur selten erwähnt. Schauen wir uns einige Anforderungen an, die Teams bedenken sollten, bevor sie überhastet eine Implementierung vornehmen.
SASE ist das neueste Architekturmodell für die Integration von WAN-Konnektivität und Sicherheit, um die Verwaltung von Remote-Mitarbeitern zu vereinfachen. Die Implementierungen der Anbieter müssen mehrere Technologien integrieren, die zuvor getrennte Funktionen waren. Deshalb verfolgt jeder Anbieter einen etwas anderen Ansatz.
Nachfolgend untersuchen wir die Funktionalität, die Teams bei einer SASE-Implementierung für das Management und Troubleshooting benötigen, was bei der SASE-Produktevaluierung hilfreich ist.
SASE-Management
Das SASE-Managementsystem muss es einfach machen, zwischen verschiedenen Funktionen zu wechseln, und gleichzeitig ein nützliches Dashboard für den Systembetrieb bereitstellen. Die kompetentesten Mitarbeiter einer Organisation in den Bereichen Netzwerkverwaltung, -Troubleshooting und -Sicherheit sollten sich über die Benutzerfreundlichkeit des Systems einig sein, da sie es ja auch verwenden werden. Die Mitarbeiter werden ein System nicht nutzen, wenn sich damit das Troubleshooting schwierig überwachen, verwalten und durchführen lässt, was den Wert des Systems schmälert.
Gehen Sie nicht davon aus, dass eine SASE-Implementierung eine vollständige Tool-Suite für das Monitoring und Troubleshooting bereitstellt – das ist die Domäne von ausgewachsenen Netzwerk- und Sicherheits-Management-Tools.
Als Teil der Usability-Bewertung sollten die Teams überprüfen, ob sie Gruppen von Standorten erstellen können, auf die Richtlinien angewendet werden. Dies ist besonders wichtig für Organisationen mit vielen Standorten, zum Beispiel den Einzelhandel oder Mitarbeiter, die von zu Hause aus arbeiten (Work From Home, WFH).
Das SASE-Kontrollsystem sollte sich selbst überwachen und Alarme für alle kritischen Ressourcen erzeugen, bevor diese ihre volle Auslastung erreichen. Die Trendanalyse kritischer Ressourcen sollte genügend Vorwarnzeit bieten, damit die Teams proaktiv Anpassungen vornehmen können.
Netzwerkmanagement
Zu den Netzwerkmanagementkontrollen gehören die Pfadwahl, das Monitoring der Netzwerkauslastung, das Festlegen von QoS-Richtlinien (Quality of Service) und die Standort-zu-Standort-Konnektivität. IT-Teams sollten sicherstellen, dass sie die Pfade bestimmter Anwendungsflüsse kontrollieren können.
An dieser Stelle verschmelzen Networking und Security. Die Sicherheits-Policies einer Organisation können es erfordern, dass einige Anwendungen nur SD-WAN-Pfade (Software-defined WAN) über direkte Verbindungen zu wichtigen Providern nutzen, während andere Anwendungen auf TLS-Tunneling (Transport Layer Security) über das öffentliche Internet angewiesen sind.
Es wird für die Mitarbeiter wichtig sein, zu verstehen, wie einfach sich Flow Policies erstellen, anwenden und modifizieren lassen, um den sich ändernden Geschäftsanforderungen gerecht zu werden.
Ein eng verwandtes Managementthema ist QoS. Wird zum Beispiel der richtige WAN-Pfad für eine bestimmte Art von Traffic verwendet? Dank zentralisierter Richtliniendefinitionen, die über viele Standorte hinweg angewandt werden, kann dies zu einem überschaubaren Problem werden.
Sicherheitsmanagement
Die Geschäftswelt entwickelt sich heute in einem Tempo weiter, mit dem die Funktionalität von Firewalls, Proxy-Servern sowie Intrusion-Prevention- und Intrusion-Detection-Systemen kaum Schritt halten kann. Die Umstellung auf WFH hat diesen Trend beschleunigt und eine Umgebung geschaffen, in der der Remote-Zugriff von Mitarbeitern geschützt werden muss. Die SASE-Architektur erleichtert es, solche Sicherheitssysteme auf dem neuesten Stand zu halten.
SASE ist attraktiver, als die großen hardwarebasierten Firewalls in den Data Centern der Unternehmen zu aktualisieren. Es reduziert auch die Notwendigkeit, den Traffic der Endnutzer an zentrale Sicherheitssysteme per Backhaul weiterzuleiten. Die IT-Teams werden sich vergewissern wollen, dass potenzielle Angebote für die aktuellen Anforderungen ausreichen und flexibel genug sind, um sich an zukünftige Änderungen anzupassen.
Zu den grundlegenden Sicherheitsfunktionen bei einem SASE-Angebot sollte Folgendes gehören: sicheres DNS, Next-Generation Firewalls (NGFW) mit Allowlist-Funktionalität, Secure Web Gateways (SWG), Zero-Trust-Netzwerkzugriff, Cloud Access Security Broker (CASB) und Data Loss Prevention (DLP). Eine Netzwerksegmentierung ist erforderlich, um zu verhindern, dass sich erfolgreiche Einbrüche seitlich von Standort zu Standort ausbreiten.
Wer verwaltet SASE?
Viele Unternehmen haben in der Vergangenheit Networking und Sicherheit voneinander getrennt. SASE integriert jedoch beide Bereiche, was die Frage aufwirft, wer die SASE-Implementierung verwaltet. Das beste Angebot integriert Networking und Sicherheit zusammen. Aber das ist in manchen Unternehmen ohne begleitende organisatorische und kulturelle Veränderungen nicht möglich.
Abbildung 1: Achten Sie beim Vergleich von SASE-Systemen auf diese Management- und Troubleshooting-Funktionen.
SASE-Troubleshooting
Ein leistungsstarkes SASE-System umfasst gute Troubleshooting- und Analyse-Tools. IT-Teams wollen nicht im Unklaren gelassen werden, wenn eine Anwendung nicht richtig funktioniert. Es ist wichtig, die Verkehrsflüsse von der Quelle bis zum Ziel verfolgen zu können.
Nimmt ein Anwendungsfluss den gewünschten Pfad? Die Mitarbeiter benötigen Sichtbarkeit in Traffic, der mehrere Pfade verwenden kann. Werden die richtigen Firewalls durchlaufen? Haben die Mitarbeiter Einblick in die Verarbeitung von Firewall-Regeln für bestimmte Datenströme? Stellen Sie sich vor, Sie verfolgen einen Datenfluss, der einen von zwei Pfaden nehmen kann. Für einen davon gilt eine andere Firewall-Regel, die ein Problem verursacht.
Für ein detailliertes Troubleshooting benötigen Unternehmen unter Umständen Funktionen zur Paketerfassung und -analyse. Die IT-Teams sollten feststellen, ob solche Tools in das SASE-Produkt integriert sind oder ob sie diese separat bereitstellen müssen. Was die Mitarbeiter brauchen, ist die Möglichkeit, herauszufinden, ob eine langsame Anwendung zurückzuführen ist auf die Clientverarbeitung, die Infrastruktur des Remote-Standorts, Pfadkomponenten im Internet oder die Infrastruktur der Anwendungsdienste, zum Beispiel für SaaS oder eine Unternehmensanwendung.
Angemessene Erwartungen formulieren
Eine praktikable Alternative zu den oben genannten Monitoring- und Troubleshooting-Funktionen ist die Verwendung von Digital Experience Monitoring, um die lästigen Netzwerk-Performance-Probleme zu identifizieren. Es bietet zwar nicht den oben beschriebenen Detaillierungsgrad, aber Digital Experience Monitoring kann Probleme auf einem hohen Niveau erkennen und ermöglicht es den IT-Teams, den allgemeinen Bereich des Netzwerks zu ermitteln, in dem ein Problem auftritt.
Zu guter Letzt sollte die IT-Abteilung ihre Erwartungen zurückschrauben. Gehen Sie nicht davon aus, dass eine SASE-Implementierung eine vollständige Tool-Suite für das Monitoring und Troubleshooting bereitstellt – das ist die Domäne von ausgewachsenen Netzwerk- und Sicherheitsmanagement-Tools. Aber eine Implementierung sollte eine grundlegende Sichtbarkeit in die Infrastruktur bieten, über die Anwendungen laufen. Wundern Sie sich nicht, wenn Monitoring, Management und Troubleshooting bei SASE-Angeboten keinen prominenten Platz einnehmen.
