In vielen Unternehmen haben sich isolierte Abteilungen gebildet: IT-Silos. Doch die Konvergenz von Secure Access Service Edge (SASE) könnte die separierten Teams wieder verbinden.
Software-defined WAN (SD-WAN) bot die Möglichkeit, Carrier-basierte Architekturen zu verdrängen und etablierte Anbieter davon abzuhalten, das Enterprise-WAN-Geschäft zu beherrschen. Die Verwendung von Direct Internet Access (DIA) und Breitbandverbindungen an Remote-Standorten führte jedoch zu einem Verwaltungsproblem mit Blick auf die dortigen Sicherheitsanforderungen.
Sicherheit im Unternehmenskontext bedeutet buchstäblich, dass Dutzende von Geräten zum Einsatz kommen. Während diese Strategie in zentralisierten Instanzen kosteneffektiv ist, macht sie in einem Modell mit Filialbüros keinen Sinn. Den Zugriff auf Unternehmensdienste und DIA für Anwendungen wie Microsoft 365 zwischen sicheren Tunneln aufzuteilen, war aus Performance-Gründen erwünscht. Aber Sicherheitsteams und Aufsichtsbehörden taten sich schwer damit, diese Art des Zugriffs zuzulassen.
An dieser Stelle kommt Secure Access Service Edge (SASE) ins Spiel. Dieses von Gartner definierte Architekturkonzept treibt die Konvergenz von Networking- und Sicherheitsfunktionen am Edge voran.
Das Problem von IT-Silos
IT-Abteilungen in großen Unternehmen wuchsen im Laufe der Zeit und führten aus der Not heraus zu Organisationskulturen, in denen weitgehend voneinander abgeschottete Silos für Networking, Server, Desktops und Sicherheit entstanden. In der zentralisierten Welt vor SD-WAN wurde das Sicherheitsequipment in Data Centern zentral vorgehalten und von einem separaten Team verwaltet.
Die Komplexität von IT-Sicherheit erforderte spezialisiertes Personal, das Problemen mit spezieller Ausrüstung auf den Grund ging. Zu diesen Systemen gehörten unter anderem Geräte wie Intrusion Prevention Systems (IPS), Intrusion Detection Systems (IDS), Firewalls, Next-Generation Firewalls (NGFW) und DLP-Tools (Data Loss Prevention). Aber fast niemand konnte es sich leisten, diese separaten Systeme am Edge zu verwalten.
SD-WAN löst Skalierungsprobleme, erschwert aber die Sicherheit
Software-defined Routing mittels SD-WAN-Technologie löste viele Skalierungs- und Performance-Probleme für Unternehmen, aber nicht das Problem der komplexen Sicherheit. Wenn überhaupt, dann verschlimmerte SD-WAN das Problem sogar noch.
Um das Sicherheitsproblem zu lösen, entschieden sich die meisten SD-WAN-Nutzer dafür, IT-Sicherheit als separaten Prozess zu belassen. Das Ergebnis war, dass Anwender in Niederlassungen die SD-WAN-Verbindung zu einem Data Center nutzten – genau wie bei MPLS –, wo die demilitarisierte Zone (DMZ) des Unternehmens den Internetzugang erlaubte. Somit durchquerte ein per DIA- oder Breitbandverbindung angebundener Filialstandort das Internet, um ins Internet zu gelangen.
In einem Versuch, diese Situation bei der SD-WAN-Sicherheit zu verbessern, entstanden die beiden folgenden Ansätze:
1. Colocation Hubs
Bei diesem Modell wurden neue Sicherheits-Stacks geschaffen, die vom Sicherheitsteam betrieben werden und geografisch verteilt sind, um die Client-Performance zu verbessern. Hierbei wurde aber eine vollständige Trennung auf einem zugelassenen Sicherheits-Stack beibehalten.
Ein Beispiel ist die Referenzarchitektur Equinix Performance Hub, in der Clients SD-WAN-Traffic aggregieren und Sicherheits-Stacks auf Enterprise-Niveau einrichten können, die Internet-, SaaS- und Cloud-Konnektivität ermöglichen.
2. Security as a Service
Zscaler setzte als Erster dieses Modell ein, bei dem die Niederlassung über sichere Tunnel sowohl zu dem oder den Data Center(n) des Unternehmens als auch den Data Centern von Zscaler verfügt.
Cato Cloud von Cato Networks und das von Fortinet übernommene OPAQ Networks betreiben ebenfalls dieses Modell.
In beiden genannten Fällen arbeiten die Security- und Networking-Teams völlig unabhängig voneinander.
Abbildung 1: SASE-Architektur im Überblick.
SASE-Konvergenz und die Taktiken der Anbieter
Zscaler, Fortinets OPAQ Networks und eine Vielzahl von Cloud-basierten Angeboten behaupten alle, natives SASE zu bieten. Das ist aber nicht die ganze Wahrheit, sondern deckt nur die Sicherheitsseite ab. Die andere Seite der SASE-Gleichung sind die Networking-Funktionen. Hier glänzen die meisten SD-WAN-Provider.
Kein einzelner Anbieter hat ein perfektes Angebot, aber alle Marktführer verfolgen eine integrierte Vision. Die Networking- und Sicherheitsangebote von Cisco, Fortinet, Palo Alto Networks und VMware VeloCloud sind durch eine Reihe von Übernahmen zustande gekommen. Ihr gemeinsames Ziel ist ein natives SASE-Angebot. Unabhängig davon ist Versa Networks der letzte unabhängige Anbieter in Gartners Leader-Quadranten im Bericht 2020 Magic Quadrant for WAN Edge Infrastructure, da Silver Peak von HPE übernommen wurde.
Es entsteht eine neue Klasse von Anbietern mit End-to-End-SASE-Services im Portfolio. Cato Networks und Versa Networks zum Beispiel haben Angebote, die alle lokalen Komponenten im Zusammenhang mit SASE sowohl für Networking als auch für Security umfassen.
Cato konvergiert SD-WAN- und Netzwerksicherheit in einem globalen, Cloud-nativen Service. Er verbindet Standorte, mobile Benutzer, Cloud Data Center und Cloud-Anwendungen mit seinem privaten Backbone. Zudem führt er einen Sicherheits-Stack aus, der eine Next-Generation Firewall, ein Secure Web Gateway (SGW), Antivirusservices sowie Managed Detection and Response umfasst.
Mit der SASE-Ankündigung von Gartner im Jahr 2019 hat Versa seine Produktentwicklung angepasst, um die Cloud-basierten Lücken zu schließen. Darüber hinaus läuft Versa auf Commodity-basierten uCPE-Plattformen (Universal Customer Premises Equipment) und unterstützt sowohl Mehrmandantenfähigkeit als auch Role Based Access Control (RBAC).
Strukturbedingte Hindernisse für SASE
Die Hürden für SASE liegen meistens in der Struktur der Organisation. So werden Netzwerkteams nicht gefeuert, wenn sie Cisco oder Juniper kaufen, und Sicherheitsteams lieben Palo Alto. SASE verlangt von Unternehmen, dass sie CPE und dessen Netzwerk- und Sicherheitsfunktionen ganzheitlich betrachten.
Allerdings könnte eine Organisation Schwierigkeiten haben, das System zu implementieren, wenn es Mehrmandantenfähigkeit und RBAC nicht unterstützen kann. Denn die meisten größeren Unternehmen verfügen über separate Architektur-, Engineering-, Implementierungs- und Operations-Teams. Zudem trennen sie die Funktionen zwischen Security und Networking vollständig.
SASE verlangt von Unternehmen, dass sie CPE und dessen Netzwerk- und Sicherheits-Funktionen ganzheitlich betrachten.
Zum Beispiel könnte ein Mitglied des Security-Operations-Teams Lesezugriff auf einen Router benötigen und Schreibzugriff auf eine Firewall haben. Umgekehrt könnte jemand vom Networking-Team Schreibzugriff auf einen Router benötigen, aber Lesezugriff auf das IPS und die Firewall haben.
Organisationen mit diesen IT-Silos befolgen die ITIL-Trennungen und bieten abgestuften Zugriff auf Infrastrukturgeräte. Leider gibt es Situationen, in denen Unternehmensteams die Verwaltung eines Geräts nicht gemeinsam übernehmen – selbst dann nicht, wenn die Security- und Networking-Funktionalitäten vollständig getrennte Managementschnittstellen besitzen.
Hier kollidieren Logik und Realität. Wir müssen oft verstehen, was wir erreichen können, anstatt die perfekte Lösung zu definieren und nie ans Ziel zu kommen.
SASE-Konvergenz: Zu berücksichtigende Faktoren
Ein Organisationskonstrukt mit starren, in Stein gemeißelten IT-Silos wird sich wahrscheinlich nicht mit einem nativen SASE-Angebot befassen, sollte es aber. Die Kostenvorteile integrierter Angebote sind enorm, denn sie ermöglichen weniger Geräte, weniger Anbieterverträge und einen geringeren Wartungsaufwand.
Unternehmen sollten prüfen, ob eine native SASE-Plattform die vier folgenden Aspekte unterstützt:
ein integriertes uCPE-Gerät, das alle lokalen Networking-Funktionen übernehmen kann;
einen Single-Pass-Prozess für die Ausführung aller lokalen Networking- und Sicherheitsfunktionen am uCPE;
ein Cloud- oder CDN-Angebot (Content Delivery Network), das die zentralisierten Funktionen des SASE-Modells bereitstellt, zum Beispiel DNS und Cloud Access Security Broker (CASB); und
RBAC, das echte Mehrmandantenfähigkeit bietet und die Trennung von Verwaltung und Betrieb mit den Netzwerk- und Sicherheitsfunktionen ermöglicht.
Sie kennen die Veränderungsbereitschaft Ihres eigenen Unternehmens und den Wunsch nach Kostenreduzierung. Lassen Sie sich diese Fragen von potenziellen Anbietern beantworten, und Ihre Optionen werden sich herauskristallisieren.
