SASE und Zero Trust statt SASE vs. Zero Trust

Was ist Zero Trust Network Access (ZTNA)?

Der 2010 von Forrester Research geprägte Begriff Zero Trust wendet das seit langem bestehende Sicherheitsprinzip der geringsten Privilegien (POLP) auf den Netzwerkzugriff an. Dabei werden im Gegensatz zu früheren Architekturen keine Annahmen hinsichtlich der Vertrauenswürdigkeit getroffen.

Das Kernprinzip von ZTNA besteht darin, dass keinem Benutzer und keinem Gerät allein aufgrund seines Standorts im Netzwerk Zugriff auf Ressourcen gewährt werden sollte. Die Zeiten, in denen der Zugriff auf Anwendungen anhand von IP-Adressen oder anderen netzwerkbasierten Kriterien gewährt wurde, sind vorbei.

ZTNA berücksichtigt, dass sich sowohl Benutzer als auch sensible Daten in der heutigen Betriebsumgebung überall befinden können: im Unternehmensbüro, zu Hause, in der Cloud oder unterwegs. Das Zero-Trust-Modell ersetzt den netzwerkorientierten Ansatz der Zugriffskontrolle durch eine starke Authentifizierungs- und Autorisierungstechnologie. Diese ermöglicht es Administratoren, granulare Zugriffskontrollen anzuwenden.

Solche Zugriffskontrollen erlauben Benutzern den Zugang zu bestimmten Anwendungen, basierend auf ihrer spezifischen Rolle innerhalb der Organisation. Die Kontrollen tragen auch entscheidend dazu bei, das Netzwerk vor externen Risiken sowie vor böswilligen und fahrlässigen internen Bedrohungen zu schützen.

Ein Zero-Trust-Ansatz für die Netzwerksicherheit vereinfacht nicht nur die Netzwerkanforderungen, sondern passt sich auch an die Flexibilität der heutigen Technologieumgebung an. ZTNA ermöglicht Benutzern – unabhängig von ihrem Standort im Netzwerk – den Zugriff auf Dienste, während POLP strikt durchgesetzt wird.

Was ist Secure Access Service Edge (SASE)?

SASE ist ein Ansatz für Netzwerke und Netzwerksicherheit, der auf dem ZTNA-Modell aufbaut, um ein vollständig integriertes Netzwerk bereitzustellen. Dieses 2019 von Gartner vorgestellte Cloud-Architekturmodell integriert mehrere Cloud-Netzwerk- und Cloud-Sicherheitsfunktionen und stellt sie als einen einzigen Cloud-Dienst bereit.

SASE kombiniert SD-WAN mit den folgenden Netzwerkdiensten und -funktionen:

• Zero Trust Network Access (ZTNA)
• Cloud Access Security Broker (CASB)
• Firewall as a Service (FaaS)
• Secure Web Gateway (SWG)
• Software as a Service (SaaS)

Das Ziel von SASE ist es, diese Dienste und Technologien zu verbinden, um ein Cloud-fähiges und Cloud-basiertes sicheres Netzwerk aufzubauen.

Das SASE-Modell ist besonders attraktiv für Unternehmen, die Cloud-Dienste intensiv nutzen oder gerade auf die Cloud umsteigen. Dazu gehören verteilte Unternehmen – beispielsweise solche mit Niederlassungen und verstreuten Endnutzern – sowie Unternehmen mit IoT- und Edge-Implementierungen.

SASE basiert auf den Kernprinzipien der Zero-Trust-Identität. Ein weiteres gängiges Servicemodell ist Security Service Edge (SSE). SSE ähnelt SASE, umfasst jedoch kein SD-WAN.

Es geht nicht um ZTNA vs. SASE, sondern um ZTNA und SASE

Betrachten Sie SASE am besten als eine übergeordnete Designphilosophie gegenüber ZTNA. Es handelt sich nicht um separate oder konkurrierende Netzwerksicherheitsmodelle: ZTNA ist vielmehr Teil einer SASE-Architektur.

Beachten Sie jedoch, dass die Umsetzung von Zero Trust für Netzwerkarchitekten ein kurz- bis mittelfristiges Ziel sein mag, SASE jedoch ein langfristiges Ziel ist. Unternehmen könnten heute beschließen, sich für den SASE-Ansatz zu entscheiden und dann ihr Netzwerk und ihre Netzwerksicherheitsstacks langsam in Richtung des SASE-Modells weiterzuentwickeln. Dies erfordert Zeit, da veraltete Sicherheitstechnologien ersetzt und die verbleibenden besser integriert werden müssen. Die Umstellung auf ein SASE-Modell erfordert einen Zero-Trust-Ansatz für die Netzwerksicherheit und ermöglicht diesen auch.

Das Fazit für Cybersicherheitsexperten lautet daher, dass sowohl Zero Trust als auch SASE wichtig sind und in zukunftsorientierte Architekturentscheidungen integriert werden sollten. Unternehmen sollten kurzfristig planen, Zero-Trust-Prinzipien einzuführen, um Remote-Mitarbeiter, die auf Cloud-basierte und lokale Dienste zugreifen, besser zu schützen. Gleichzeitig sollten sie alle neuen Netzwerkprojekte dahin gehend betrachten, ob sie sich in Zukunft für SASE eignen.

Vorteile der gemeinsamen Nutzung von Zero Trust und SASE

Berücksichtigen Sie bei der gemeinsamen Implementierung von ZTNA und SASE die folgenden wichtigen Gründe:

• Durch die Implementierung gemeinsamer Richtlinien kann die Kontrolle über die Konnektivität von Endbenutzern und Zweigstellen zentralisiert werden.
• Es wird eine Inhaltsfilterung und Malware-Schutz für alle Arten des Internetzugangs ermöglicht.
• Darüber hinaus verbessern sie die Überwachungsfunktionen durch eine detailliertere Verhaltenszugriffskontrolle für alle geografischen Standorte.
• Sie verlagern die Verfügbarkeits- und Redundanzkontrollen vor Ort auf ein cloudbasiertes Hub-and-Spoke-Modell. Der Zugriff auf Cloud-Dienste und lokale Anwendungen wird über einen Cloud-Dienstanbieter statt über ein herkömmliches Rechenzentrum verwaltet. Dadurch lassen sich die Betriebs- und Investitionskosten potenziell reduzieren.

Unternehmen, die dies noch nicht umgesetzt haben, sollten ein zentralisiertes, konsolidiertes Cloud-Brokerage-Kontrollmodell in Betracht ziehen. Da Zero Trust weiter an Bedeutung gewinnt, werden SSE- und SASE-Tools immer häufiger eingesetzt, um den Übergang von traditionellen Rechenzentren als zentralem Punkt für die Implementierung von Sicherheitskontrollen zu erleichtern.