Tierney - stock.adobe.com

Security Service Edge: Was vor dem Kauf zu klären ist

In dem Maße, in dem Unternehmen zunehmend auf die Cloud setzen und flexible Arbeitsortmodelle etablieren, gewinnen neue Lösungen der Kategorie Security Service Edge an Bedeutung.

Die Entwicklung von Security-Service-Edge-Produkten verläuft parallel zu der Entwicklung, die Unternehmen im Zuge der Anpassung an ein ortsunabhängiges Arbeiten unternehmen, um sich stärker auf die Cloud zu konzentrieren. In der Tat ergibt die Entwicklung und Entstehung von SSE aus dem umfassenderen Konzept des Secure Access Service Edge (SASE) sehr viel Sinn.

Bei der Einführung von SSE im Jahr 2021 nannte Gartner einige klare und praktische Gründe für die Trennung der WAN-Edge-Seite von SASE von der Security-Edge-Seite. Zum einen werden Sicherheit und Netzwerkbetrieb in der Regel von verschiedenen Teams überwacht. Zum anderen stellt die Netzwerk-Hardware „versunkene Kosten“ dar, die erst nach Jahren ihren vollen Wert entfalten können.

Zusammengenommen bedeuten diese Faktoren, dass Überlegungen zur Unternehmenssicherheit und zur Vernetzung im Zusammenhang mit der (Neu-)Entwicklung der Art und Weise, wie Benutzer auf Dienste zugreifen, nach unterschiedlichen Zeitplänen erfolgen können.

Daher ist es sowohl aus philosophischer als auch aus architektonischer Sicht sinnvoller, die Sicherheitsaspekte von SASE getrennt vom Netz zu bewerten. Eine solche Trennung erleichtert die Planung, die Budgetierung und letztlich die Umsetzung.

Die Trennung von SSE und SASE - theoretisch und aus Sicht der Marktsegmentierung – beantwortet jedoch nicht alle praktischen Fragen. Vielmehr kann sie die Situation potenziell erschweren. Betrachten wir den heutigen SASE-Marktplatz: Die Anbieter vermarkten aktiv eine breite Palette von Produkten – mit unterschiedlichen Funktionen und in verschiedenen Reifegraden – unter dem Dach von SASE.

Ein ähnlicher Trend zeichnet sich bei SSE ab, was dazu führt, dass die Käufer mit einer verwirrend unübersichtlichen Landschaft konfrontiert werden.

Wie bewerten Sie SSE-Produkte, um festzustellen, ob sie für Ihr Unternehmen geeignet sind? Welche konkreten Schritte können Sie unternehmen, um die richtige Wahl zu treffen und sich mit den Vorteilen und Herausforderungen vertraut zu machen?

Nachfolgenden finden Sie einige Aspekte, die bei der Bewertung von Security-Service-Edge-Produkten hilfreich sein können.

Der Markt für SSE-Produkte

Am wichtigsten ist die Erkenntnis, dass SSE zumindest konzeptionell ein breites Spektrum an potenziellen Funktionen umfasst. Dies mag widersprüchlich erscheinen, zumal Gartner in seinem Magic Quadrant 2022 für SSE die Produkte in drei verschiedene Funktionen unterteilt:

  • Secure Web Gateway
  • Zero Trust Network Access (ZTNA)
  • Cloud Access Security Broker (CASB)

Die Herausforderung besteht darin, dass jede dieser Funktionen auf unterschiedliche Weise implementiert und genutzt werden kann. Darüber hinaus können einzelne SSE-Anbieter und -Produktlinien weitere Funktionen anbieten, die über diese drei hinausgehen.

Betrachtet man beispielsweise Zero Trust, so kann diese eine Reihe von Bereichen umfassen:

  • Identität, einschließlich Multifaktor-Authentifizierung und erweiterte Zugangskontrollen;
  • Netzwerkkontrollen, wie zum Beispiel Segmentierungsstrategien, Filterung und Alarmierung; und
  • Härtung der Endpunkte durch Anti-Malware und Konfigurationsdurchsetzung.

Dabei sind Funktionen wie Remote-Browser-Isolierung und Firewall as a Service (FWaaS), die laut Gartner ebenfalls in den Bereich von SSE fallen, noch nicht einmal berücksichtigt.

Dies bedeutet, dass Interessenten bei den Gesprächen mit den Anbietern gut vorbereitet sein müssen, um etwas zu erhalten, dass auch tatsächlich den eigenen Bedürfnissen entspricht

Einen umsetzungsfähigen Plan erstellen

Der erste Schritt bei der Einführung von SSE besteht darin, einen Plan zu entwerfen, der eine Reihe von Sicherheitszielen und eine Strategie zur Erreichung dieser Ziele enthält. So lässt sich feststellen, ob ein SSE-Modell in Ihre Sicherheitsarchitektur passt. Überprüfen Sie Ihr Sicherheitsmodell, bewerten Sie, wie es sich entwickelt, und entscheiden Sie, ob Ihre Umgebung den spezifischen Herausforderungen, die SSE und SASE angehen, gewachsen ist.

Es ist sowohl aus philosophischer als auch aus architektonischer Sicht sinnvoller, die Sicherheits-Aspekte von SASE getrennt vom Netz zu bewerten. Eine solche Trennung erleichtert die Planung, die Budgetierung und letztlich die Umsetzung.

Immer mehr Unternehmen unterstützen zunehmend die Arbeit von überall aus, werden zunehmend externalisiert und nutzen zunehmend die Cloud. Dies ist genau das Szenario, das SSE - und seine Fähigkeit, die Durchsetzung von Sicherheitsrichtlinien an einen Ort zu verlagern, der näher am Endbenutzer liegt - unterstützt. Aber wenn Ihr Unternehmen andere Anforderungen mit höherer Priorität hat, muss es SSE-Produkte aus einer anderen Perspektive bewerten.

Als Nächstes müssen Sie sicherstellen, dass die Analyse bis zum spezifischen Anbieter, Produkt und Funktionsumfang reicht, der bewertet wird. Das Sicherheitsmodell Ihres Unternehmens bestimmt, welche Funktionen erforderlich sind und welche Implementierungsstrategien notwendig sind, um sie in die bestehende Infrastruktur zu integrieren.

Wichtige Aspekte klären

Machen Sie Ihre Hausaufgaben. Erstellen Sie einen Architekturplan, tauschen Sie Informationen mit den Beteiligten aus und ermitteln - und dokumentieren Sie idealerweise - die von potenziellen Lösungen erwarteten Fähigkeiten, bevor Sie das erste Treffen mit dem Anbieter vereinbaren.

Falls Sie dies noch nicht getan haben, erstellen Sie eine Vision, die die Funktionen Ihrer Sicherheitsarchitektur in einer Post-COVID-19-, Post-SaaS- und Remote-zentrierten Welt festhält. Beziehen Sie die Beteiligten mit ein und verwenden Sie entweder einen definierten Standard, wie zum Beispiel The Open Group Architecture Framework, oder etwas weniger Formelles.

Wichtig ist, dass der Plan und die Ziele die folgenden Punkte erfüllen:

  • An den Sicherheitszielen orientieren;
  • Unterstützung von technischen und geschäftlichen Interessengruppen erhalten;
  • Geschäftsziele unterstützen und Risiken reduzieren; und
  • die vorhandene technische Grundlage einbeziehen.

Der Plan muss nicht perfekt sein. Aber er sollte spezifisch genug sein, um die am Edge benötigten Sicherheitsdienste und die Elemente zur Durchsetzung von Richtlinien und Kontrollen, die zur Erreichung Ihrer Ziele erforderlich sind, genau zu beschreiben.

Als Nächstes sollten Sie herausfinden, welche Anbieter die von Ihnen benötigten spezifischen Dienstleistungen anbieten. Die Recherchen, die Sie zur Bewertung von SSE-Produkten durchgeführt haben, werden Sie davor bewahren, Ihr Denken einzuschränken, wenn Sie mit Anbietern über Produkte und Implementierungsstrategien sprechen. Machen Sie sich zunächst ein Bild von Ihren spezifischen Herausforderungen und nutzen Sie dieses Wissen, um die Anbieter ausfindig zu machen, die am besten geeignet sind, diese Herausforderungen zu lösen.

Erfahren Sie mehr über Identity and Access Management (IAM)

ComputerWeekly.de
Close