Durch die wachsende Cloud-Nutzung und hybride Arbeitsmodelle haben sich IT-Umgebungen und Nutzer-Anforderungen geändert. Zentralisierte VPN-Lösungen stoßen zunehmend an ihre Grenzen. Auch die Security muss sich daher anpassen. Gefragt ist ein Cloud-natives Konzept, das Sicherheitsfunktionen auf den Endpunkt und in die Cloud verlagert.
Früher war alles einfacher. Die Unternehmens-IT wurde von einem zentralen Rechenzentrum aus zur Verfügung gestellt wurden. Heute hat sich das grundlegend geändert und Daten und Applikationen liegen an vielen verschiedenen Orten verteilt und befinden sich zum Großteil außerhalb des eigenen Rechenzentrums. Seit der Pandemie hat sich zudem das Arbeitsmodell geändert. Auch viele Unternehmen, bei denen Homeoffice zuvor ein Fremdwort war, setzen jetzt auf ein hybrides Konzept. Mittlerweile hat sich eine Kombination aus Präsenz und mobiler Arbeit als Standard etabliert. Mitarbeiter müssen also in der Lage sein, überall schnell und sicher auf ihre Anwendungen und Daten zuzugreifen – egal, wo sie gerade arbeiten und wo die Daten liegen. Diese veränderte Situation erfordert auch ein Umdenken in der Security.
VPN wird zum Nadelöhr
Bisher setzen die meisten Unternehmen zentralisierte Security-Lösungen wie VPNs ein, um einen sicheren Remote-Zugriff auf ihr Netzwerk zu ermöglichen. Ein solches Virtual Private Network baut eine verschlüsselte Verbindung zwischen dem Endpunkt und dem Rechenzentrum auf, sodass Daten in einem sicheren Tunnel übertragen werden. Das interne Netz ist wiederum gegenüber dem Internet durch eine Perimeter-Firewall geschützt, die den ein- und ausgehenden Datenverkehr kontrolliert. Bei einem auf klassischen VPN-basierten Security-Konzept läuft der gesamte Traffic des Unternehmens über das Rechenzentrum. Solange dort alle wichtigen Daten liegen, ist das sinnvoll. Wenn Mitarbeiter allerdings aus dem Homeoffice auf Cloud Services zugreifen müssen, ist dieses Routing umständlich: Anfragen gehen erst über die VPN-Verbindung in die Zentrale und werden von dort aus über die Firewall ins Internet geleitet. Antworten nehmen den umgekehrten Umweg. Das führt zu Latenzen, die insbesondere dann zum Problem werden, wenn viele Mitarbeiter gleichzeitig remote arbeiten.
Sicherer direkter Internetzugang mit SASE
Um Performanceprobleme zu vermeiden, brauchen Endgeräte direkten Internetzugang ohne Umweg über das zentrale Rechenzentrum. Doch der Zugriff darf nicht ungeschützt erfolgen, sonst geht man große Risiken ein. Wenn Mitarbeiter im Homeoffice an der Unternehmens-Security vorbei Cloud Services nutzen, können Cyberkriminelle Daten abgreifen oder Malware einschleusen. Aber wie sichert man direkte Internetverbindungen der Endpunkte am besten ab? Hier kommt Secure Access Service Edge (SASE) ins Spiel. Der Begriff wurde 2019 von Gartner geprägt. Bei SASE handelt es sich um ein neues Architekturkonzept, das auf SD-WAN (Software Defined Wide Area Network) basiert und Security-Funktionen auf die Endpunkte verlagert. Es kombiniert intelligentes Routing und Cloud-basierte Security Services in einer Plattform.
Dabei nutzt die Lösung auch Security-Funktionen, die die Cloud Provider selbst anbieten, zum Beispiel TLS (Transport Layer Security) für eine verschlüsselte Verbindung. Über eine zentrale Management-Konsole lassen sich Security Policies definieren, die direkt am Endpunkt und den Cloud Gateway umgesetzt werden. So können Administratoren zum Beispiel granular festlegen, wer auf welche Daten und welche Services zugreifen darf. Dabei ist grundsätzlich ein Least Privilege Access-Prinzip empfehlenswert: Jeder Anwender sollte nur die Rechte erhalten, die er auch unbedingt für seine Arbeit braucht.
Aus welchen Komponenten besteht SASE?
SASE kombiniert SD-WAN, Secure Web Gateway, Zero Trust Network Access, Firewall as a Service und Cloud Access Security Broker (CASB). Das SD-WAN sorgt dafür, dass Daten auf dem schnellsten Weg ans richtige Ziel kommen. Greift der Endpunkt auf Cloud Services zu, schützt das Secure Web Gateway vor Gefahren aus dem Internet. Dafür setzt es zum Beispiel URL- und Web-Traffic-Filter, Anwendungskontrollen und Anti-Malware-Funktionen ein. Firewall as a Service kontrolliert den Traffic, der nicht Web-basiert ist, während Zero Trust Network Access es ermöglicht, granulare Zugangskontrollen umzusetzen. Über einen sicheren, verschlüsselten Tunnel erhalten Nutzer nur Zugriff auf Anwendungen, wenn sie berechtigt sind. Mit dem CASB können Unternehmen zudem Schatten-IT vermeiden und sicherstellen, dass Anwender nur freigegebene Cloud Services nutzen.
Für den Anwender läuft all das im Hintergrund ab, ohne dass er etwas davon mitbekommt. Er meldet sich zum Beispiel per Single-Sign-On an der SASE-Plattform an. Nach der Authentifizierung verbindet sich der Client mit dem nächsten POP (Point of Presence) des SASE-Anbieters. Jetzt erhält er seine Security Policies und seine Routing-Informationen. Der Endpunkt erkennt dann automatisch, welcher Traffic für welches Ziel bestimmt ist, und leitet ihn auf schnellstem Wege dorthin. Dafür baut er verschiedene sichere Tunnel auf: Nur Datenverkehr, der auch wirklich für das Rechenzentrum bestimmt ist, wird dorthin geschickt. Anfragen an Cloud Services gehen ohne Umwege direkt ins Internet.
SASE bringt viele Vorteile: Das intelligente Routing reduziert den Traffic zwischen Endpunkt und Data Center und vermeidet so Bandbreiten-Engpässe. Gleichzeitig sorgen die Cloud-basierten Security Services für den passenden Schutz direkt am Endpunkt. Da Netzwerk- und Security-Funktionalitäten Software-basiert bereitgestellt werden, skaliert die Lösung problemlos. Neue Clients lassen sich schnell und unkompliziert einbinden.
Worauf sollte man bei der Wahl des Anbieters achten?
Eine SASE-Plattform enthält nicht immer alle der genannten Komponenten – das muss sie auch nicht, da sich die einzelnen Services teilweise im Funktionsumfang überschneiden. Jeder Anbieter hat außerdem seine Stärken, je nachdem was sein Kerngebiet ist. Einige Hersteller sind zum Beispiel im Secure Web Gateway führend. Palo Alto Networks punktet vor allem mit starken Next Generation Firewall- und ZTNA-Funktionen und bietet eine sehr gute SD-WAN-Komponente. Bei der Wahl des Anbieters sollten Unternehmen also genau überlegen, welchen Bedarf sie haben und worauf sie besonderen Wert legen. Auch die Kosten sind ein wichtiger Aspekt. SASE-Angebote mit globalen Einwahlknoten und großer Infrastruktur sind in der Regel teurer als kleinere Lösungen. Hier lohnt es sich zu prüfen, was man tatsächlich braucht. Ein Managed Security Service Provider (MSSP) kann dabei unterstützen, das passende Angebot zu finden oder auch eine individuell abgestimmte, schlanke Lösung aufzubauen. Wer möglichst wenig eigenen Aufwand haben und seine IT-Abteilung entlasten möchte, bezieht SASE am besten direkt als Managed Security Service. Dann stellt der MSSP die Lösung bereit und kümmert sich um den Betrieb.
An SASE kommt bald keiner mehr vorbei
Wer auf Cloud Services setzt, flexible Arbeitsmodelle pflegt und/oder viele verteilte Standorte hat, sollte sich jetzt mit SASE beschäftigen. Denn zentralisierte Access Security-Lösungen wie VPN, bei denen der gesamte Datenverkehr über das Rechenzentrum läuft, werden immer mehr zum Nadelöhr. Je stärker die Cloud-Nutzung zunimmt, umso größer wird das Performance-Problem. SASE ermöglicht es Mitarbeitern dagegen, überall schnell und sicher auf ihre Applikationen und Daten zuzugreifen – ganz gleich, wo sich diese befinden. Gartner geht davon aus, dass 60 Prozent der Unternehmen bis im Jahr 2025 eine explizite SASE-Strategie haben werden. Das Thema ist jedoch komplex und erfordert spezialisiertes Know-how auf vielen verschiedenen Gebieten. Daher empfiehlt es sich, mit einem erfahrenen MSSP zusammenzuarbeiten.