Mit wachsenden digitalen Geschäftsanforderungen investieren Unternehmen massiv in die Erweiterung ihrer Netzwerkverbindungsfähigkeiten, um sicherzustellen, dass ihre Daten den richtigen Personen zur richtigen Zeit zur Verfügung stehen. Insbesondere für Cloud-basierte, hochgradig vernetzte und agile Geschäftsmodelle ist die Gewährleistung eines ordnungsgemäßen Zugriffs auf Daten und Systeme unerlässlich.
Zusammen mit der Konnektivität in immer komplexeren Infrastrukturen wachsen auch die Anforderungen an Netzwerk- und Datensicherheit. Wenn nicht die richtigen Schutzvorkehrungen getroffen werden, können Bedrohungen, die von Datenlecks und Fehlkonfigurationen bis hin zu Risiken durch Insider reichen, in jedem komplexen Cloud- und Netzwerkökosystem ihr Schadenspotenzial entfalten.
An dieser Stelle kommt das Secure Access Service Edge (SASE) Konzept ins Spiel, ein Akronym, das vom Analystenhaus Gartner geprägt wurde. Der Netzwerkperimeter wird dabei nicht als Standort, sondern als ein Satz dynamischer Edgefunktionen, die bei Bedarf als Service aus der Cloud bereitgestellt werden, verstanden. SASE bezeichnet also eine Architektur, die Lösungen bereitstellt, die aus der Konsolidierung von Netzwerk- und Sicherheitswerkzeugen entstehen. Dieses Zusammenspiel gewährleistet sowohl einen effektiven als auch sicheren Zugang zu den IT-Ressourcen von Unternehmen.
Die Kombination von Sicherheitstechnologien mit WAN-Technologien kann sich aus verschiedenen konvergierenden Technologien zusammensetzen, wie beispielsweise den folgenden:
CASB
Ein Cloud Access Security Broker (CASB) ermöglicht die Durchsetzung von Richtlinien, um Daten vor Bedrohungen in der Cloud und auf jedem Gerät an jedem beliebigen Ort zu schützen. Anforderungen an einen CASB sind unter anderem Sichtbarkeit von und Bereinigung nach risikoreichen Ereignissen, proaktive Sicherheitsfunktionen, sowie Schutz sowohl vor bekannten wie auch unbekannten Datenverlust-Risiken und Malware-Bedrohungen.
CASBs werden in verschiedenen Varianten angeboten. API-CASBs nutzen den API-Zugriff auf SaaS-Anwendungen, um auftretende Datenlecks zu schließen. Mit ihnen lässt sich also ausschließlich reaktiv operieren. Die erste Generation der Multi-Mode-CASBs hingegen nutzt eine API-Integrationen sowie Forward Proxies und bietet damit die Sichtbarkeit aller Cloud-Daten sowie proaktive Sicherheitsfunktionen. Jedoch verfügen sie lediglich über signaturbasierten Schutz für bekannte Malware und Datenverlustwege und dies nur bei bestimmten Anwendungen. Der Zugriff von nicht-verwalteten Geräten auf Cloud-Anwendungen beispielsweise kann damit nicht geschützt werden.
Eine Lücke, die durch Multi-Mode-CASBs der neuesten Generation geschlossen wird: Sie passen sich dynamisch an, um jegliche Anwendungen vor bekannten und unbekannten Datenverlust-Risiken und Malware-Bedrohungen zu schützen. Sie nutzen zusätzlich Reverse Proxys, womit Cloud-Daten auch beim Zugriff über nicht-verwaltete Endgeräte geschützt sind.
Secure Web Gateway (SWG)
SWGs bieten URL-Kategorisierung und -Reputation sowie Schutz vor Bedrohungen. Sie stellen sicher, dass Personen nur eine angemessene Internetnutzung aufweisen, und schützen gleichzeitig vor Bedrohungen wie Phishing-Websites und Malware. Diese Technologien können auch Intrusion Prevention-Systeme (IPS), Intrusion Detection-Systeme (IDS) und Firewall-Funktionen umfassen.
Zero Trust Network Access (ZTNA)
ZTNA sorgt für den sicheren Zugriff auf Unternehmensanwendungen, die entweder in der öffentlichen Cloud oder in firmeneigenen Netzwerken gehostet werden. Wenn Remote-Mitarbeiter auf bestimmte IT-Ressourcen zugreifen, erhalten sie oft vollen Zugriff auf alles im Netzwerk. Das Risiko für Datenverluste ist dabei allerdings überaus hoch. ZTNA erlaubt Nutzern lediglich den Zugriff auf bestimmte Anwendungen. Eine VPN-Verbindung ist dafür nicht erforderlich.
DNS-Schutz
Domain Name System (DNS)-Technologien suchen in den Domains nach Risiken und Bedrohungen, wie zum Beispiel bekannten Malware-Hosts. Werden Bedrohungen entdeckt, kann der entsprechende DNS-Server mit einem Sinkhole-Zugriff antworten, um die Malware-Infektion zu verhindern.
Firewall-as-a-Service (FWaaS)
FWaaS-Tools bieten Port-, Protokoll- und applikationsbasierte Richtlinien für den Netzwerkzugriff und die Segmentierung. Sie können auch Module für Dienstgüte (QoS), IPS, IDS und VPNs bereitstellen.
SD-WAN
Dabei handelt es sich um eine MPLS-Alternative (Multi-Protocol Label Switching) für die Site-to-Site-Verbindung um einen sicheren Netzwerkzugang bereitzustellen. Darüber hinaus gibt es auch WAN-Beschleunigung oder -Optimierung zwischen getrennten Standorten, wie zum Beispiel Büros und Rechenzentren.
SASE: Verschiedene Wege in der Umsetzung
Die Einführung von Secure Access Service Edge (SASE)-Architekturen wird weiter vorangetrieben durch zunehmend heterogene Geräteumgebungen und die voranschreitenden mobilen Nutzergewohnheiten in Unternehmen. Mitarbeiter greifen unterwegs auf Unternehmensanwendungen und -daten von Unternehmensgeräten aus zu oder nutzen ihre eigenen Laptops in der Erwartung, ohne Einschränkungen auch am Flughafen oder im Coffeeshop arbeiten zu können. Einige Mitarbeiter, zum Beispiel im Außendienst tätige, gehen womöglich überhaupt nicht in die Unternehmensumgebung. Unabhängig davon gibt es inzwischen eine große Anzahl verschiedener Zugangspunkte, die die Herausforderungen bei der Sicherung von Daten in der Cloud und im Netzwerk darstellen.
So bilden sich bei der Umsetzung des SASE-Konzepts gegenwärtig zwei verschiedene Ansätze heraus:
1. Appliance und einfache Endpoint-Agenten
Dabei werden physische Appliances im Rechenzentrum des Unternehmens platziert, um die von den Organisationen angestrebte Sicherheit und Kontrolle zu gewährleisten. Sämtlicher Datenverkehr wird dabei von den Endpoint-Agenten auf den Geräten der Mitarbeiter an die Appliance weitergeleitet. Durch diesen Hop im Netzwerk entsteht eine Latenzzeit, die besonders bei großen Organisationen mit tausenden von Benutzern problematisch ist. Da die Kosten für Verwaltung und Aufrüstung verhältnismäßig hoch sind, ist dieser Ansatz vor allem für die Verarbeitung von massenhaftem Datenverkehr zu unflexibel.
2. Intelligente Endpoint-Agenten und Cloud-Proxy-Technologien
Dieser über einen Cloud-Service bereitgestellte Ansatz bietet eine Möglichkeit, die Aktivitäten auf jedem Gerät zu kontrollieren, indem die Netzwerkkontrolle und die Cloud-Sicherheit vom Perimeter bis hinunter zu den Endpoints selbst verlagert werden. Dies beseitigt die Abhängigkeit von physischen Appliances sowie die Nachteile der durch Backhauling-Verkehr verursachten Latenzzeiten und ist insgesamt flexibler.
Derzeit ist noch kein Anbieter in der Lage, das gesamte Portfolio an SASE-Funktionen bereitzustellen, jedoch gibt es einige, die jeweils über den Großteil der erforderlichen Funktionen verfügen. Der Ausbau der Netzwerkinfrastruktur treibt bei Organisationen weltweit jedoch den Bedarf an umfassenderen Lösungen, die ihren wachsenden Anforderungen gerecht werden können, weiter voran. Mit der fortschreitenden Cloud-Nutzung wird sich dieser Markt im Jahr 2020 voraussichtlich rasant entwickeln.