Vor nicht allzu langer Zeit gab es noch eine klare Grenze zwischen Unternehmensnetzwerken und dem Internet: Netzwerkarchitekten bauten ihre eigenen privaten Netzwerke auf und verbanden diese mit dem Internet an bestimmten, klar definierten Gateways oder Ports.
Innerhalb dieses Perimeters sorgten die Security-Teams für Sicherheit und bewachten diese „Tore“, damit nichts Unerwünschtes nach außen (wie etwa vertrauliche Daten) oder innen (z.B. Malware) gelangte. Mit dem Aufkommen von SaaS und IaaS verschwamm diese klare Linie jedoch immer mehr: Die Daten, die geschützt werden mussten, befanden sich nun nicht mehr innerhalb der eigenen Infrastruktur. Und mit der sich immer weiter ausbreitenden Cloud-Nutzung löste sich der Perimeter praktisch auf.
Die Aufgaben der Netzwerkarchitekten haben sich in der Folge gewandelt: Jetzt kümmern sie sich in erster Linie um wichtige, in der Cloud gehostete Geschäftsanwendungen mit der zusätzlichen Herausforderung, dass der Zugriff auf Anwendungen über Pfade erfolgt, die meist außerhalb der Grenzen ihres Netzwerks liegen. Viele Anwendungen haben dabei spezielle Anforderungen an die Netzwerkleistung, die berücksichtigt werden müssen, sei es ein hoher Bandbreitenbedarf, eine niedrige Latenzzeit oder zusätzliche Ausfallsicherheit und Redundanz. Erschwerend kommt hinzu, dass Cloud-Anwendungen im Gegensatz zu privaten Anwendungen keinen festen Satz von IP-Adressen und Ports haben und sich ständig ändern.
Die Cloud löst das eigene Rechenzentrum ab
Prognosen zufolge werden Cloud-Anwendungen bis 2025 80 Prozent der Workloads in Unternehmen ausmachen. Doch während sich Anwendungen von der alten Abhängigkeit von privater Infrastruktur gelöst haben, hat sich die IT-Sicherheit nur unzureichend an die neuen Gegebenheiten angepasst. Bei den meisten Unternehmen verlangen die Sicherheitsrichtlinien immer noch, dass der Cloud-Verkehr durch Appliances in den eigenen Rechenzentren geleitet wird. Die Folge diese Routings sind Kompromisse zwischen Sicherheit und Leistung.
Glücklicherweise findet hier jedoch zunehmend ein Umdenken statt: Der Secure Access Service Edge (SASE) erweist sich als wichtiges konzeptionelles Modell, um zu beschreiben, wie Benutzer und Anwendungen geschützt werden können, die jenseits des traditionellen Netzwerkperimeters arbeiten. Ihm zugrunde liegt die Erkenntnis, dass sowohl Anwender als auch Anwendungen nicht mehr an feste Standorte gebunden sind. SASE bringt damit die Sicherheitsarchitekturen mit der Welt, die Netzwerkteams seit einigen Jahren aufbauen und verwalten, auf einen Nenner. Aus diesem Grund sollten sich sowohl Netzwerk- als auch Security-Teams intensiv mit diesem neuen Ansatz auseinandersetzen, damit das Unternehmen insgesamt profitiert.
Was ist SASE?
Gartner hat den Begriff SASE in einem Bericht 2019 eingeführt und definiert diese Cloud-Sicherheitsarchitektur als ein neues Konzept, das „umfassende WAN-Funktionen mit umfangreichen Netzwerksicherheitsfunktionen (wie SWG, CASB, FWaaS und ZTNA) kombiniert, um die dynamischen Anforderungen digitaler Unternehmen an den sicheren Zugang zu unterstützen.“ Gartner sieht SASE als eine Umkehrung des alten Netzwerk-/Sicherheitsmodells, das sich auf ein Rechenzentrum konzentrierte, das von vielen Anwendern umgeben war, die im Rechenzentrum gehostete Dienste nutzen. Bei diesem neuen Modell steht der Benutzer im Mittelpunkt, was zu einem völlig anderen architektonischen Ansatz für die Sicherheit führt. Dabei ist SASE:
- Verteilt: Die Sicherheit wird über die Grenzen des traditionellen Rechenzentrums hinaus erweitert und ermöglicht es Unternehmen, Sicherheitsfunktionen in die Cloud zu verlagern.
- Cloud-nativ: Die Workflows in der Cloud sind anders als im klassischen Datacenter-zentrierten Ansatz, entsprechend unterscheiden sich auch die Datensicherheit und die Bedrohungen. SASE-Lösungen basieren auf der Konvergenz von Sicherheitsfunktionen und vereinen die Funktionalität von CASB, NG-SWG, SD-WAN, DLP u.a. in einer Cloud-nativen Lösung.
- API-basiert: APIs ermöglichen es verschiedenen Lösungen und Anwendungen, auf Code-Ebene zu kommunizieren. Dies liefert den für effektive Sicherheitsrichtlinien nötigen Kontext, der nicht durch eine einfache Interpretation von HTTP/S-Protokollen und das Betrachten von URLs generiert werden kann. Ohne diesen Kontext können Unternehmen nur sehen, wer mit wem spricht, aber nicht, worüber sie sprechen oder was sie tun. API-Transparenz ist somit entscheidend für SASE-Lösungen.
- Offen und verständlich: In einer offenen und vernetzten Welt sind Interoperabilität, offene Schnittstellen und „Erklärbarkeit“ von zentraler Bedeutung. Nur wird sichergestellt, dass die verschiedenen Elemente entsprechend interagieren, und die Sicherheit der Daten und die Einhaltung der Compliance gewährleistet werden.
Es ist an der Zeit, dass Netzwerk- und Sicherheitsteams zusammenarbeiten, um die alten, etablierten Wege, auf denen sie Unternehmensdaten routen und schützen, zu überdenken. SASE entlastet die Netzwerkperformance und ermöglicht gleichzeitig eine verbesserte Transparenz, Sicherheit und Compliance – ein Gewinn für alle.