ZTNA und SASE

Mit SASE wirksamen Schutz für die Zukunft schaffen

Secure Access Service Edge, SASE

Cloudbasierte Dienste und hybride Arbeitsmodelle verändern die Art und Weise, wie Unternehmen ihren Mitarbeitern Datenzugriff ermöglichen. Um den Traffic abzusichern, reichen Virtual Private Network (VPN)-basierte Security-Konzepte inzwischen nicht mehr aus. Sicherer sind Zero-Trust- oder besser noch SASE-Lösungen.

Um auch in Zukunft sicheren Traffic zu gewährleisten, sollten Unternehmen bereits heute die Transformation hin zu diesem umfassenden Schutz starten.

Anzeige

Wenn es um umfassenden Schutz vor immer raffinierteren Cyberangriffen ging, waren Zero Trust Network Access (ZTNA) und Secure Access Service Edge (SASE) bereits vor der Pandemie in den IT-Abteilungen durchaus Thema. Doch die Pandemie hat den Unternehmen noch einmal zusätzlich deutlich gemacht, wie wichtig dieses IT-Architekturkonzept ist. Denn im Lockdown wurden quasi über Nacht Tausende Mitarbeiter weltweit ins Homeoffice geschickt, um dort von teilweise ungesicherten Laptops aus in Unternehmensnetzwerken zu arbeiten. Den Zugriff auf Unternehmensdaten und -anwendungen ermöglichten meist wie gewohnt VPN-Verbindungen. Diese stießen jedoch bald an ihre Grenzen. Denn viele Anwendungen und Daten liegen heute in der Cloud. Wenn Mitarbeiter also via VPN erst eine Verbindung in das unternehmenseigene Rechenzentrum aufbauen müssen, um von dort in die jeweilige Cloud zu gelangen, ist das umständlich und verursacht Latenzen.

In Zukunft werden direkte Zugänge von Endgeräten in Unternehmensnetzwerke und die angeschlossenen Cloud-Umgebungen Standard sein, welche die nötige Performance und einen hohen Bedienkomfort bieten können. Denn längst hat sich abgezeichnet, dass hybriden Arbeitsmodellen die Zukunft gehört. Mit der zunehmenden Vernetzung und dem flexiblen Zugriff auf Unternehmensanwendungen wird zudem eine umfassende Sicherheitsstrategie immer wichtiger. Als Folge der Pandemie gewinnt damit auch für jene Unternehmen, die sich bisher durch Firewalls und Sicherheitssoftware ausreichend abgesichert glaubten, die Transformation zu SASE an Relevanz.

Höhere Effizienz und Flexibilität dank SASE

Dass die Implementierung eines SASE in den IT-Abteilungen mittlerweile häufiger Thema ist, hat verschiedene Gründe. Mit dem zunehmenden Einsatz von Cloudlösungen wie Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS) liegen Daten innerhalb eines privaten Backbones in der Cloud vor. Von diesem aus haben Mitarbeiter Zugang zu den jeweils von ihnen genutzten Anwendungen. Daten bewegen sich hier nicht mehr – wie etwa beim Zugang über VPN – auf einem einzigen Weg. Sie werden über beliebige, teils unvorhersehbare Wege ans Ziel übermittelt. Das eröffnet eine höhere Flexibilität und Kapazität, denn der Anwender ist nicht länger auf einen einzigen, möglicherweise überlasteten Übertragungskanal angewiesen.

Anzeige

Dies ist vor allem im Rahmen der Entwicklung hin zu hybriden und agilen Arbeitsmodellen wichtig. Die Anwender erhalten komfortabel Zugriff auf alle wichtigen Anwendungen, ohne dass sie sich mehrfach einloggen müssen. Die unübersichtliche Struktur verschiedener Übermittlungsrouten birgt jedoch auch ein erhöhtes Risiko in Bezug auf die sichere Datenübertragung. Denn potenzielle Angreifer können an verschiedensten Stellen der Kommunikation unbemerkt eindringen – über das Internet und Anwendungen innerhalb der Cloud ebenso wie über Server und Endpoints. Zugleich bietet jeder, der sich im cloudbasierten Unternehmensnetzwerk bewegt, potenziell ein Angriffsziel.

Die logische Konsequenz, um ein hybrides Netzwerk wirksam zu schützen, heißt daher Zero Trust. Klienten, Geräte und Anwendungen gelten hier grundsätzlich als nicht vertrauenswürdig. Zero Trust auf der Ebene der Protection reicht jedoch nicht aus, um wirklich einen umfassenden, zukunftsfähigen Schutz zu errichten. Anders das IT-Architekturkonzept SASE: Es kehrt die unternehmensinterne Datenautobahn sozusagen von innen nach außen um. Der Traffic läuft nicht mehr über die eigenen Leitungen und Server am Hauptsitz eines Unternehmens oder seinen Niederlassungen. Die Anfrage des Mitarbeiters wird stattdessen direkt vom Client aus an die gewünschte Anwendung in der Cloud oder im eigenen Datacenter weitergegeben. Dazu stehen Access Gateways bereit, auf denen Werkzeuge dabei helfen, den Traffic zu steuern sowie Anomalien und verdächtige Softwarepakete aufzuspüren. Der zu schützende Bereich kann sich intern oder in der Cloud befinden, wodurch sich der Schutz auf Netzwerkebene mit Endpoint-Schutz und Authentisierung der Nutzer beim Zugriff auf Anwendungen und Systeme ergänzt.

Der Anwender muss sich für den Zugang zur per Remote Access freigegebenen Route nur noch einmal authentifizieren. Das beschleunigt und vereinfacht den Datenzugang und macht Arbeitsvorgänge effizienter und sicherer. Zusätzlich erlaubt die Kombination des intelligenten Routings mit cloudbasierten Sicherheitsanwendungen, die gesamte Kommunikation innerhalb eines cloudbasierten Firmennetzwerks zu überwachen und bei Sicherheitsvorfällen frühzeitig einzugreifen. Indem es Sicherheitsfunktionen auf die Endpunkte erweitert, geht das IT-Architekturkonzept SASE also weit über Zero Trust hinaus. Zusätzlich ermöglicht es die Definition von Sicherheitseinstellungen, sodass bis ins kleinste Detail festgelegt werden kann, wer und mit welchem Gerät auf welche Daten zugreifen darf sowie die Protokollierung der Zugriffe.

Die Transformation mit Hilfe externer Dienstleister angehen

Die Transformation zu SASE ist komplex. Es reicht nicht, neue Network Switches oder Firewalls anzuschaffen oder neue Anwendungen zu implementieren. Ebenso wenig lässt sich über Nacht die alte Struktur einfach abschalten und stattdessen SASE aufsetzen. Gleichzeitig verändert SASE das Mindset im Unternehmen: Die Vorstellung, dass Endgeräte und Anwendungen einzelnen Abteilungen zugeordnet sind, wird ersetzt durch den Gedanken eines Gesamtgefüges, das SASE wirksam gegen Angriffe schützt. Dieses umfasst sämtliche Lösungen, die SASE ausmachen – cloudbasierte Netzwerke, Firewalls, Remote Access, Endpoint Protection – sowie die Mitarbeiter, ihre Endgeräte, die Unternehmensdaten, Firmennetze und Firmenstandorte.

Wer ernsthaft in die SASE-Welt einsteigen will, muss zunächst prüfen, welche Anwendungen benötigt werden, bevor er die Transformation stückweise angehen kann. Da SASE-Projekte die gesamte IT-Infrastruktur betreffen, ist es an dieser Stelle sinnvoll, einen externen Dienstleister mit ins Boot zu holen. Denn dieser bringt umfangreiche Erfahrung aus zahlreichen Kundenprojekten mit und kennt die passenden Produkte und Hersteller genau. In der Regel beginnt ein SASE-Projekt mit der Analyse der bestehenden Infrastruktur und dem Aufzeichnen des „Future Mode of Operation“. Die Kernfragen hierbei sind, welche Applikationen häufig genutzt werden, ob und wie viele Mitarbeitende im Home Office oder remote arbeiten oder auch, wann bestehende Lösungen auslaufen. In der Regel wird das Ziel sein, erhöhte Sicherheit bei niedrigeren Kosten zu erzielen. Daher werden die bestehenden Produkte darauf untersucht, ob sie sich in SASE eingliedern lassen, Lizenzen auslaufen können oder neue Produkte angeschafft werden müssen.

Der Weg zu SASE erfolgt dann in drei Schritten: Im ersten Schritt wird der Remote Access revidiert und auf die neuen Anforderungen angepasst. Der zweite Schritt umfasst den Aufbau eines privaten Netzwerks innerhalb der cloudbasierten Umgebung. Hier liegt die Schwierigkeit darin, im bestehenden Unternehmensnetzwerk Zero Trust zu etablieren und zu erreichen, dass auch die Gateways und Firewalls nach dem Zero-Trust-Prinzip arbeiten. Im dritten Schritt wird die in der Cloud errichtete private Infrastruktur abgesichert – und zwar nach allen Seiten sowie innerhalb einzelner Zonen im Unternehmen. Diese Mikrosegmentierung ist der komplizierteste Teil der Transformation, denn Ressourcen, Zuständigkeiten, Kosten und Arbeitszeit müssen hier aufgrund der relativ kleinen und zahlreichen Arbeitspakete präzise festgelegt werden. Wichtig ist vor allem auch ein strikter Zeitplan, denn ein SASE-Projekt kann ein bis zwei Jahre in Anspruch nehmen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Eine Lösung für die Zukunft schaffen

Unternehmen stehen im Spannungsfeld zwischen neuen Arbeitsmodellen, veränderten Firmenstrukturen und zunehmenden Cyberbedrohungen. Die meisten haben verstanden, dass sie handeln müssen. Denn es ist nicht zu erwarten, dass Cloudanwendungen nicht mehr genutzt, Produktionsstandorte zurückgeholt oder hybride Arbeitsplätze wieder abgeschafft werden. Wer auf Cloud Services setzt, flexible Arbeitsmodelle unterstützt oder viele verteilte Standorte unterhält, sollte sich daher jetzt mit SASE beschäftigen. Aktuell wandeln viele Unternehmen bereits den traditionellen Remote Access um. Den Weg zum zukunftsfähigen SASE-Modell müssen sie jedoch nicht alleine gehen – kompetente Dienstleiter können dabei entscheidende Hilfestellung leisten.

Wolfgang Klepke indevis

Wolfgang

Klepke

Strategy Account Executive

indevis

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.