Security im SD-WAN

Was kann SASE und wie damit umgehen?

Der pandemiebedingte Run aufs Homeoffice wurde für viele Netzwerkverantwortliche zum Schmerzpunkt der digitalen Transformation. Je mehr die Unternehmen auf Cloud-Anwendungen setzen, umso größer der Druck, tragkräftige Netzwerksicherheitslösungen zu liefern. Ist SASE ein tragfähiges Konzept?

Herkömmliche Sicherheitsmodelle greifen nicht mehr

Ein kurzer Blick zurück zeigt, wo die Herausforderungen liegen: Vor zwei Jahrzehnten waren die IT-Infrastrukturen von Unternehmen durch einen eisernen Ring aus Firewalls und VPNs geschützt. Der Datenverkehr fand entweder außerhalb oder innerhalb des Netzwerks statt und war dementsprechend nicht vertrauenswürdig oder vertrauenswürdig. Die Organisationen nahmen so vor allem den Datenverkehr am Netzwerkrand in den Blick, weniger den Datenverkehr, der die einzelnen Anlagen erreichte. Je mehr Anwendungen und Speicher in die Cloud verlagert werden, umso mehr zeigt sich, dass der gesamte Datenverkehr – ungeachtet dessen, wo er sich befindet – nicht mehr als vertrauenswürdig eingestuft werden kann. Somit verliert auch der Perimeter, das heißt die Grenzlinie zwischen lokalen, privaten und öffentlichen Netzwerken, an Bedeutung. Fakt ist aber, dass viele Unternehmen, die zunehmend mit IoT- und Edge Computing-Implementierungen arbeiten, mit Sicherheitsmodellen hantieren, die noch für die alte Ordnung konzipiert waren.

Anzeige

SASE: Cloud Computing braucht eine cloudbasierte Sicherheitsarchitektur 

Es besteht also dringender Bedarf, die Sicherheitskonzepte in eine neue Ära zu überführen. Gartner hat hierfür 2019 das sogenannten Secure Access Service Edge (SASE)-Modell entwickelt. Es beruht darauf, dass Netzwerk- und Sicherheitsfunktionen unabhängig davon bereitgestellt werden, wo sich Mitarbeiter oder Anwendungen tatsächlich befinden. Vielmehr werden Cloud-Technologien genutzt, um ein Software-defined Wide Area Network (SD-WAN) mit Security-Funktionen zu verbinden. Somit werden herkömmliche, verstreute, herstellerunabhängige Sicherheitsdienste durch einfachere cloudbasierte Services ersetzt, welche die Sicherheitsfunktionen in perimeterlosen Cloud-Netzwerken an den Netzwerkrand (Edge) rücken. Zu typischen Komponenten einer SASE-Architektur gehören Firewalls, Secure Web Gateways (SWG), Cloud Access Security Broker (CASB) und ein Zero-Trust-Netzwerkzugang.


Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

SASE-Komponenten:

  • DNS-Reputation
  • Remote Browser Isolation
  • Zero-Trust-Netzwerkzugriff
  • Data Loss Prevention
  • Malware-Schutz
  • Cloud Access Security Broker (CASB)
  • Firewall as a Service
  • Intrusion Detection
  • Intrusion Prevention
  • Secure Web Gateway

Traue keinem Anwender und keinem Gerät 

Dreh- und Angelpunkt des SASE-Modelles ist die Zero Trust Network Architecture (ZTNA). Das Security-Modell setzt darauf auf, keinem Gerät, Nutzer oder Dienst innerhalb oder außerhalb des eigenen Netzwerks zu vertrauen. Vielmehr stehen bei ZTNA umfangreiche Maßnahmen zur Authentifizierung von Usern und Diensten sowie zur Prüfung des gesamten Datenverkehrs im Mittelpunkt. Ein typischer Anwendungsfall von ZTNA ist der Zugriff von außerhalb der Unternehmensgrenzen. Im Gegensatz zu Virtual Private Networks (VPN) segmentiert ZTNA auf Anwendungsebene, wobei die ZTNA-Dienste jede einzelne Verbindung zu jeder einzelnen Anwendung als eine separate Umgebung mit individuellen Sicherheitsanforderungen behandeln. 

Für die Anwender sind diese Regeln völlig transparent. Konkret heißt dies, dass der ZTNA-Service – je nach Risikoprofil der einzelnen Anwender und Gruppen – selektiv verschlüsselt, vordefinierte Richtlinien anwendet oder eine zusätzliche Authentifizierung verlangt. Auch der Standort oder der Kontext des Mitarbeiters kann in die Regeln mit aufgenommen werden. So kann er beispielsweise Zugriff auf eine spezifische Anwendung zwar mit dem Firmencomputer, aber nicht mit dem privaten Gerät erhalten. ZTNA funktioniert für jede TCP- oder UDP-Verbindung. Dazu gehören native Anwendungsabläufe wie ERP-Systeme oder Netzwerkprotokolle wie Secure Shell (SSH) oder das Remote Desktop Protocol (RDP) von Microsoft.

Anzeige

Einfacher, schneller, kostengünstiger

Gerade im aktuellen Trend hin zu hybriden Arbeitsweisen offenbart sich das große Plus von SASE: Unternehmen haben die Möglichkeit, eine Sicherheitsplattform aufzusetzen, die unabhängig ist von Standorten, Rechenzentren, Cloud-Services oder Büros. Die Vorteile zeigen sich rasch: IT-Dienste lassen sich wesentlich schneller bereitstellen, die Administration für die Netzwerkinfrastruktur wird deutlich vereinfacht und vor allem können Apps und Security kostengünstiger bereitgestellt werden. Ein wichtiger Vorzug des SASE-Sicherheitsmodells ist zudem, dass jeder Zugriff über einheitliche Security-Richtlinien abgewickelt wird. Zudem zieht eine End-to-End-Verschlüsselung mit integrierten Webanwendungs- und API-Services eine zusätzliche Sicherheitsschicht ein.

Weitere Benefits von SASE im Vergleich zu herkömmlichen Netzwerksicherheitsarchitekturen sind:  

  • Der Zugriff auf Anwendungen wird nur einmal überprüft. Dies steigert die Leistung von Performance-hungrige Services. 

  • Im Gegensatz zu VPNs müssen Verbindungen zu Netzwerkdiensten nicht mehr über das interne Unternehmensnetz geroutet werden. Somit reduzieren sich die Latenzzeiten im Homeoffice erheblich. 

  • Mit SASE verringert sich die Anzahl der Softwareagenten auf Endgeräten und Edge-Netzwerk-Appliances an dezentralen Unternehmensstandorten. Dadurch sinken der operative Administrationsaufwand und die Kosten für Netzwerk- und Sicherheitsservices erheblich. 

  • Lokale Software-Upgrades durch IT-Administratoren werden überflüssig, da die Bereitstellung neuer Dienste zentral erfolgt.

Erfolgskriterien und Hindernisse für die Implementierung

SASE mag sehr attraktiv sein, doch die Implementierung der neuen Sicherheitsarchitektur birgt auch Herausforderungen. Deshalb ist es wichtig, eine umfassende Transformationsstrategie auszuarbeiten und die Erfolgskriterien für Planung, Implementierung und Auswahl des Dienstleisters zu beachten. 

Gerade auf Anbieterseite gibt es noch zahlreiche Hindernisse. Denn viele von ihnen halten noch an einem Sicherheitsdenken fest, das stark mit dem veralteten On-Premise-Ansatz verwurzelt ist. Auch Cloud-native Anbieter und aufstrebende SASE-Anbieter können oftmals noch nicht alle erforderlichen Komponenten bereitstellen. Häufig fehlt es auch am nötigen Verständnis für die Anwendung der Sicherheitsrichtlinien. Demzufolge müssen bei der Suche nach einem Dienstleister folgende Fragen beantwortet werden: Ist das Know-how und die Erfahrung bezüglich Cloud-Netzwerken und Security vorhanden? Passt der Anbieter zu den unternehmenseigenen Anforderungen und Zielen? Wie steht es um die Kompatibilität mit den verwendeten Cloud-Providern und den im Unternehmen genutzten Vernetzungstechnologien? Vor allem bei kleinen SASE-Anbietern ist zudem darauf zu achten, ob diese über die notwendigen Netzwerk-PoPs (Point of Presence) und Peering-Beziehungen verfügen. 

Bei der Vertragsgestaltung lohnt es sich, Wert auf Flexibilität zu legen, denn die Lizenzmodelle entwickeln sich in dem noch jungen Markt schnell weiter. Besondere Aufmerksamkeit bedarf die Erstellung und Pflege der Zugriffsregeln. Auch wenn Unternehmen oft mit einfachen Regeln einsteigen, müssen für den weiteren Verlauf Zeit und Know-how eingeplant werden, um diese weiterzuentwickeln. 

Einbindung aller Stakeholder 

Es empfiehlt sich, dass die IT-Führungskräfte gemeinsam mit den SASE-Anbietern eine Roadmap erstellen, die alle Ziele und Anforderungen des Unternehmens berücksichtigt. Wichtig ist dabei die Einbindung des Chief Information Security Officer (CISO) bzw. der Sicherheitsverantwortlichen. Nur so lässt sich einvernehmlich festlegen, wie das neue Netzwerk über verteilten Unternehmensstandorte aufgebaut sein soll und welche Sicherheitslösungen benötigt werden. Wie die Erfahrung aus vielen Veränderungsprozessen zeigt, muss auch die Unternehmensführung voll und ganz hinter dem Projekt stehen. Ebenso gilt es, die Teammitglieder, die bisher in traditionelle Netzwerk- und Sicherheitsarchitekturen eingebunden sind, ins Boot zu holen. 

Fest steht: Angesicht der unzähligen Sicherheitsbedrohungen wird kein Unternehmen darauf verzichten können, für ihr Cloud-Umgebungen auf eine wirkungsvolle und umfassende Sicherheitsstrategie zu setzen. Gerade für mittelständische und große Unternehmen, die auf mehrere Standorte verteilt sind, wird SASE zur Netzwerksicherheitslösung der Wahl werden.

Uwe

Becker

Head of Business Services Germany and Austria

Orange Business Services

Uwe Becker ist Head of Business Services Germany and Austria bei Orange Business Services, der Geschäftskundensparte der Orange – Gruppe. Er verfügt über mehr als 30 Jahre Erfahrung im Bereich Enterprise Technology and Architecture. In dieser Position hat der Diplom-Ingenieur die Beratungs-, Planungs- und Umsetzungsverantwortung rund um das Orange
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.