Was Manager über SASE wissen sollten
Was ist mit SASE (wirklich) gemeint?
Der Begriff SASE (Secure Access Service Edge) wurde gegen Ende 2019 von Neil McDonald und Joe Skorupa bei Gartner® geprägt, um eine Strategie zu beschreiben, bei der Cybersicherheits- und WAN-Edge-Netzwerkdienste gemeinsam bereitgestellt werden, um die aktuellen Herausforderungen in Unternehmen zu bewältigen. Damit meinten sie konkret die Verwaltung der ständig wachsenden Technologiestacks über eine immer dynamischere "Service Edge" hinweg, zu der neben den Filialen nun auch mobile Benutzer, SaaSAnwendungen und Rechenzentren gehören, die vom Unternehmensgelände in die Cloud ausgelagert wurden.
Wenn die einzelnen Cybersicherheitstechnologien (wie SD-WAN, WANOptimierung, NGFW, ZTNA, SWG, CASB usw.) trotzdem weiterhin als separate Dienste bereitgestellt werden, kommt es oft zu Problemen beim Skalieren, insbesondere, wenn diese Technologien unternehmensintern verwaltet, gepflegt und aktualisiert werden müssen.
Mit SASE soll ein einheitlicher, sicherer Zugang geschaffen werden, damit Benutzer reibungslos zwischen Homeoffice, Filiale, Hauptsitz und anderen Standorten wechseln und von überall aus über dieselbe zentrale Plattform auf Ressourcen in Rechenzentren, Clouds, SaaS-Umgebungen und dem Internet zugreifen können.
Woher kommt SASE?
Der Begriff stammt von Gartner. Die Analysten des Unternehmens wurden angesichts der Trends zur Bereitstellung geschäftskritischer Anwendungen in SaaS-Umgebungen, zunehmenden Cloud-Nutzung und Erweiterung von Filialinfrastrukturen wiederholt aufgefordert, „eine bessere Methode“ zur Gewährleistung der Sicherheit und Agilität dieser neuen Umgebungen zu empfehlen. Gleichzeitig wurde deutlich, dass Netzwerk- und Sicherheitsdienste in diesen Umgebungen auf dieselbe Weise betrieben werden sollten wie Cloud-, SaaS- und andere Anwendungen. Gartner schlug SASE als Strategie zur Bewältigung dieser Herausforderungen vor.
Welche Rolle spielt das für die Cybersicherheit?
Bei SASE geht es, ähnlich wie bei Zero Trust, darum, Sicherheitsdienste möglichst nah an den zu schützenden Assets bereitzustellen.
Heute müssen zu viele Manager zu große Risiken in Kauf nehmen, wenn sie die neuesten SaaS- und cloudbasierten Anwendungen und Dienste nutzen wollen. Die etablierte Standardlösung, bei der der gesamte Netzwerkverkehr über ein zentrales Sicherheitsgerät geroutet wurde, das sich zum Beispiel im Rechenzentrum befand, führte zu inakzeptablen Leistungseinbußen und Nutzererlebnissen.
Deshalb sollen im SASE-Modell alle Dienste von derselben Plattform aus bereitgestellt werden. Das vereinfacht den Technologiestack, die Administration und die Richtlinien und sorgt gleichzeitig für die konsequente Gleichbehandlung aller Zugriffsversuche. Eine solche Strategie lässt sich jedoch nicht mit mehreren voneinander isolierten Punktlösungen umsetzen, selbst wenn diese von ein und demselben Anbieter stammen.
Beim Übergang zu einer SASE-Strategie stellt sich in vielen Unternehmen heraus, dass die Verantwortlichen nicht wirklich wissen, wie das alltägliche Nutzererlebnis ihrer Mitarbeiter aussieht. Dies machte sich insbesondere während der erzwungenen Umstellung vieler Unternehmen auf mobile oder hybride Arbeitsweisen bemerkbar. Die Beschwerden über langsame oder unzuverlässige Verbindungen stiegen exponentiell an. Zu ihrer Bearbeitung war eine detailliertere Übersicht über alle Abschnitte der Verbindungen erforderlich. Dies wird in der Regel als Management der digitalen oder Benutzererfahrung bezeichnet.
Worum geht es bei Diskussionen über SASE?
Anbieter haben schnell erkannt, wie groß die Nachfrage nach SASE bereits ist – und dass sie mit ihren aktuellen Produktportfolios nicht das ganze Spektrum der Dienste abdecken können, die durch SASE zusammengeführt werden sollen. Um dies zu vertuschen, versuchen viele, den von Gartner definierten Aufgabenbereich zu verkleinern.
Einige bewerben eine einzelne Sicherheitstechnologie, wie IAM oder SWG, als „alles, was man für SASE benötigt“. Andere Anbieter behaupten, dass SD-WAN die wichtigste Komponente von SASE sei und dass Sicherheitsdienste nur eine nette Ergänzung seien, die man von anderen Anbietern dazukaufen könne.
Diese Versuche sind irreführend, denn das wichtigste Ziel von SASE ist es, all diese Funktionen über eine zentrale Plattform und so weit wie möglich "as a Service" bereitzustellen. Jeder Ansatz, bei dem Komponenten weggelassen werden oder von anderen Anbietern hinzugefügt werden sollen, ist kein SASE, sondern als SASE verpacktes "Business as usual".
Unser Rat: Was Manager beim Übergang zu SASE bedenken sollten
Bei SASE geht es um die Konvergenz von Netzwerk- und Sicherheitsdiensten. Beide sind für eine erfolgreiche SASE-Strategie gleich wichtig. Deshalb sollte Ihr Hauptaugenmerk darauf liegen, mehr Dienste in einem einzigen Service – und nicht nur in mehreren Lösungen desselben Anbieters – zusammenzufassen, ohne dass ihre Wirksamkeit oder die Transparenz darunter leiden.
Ein zweites, ebenso wichtiges Ziel ist, dass die Bereitstellung und Verwaltung aller SASE-Services dem SASE-Modell entsprechen, so weit dies möglich ist. Sie werden nach wie vor einige physische Geräte benötigen, um den Traffic an die Edge zu routen, zum Beispiel einen WAN-Edge-Konnektor (vorzugsweise SD-WAN), aber alle anspruchsvollen Richtlinien-, Administrations- und Computing- Dienste für diese Assets sollten aus der Cloud bereitgestellt werden.
Die Benutzererfahrung sollte sich durch die Umstellung auf mobile bzw. hybride Arbeitsweisen nicht verschlechtern, und das bringt uns zum dritten Bereich, auf den Sie sich konzentrieren sollten. Das Management der Benutzererfahrung ist unverzichtbar und sollte daher (ebenso wie die Netzwerk- und Sicherheitsdienste) in das SASE-Serviceangebot integriert werden.
Stellen Sie Ihrem Team die folgenden Fragen, um für eine erfolgreiche Umstellung zu SASE zu sorgen:
- Haben wir beim Zugriff das gesamte Spektrum berücksichtigt, also alle Orte, an denen Benutzer arbeiten (zu Hause, in Filialen oder unterwegs), und alle Ressourcen, auf die sie zugreifen müssen (in Rechenzentren, in der Cloud, in SaaS-Umgebungen und im Internet)? Welche Lösungen haben wir bereits implementiert, um diesen Zugriff zu gewähren?
- Können wir gewährleisten, dass überall dasselbe Sicherheitsniveau erhalten bleibt, unsere vertraulichen Daten geschützt sind und keine Malware eingeschleust werden kann – unabhängig davon, von wo aus die Benutzer arbeiten, auf welche Anwendungen sie zugreifen und ob sie zwischendurch private Apps nutzen?
- Wenn wir unser Sicherheitsniveau erhalten und gleichzeitig den Technologiestack vereinfachen können, was hindert uns daran, das Toolset zu konsolidieren, das wir derzeit nutzen?
- Wie stellen wir sicher, dass wir weiterhin eine Übersicht über den gesamten Bereitstellungspfad unserer Anwendungen haben (vom Endpunkt bis zur Anwendung) und somit für eine gute Benutzererfahrung sorgen können?
- Wie können wir das Konzept oder die Richtlinien für unsere Netzwerk-Edge von den spezifischen Parametern der einzelnen Standorte abstrahieren, um für ein durchweg hervorragendes Benutzererlebnis und einfache Skalierbarkeit zu sorgen?