Die Netzwerksicherheit wandert in die Cloud

Die Kernelemente von SASE

Gartner hat in seinem Konzeptpapier etwa 20 Komponenten definiert, die eine SASE-Plattform umfassen kann. Im Kern besteht der Ansatz aus einer Netzwerkarchitektur (Framework), die Weitverkehrstechniken (WAN, Wide Area Network) mit cloudnativen Netzwerksicherheitsfunktionen kombiniert. Zu den Sicherheitskomponenten gehören beispielsweise Secure-Web-Gateways, eine Zero-Trust-Zugangskon­trolle (ZTNA), Next Generation Firewalls (NGFW) sowie Cloud Access Security Broker (CASB).
“Seit dem Aufkommen von Cloud, Mobility und Edge Computing ist das private Rechenzentrum nicht mehr das Epizentrum des Unternehmensnetzwerkes. Die Corona-Pandemie hat diese Entwicklung beschleunigt.„
Steffen Brieger, Director Vendor Management bei Nuvias Deutschland
Je nach Anbieter können weitere Funktionen hinzukommen, etwa Intrusion-Detection-/-Prevention-Lösungen und Sicherheits-Software, die das Abfangen geschäftskritischer Daten verhindert (Data Loss Prevention). Auch bei den Wide Area Networks zeigt sich der Ansatz flexibel: «Für Akamai sind Content Delivery Networks ein vordefinierter Baustein von SASE. Marktforscher räumen daher CDN-Service-Providern gute Chancen auf diesem Markt ein», sagt beispielsweise Gerhard Giese, Industry Analyst bei Akamai Deutschland. Daher werden neben klassischen IT-Security-Unternehmen und Anbietern von Software-defined WANs (SD-WANs) nun auch CDN-Spezialisten wie Akamai und Cloudflare im Bereich SASE aktiv. Sie stellen Points of Presence (PoPs) zur Verfügung, über die Nutzer auf eine SASE-Plattform zugreifen können. Ein solcher Zugangspunkt sollte sich nach Möglichkeit in der Nähe des Standorts des Users befinden, damit die Verzögerungszeiten (Latenzen) möglichst gering ausfallen, wenn dieser auf Sicherheitsfunktionen zugreift.
Für Steffen Brieger von Nuvias sind ausserdem ein Identity Management und Funktionen, die den Datenfluss überwachen und auf Malware oder Angriffsmuster hin inspizieren, ein integraler Bestandteil von SASE. Das gilt auch für verschlüsselte Verbindungen. Wichtig ist zudem ein sogenanntes Policy Enforcement. Es stellt sicher, dass Endgeräte und User vorgegebene Regeln einhalten. Ein Beispiel: Ein Nutzer darf nicht über ein ungeschütztes Wireless LAN oder von einem Endgerät mit veraltetem Malware-Schutz auf Unternehmensapplikationen zugreifen. Sollte er es dennoch versuchen, wird die Verbindung automatisch unterbrochen und das System in Quarantäne gesteckt.
Alternativen zu SASE
Unternehmen müssen nicht zwangsläufig auf ein SASE-Modell setzen, so Gartner. Nach Einschätzung des Beratungsunternehmens gibt es durchaus Alternativen. Allerdings weisen etliche von ihnen Schwächen auf.
Hardware-Appliances in Niederlassungen: Sie verbinden die Systeme am Edge des Netzwerks mit dem Firmenrechenzen­trum und Cloud-Ressourcen. Mit an Bord sind Security-Funktionen. Die Nachteile: die Kosten für die Hardware, auch bedingt durch Release-Wechsel, sowie die begrenzte Flexibilität einer solchen Infrastruktur.
Software-basierte Infrastruktur in Aussenstellen: Die Basis sind Software-Appliances in den Niederlassungen mit virtualisierten Sicherheits- und Netzwerkfunktionen. Alternativ dazu kann ein solches System auf Cloud-Services zurückgreifen. Auf diese Weise, so Gartner, lassen sich SASE-Services bereitstellen. Der Nachteil ist, dass der Anwender sich mit unterschiedlichen Anbietern und Managementkonsolen arrangieren muss.
SASE selbst implementieren: Statt eine SASE-Lösung von einem Anbieter zu beziehen, können Anwender eine solche Infrastruktur selbst zusammenstellen. Das erfolgt mittels Service-Chaining: IT-Sicherheitskomponenten unterschiedlicher Anbieter werden miteinander kombiniert. Das gilt für Lösungen, die via Cloud und mittels Virtualisierung von Netzwerkfunktionen (Network Function Virtualization) bereitgestellt werden. Der Vorteil: keine Bindung an einen einzelnen Anbieter. Der Nachteil: eine komplexe Infrastruktur, die einen höheren Aufwand bei der Implementierung und im Betrieb erfordert.
Service-Chaining mit Unterstützung eines Providers: Ein Carrier, Service-Provider oder IT-Security-Anbieter übernimmt das Chaining der virtualisierten Sicherheitsservices. Das entlastet die hauseigene IT-Abteilung. Problematisch ist, dass möglicherweise unterschiedliche Frameworks und Managementkonsolen zum Einsatz kommen.
SD-WAN und Netzwerksicherheit «as a Service» von zwei Anbietern: Damit werden Sicherheits- und Connection-Services in organisatorischer Hinsicht separiert. Auch das verringert die Ab­hängigkeit von einem Anbieter, bringt jedoch eine höhere Komplexität mit sich.



Das könnte Sie auch interessieren