Was Secure Access Service Edge (SASE) wirklich bedeutet

Bei Begriffen wie SASE, SD-WAN und SSE verlieren selbst IT-Entscheider immer wieder den Überblick. Wir bringen Licht in den Begriffsdschungel und klären, was sich hinter den Abkürzungen verbirgt und wie sie zusammenhängen.

Im September 2019 beschrieb das Beratungsunternehmen Gartner in seinem Report „The Future Of Network Security Is In The Cloud“ ein neues Sicherheitskonzept, das seitdem die IT-Sicherheit auf den Kopf stellt. Während sich bisherige Ansätze vor allem auf den Perimeter als wichtigsten Schutzwall gegen Cyberangriffe konzentrierten, geht das von Gartner entwickelte Konzept „Secure Access Service Edge“ (SASE) einen großen Schritt weiter.

Warum SASE und der Abschied vom Perimeter notwendig sind

Die Zeiten, in denen Unternehmen alle wichtigen Anwendungen und Dienste ausschließlich in einem meist eigenen Rechenzentrum gehostet haben, sind vorbei. Auch ihre Mitarbeiter befinden sich zu einem großen Teil nicht mehr im eigenen Firmengebäude, sondern greifen von außerhalb auf die Netzwerke zu. Eine weitere wichtige Rolle spielt der Erfolg der Cloud. Ein erheblicher Teil der Anwendungen und Dienste erfolgt heute nicht mehr im Eigenbetrieb, sondern von externen Dienstleistern – gemietet über das unsichere Internet. Zu den Beispielen zählen Kollaborationsplattformen wie Microsoft Teams, Cisco Webex, die Videokonferenzlösung Zoom oder Geschäftsanwendungen wie Salesforce und Microsoft 365.

SASE soll diese komplexen Strukturen wieder absichern, indem das Modell nicht nur den Bereich der Netzwerksicherheit umfasst, sondern auch die Wide Area Networks (WAN), die selbst in einem cloudbasierten Servicemodell geschützt werden. Secure Web Gateways (SWG), Cloud Access Security Broker (CASB) zur Überwachung von Cloud-Anwendungen, virtuelle Firewall-as-a-Service-Angebote (FWaaS) und Zero Trust Network Access (ZTNA) für fein abgestufte Zugänge bilden den Kern dieser modernen Welt an den Schnittstellen zwischen Internet und internen Netzen. Hier enden jedoch häufig die Gemeinsamkeiten der SASE-Plattformen. Die meisten Anbieter erweitern ihre SASE-basierten Lösungen um zusätzliche Funktionen für Data Loss Prevention (DLP), Identity & Access Management (IAM), zur Erkennung und Abwehr von Angriffen (IPS/IDS, Identity Prevention Systems, Identity Detection Systems) oder wie NCP auch um cloudbasiertes VPN, das als VPN-as-a-Service (VPNaaS) eingesetzt werden kann.

Besondere Bedeutung kommt dabei der Durchsetzung der Richtlinien zu, die beispielsweise verhindern, dass ein Mitarbeiter vom Homeoffice aus mit einem veralteten und unzureichend gesicherten Endgerät auf zentrale Unternehmensressourcen zugreift. Die effiziente Durchsetzung dieser Leitfäden ist ein wesentlicher Bestandteil.

Wie SASE das Software-Defined WAN und Zero Trust ergänzt

Klassische Wide Area Networks verbinden lokale Netzwerke (LANs) über größere Entfernungen. Vor allem große Unternehmen nutzen sie, um ihre Filialen und Standorte untereinander und mit der Zentrale zu vernetzen. Die dafür notwendige Hard- und Software stammte bisher meist aus einer Hand. Ein Software-Defined WAN (SD-WAN) bietet dagegen deutlich mehr Flexibilität, da die eingesetzte Software auch mit Hardware anderer Hersteller zusammenarbeitet. Der SD-WAN-Einsatz steht zudem für eine bessere Skalierbarkeit und kann so zu erheblichen Kosteneinsparungen führen.

Herkömmliche Sicherheitsmaßnahmen reichen jedoch nicht mehr aus, um ein SD-WAN abzusichern, da sie nur den bestehenden Perimeter verteidigen. Sie gehen vor allem davon aus, dass das interne Netzwerk vertrauenswürdig ist. Abhilfe verspricht das Zero-Trust-Prinzip, das zunächst niemandem vertraut. Stattdessen muss das Vertrauen durch verlässliche Nachweise und Prüfungen immer wieder neu aufgebaut werden.

Ergänzend dazu besagt das Prinzip der geringsten Rechte („Least Privilege“), dass nur diejenigen Zugriff erhalten, die ihn für ihre Aufgaben auch wirklich benötigen. Generelle Top-Level-Zugänge mit Zugriff auf ganze Netzwerke gehören damit der Vergangenheit an. Darüber hinaus unterscheidet eine Zero-Trust-Lösung auch nicht mehr zwischen internen und externen Netzwerken – beide gelten per se als unsicher. Aus diesen Gründen erlaubt das NCP Secure Enterprise Management (SEM) auch die granulare Konfiguration von Zugriffsrechten für Benutzergruppen und einzelne User.

Während sich Zero Trust darauf konzentriert, authentifizierten Benutzern und Geräten den Zugriff auf die von ihnen benötigten Ressourcen zu gewähren, geht SASE also noch einen Schritt weiter. Beide Konzepte lassen sich aber optimal miteinander kombinieren. Allerdings ist der Aufwand für SASE nicht zu unterschätzen. Viele Firmen integrieren daher zunächst Zero Trust und setzen sich SASE als erweitertes Ziel für die Zukunft.

Fazit

Als SASE vorgestellt wurde, dachten einige, es sei nur eine neue Formulierung für SD-WAN. Doch das stimmt nicht. SD-WAN ist vielmehr ein Teil von SASE und keineswegs dasselbe. SASE integriert zusätzlich zum Netzwerk erweiterte Sicherheitsfunktionen und schafft so ein ganzheitliches Netzwerk- und Sicherheitsmodell. Das geht sogar so weit, dass Gartner mittlerweile mit SSE (Secure Service Edge) bereits das nächste Modell eingeführt hat. SSE konzentriert sich wieder auf das Thema Security und lässt den Netzwerkteil weg. Hier tauchen dann auch die Begriffe ZTNA, SWG und CASB erneut auf.

Im Grunde gilt also diese vereinfachte Formel:
SD-WAN + SSE = SASE

Sollten Sie weitere Informationen benötigen, zögern Sie bitte nicht, uns zu kontaktieren. Wir helfen Ihnen gerne weiter und beantworten alle Fragen rund um die Einbindung von unseren Lösungen in SD-WAN, SASE, SSE und ZTNA. Wie diese in SASE- und SD-WAN-Infrastrukturen maximale Flexibilität mit höchster Sicherheit vereint, erfahren Sie auch in unserer Broschüre „VPN und die Cloud“.

Jetzt Broschüre herunterladen!