Um das Thema SASE ist ein regelrechter Hype entbrannt. Kaum ein Security-Hersteller, der nicht plötzlich eine SASE-Strategie aus dem Hut zaubert oder behauptet, bereits eine entsprechende Plattform anzubieten. Das ganze Thema hat aber auch bei den Kunden enorm Auftrieb erhalten durch die Zunahme von Home Office und die Transformation von Applikationen in die Cloud.
Wer heute SASE implementieren will, ist nicht alleine und kann bereits von einigen Vorreitern profitieren. In diesem Blogpost zeige ich Ihnen gerne auf, worauf Sie bei der Implementierung achten sollten.
Was SASE ist und warum es gerade einen Hype darum gibt
Das Akronym SASE steht für Secure Access Service Edge und ist eine Wortschöpfung aus der Küche von Gartner. Gartner beschreibt damit eine Netzwerkarchitektur, bei welcher klassische Sicherheitsfunktionen wie Web Proxy, CASB, Firewall und Zero Trust Network Access (ZTNA) vom eigenen Perimeter in die Cloud verschoben und auf einer Plattform konsolidiert angeboten werden.
Die Treiber für SASE sind offensichtlich: Mitarbeitende arbeiten immer häufiger von zuhause aus oder unterwegs, Applikationen werden zunehmend als SaaS direkt aus der Cloud bezogen oder bei MS Azure und AWS zur Verfügung gestellt. Das Internet wird zum Unternehmensnetzwerk und es macht keinen Sinn mehr, relevante Sicherheitsfunktionen ausschliesslich zentral im eigenen Rechenzentrum anzubieten.
Für die Kunden bedeutet SASE eine Verringerung der Komplexität bzw. Konsolidierung von Sicherheitsfunktionen auf einer cloudbasierten Plattform. Gleichzeitig bietet diese Plattform allen Niederlassungen und allen Mitarbeitenden weltweit einen sicheren Zugang zu Internet, SaaS und privaten Applikationen. Durch die Nutzung von lokalen Cloudknoten ist die Security viel näher beim Benutzer und führt so zu weniger Latenz, besserer Performanz und ganz einfach zu einer optimalen Usability. SASE ist skalierbar und bietet in der Regel auch gleich Zero Trust für den Zugriff auf die unternehmenseigenen Applikationen.
7 Tipps für Ihr SASE-Projekt
Zusammen mit dem Marktführer Zscaler durfte ich bereits mehrere SASE-Projekte begleiten. Der grosse Aufschwung kam mit der ersten Corona-Welle und kennt bisher kein Ende. Aus den bisherigen Projekten haben sich folgende Best Practice Tipps für die Implementierung ergeben:
- Alle an einen Tisch: SASE betrifft niemals nur eine einzige Fachabteilung in der IT. Für ein Projekt müssen alle relevanten Fachabteilungen an einen Tisch. Das sind in der Regel das Netzwerk- bzw. Firewall-Team, die Verantwortlichen für den Web Proxy, Spezialisten für Active Directory, Cloud und die Endpoints, sowie die IT-Sicherheitsverantwortlichen. Initial eignet sich ein Architektur-Workshop als gemeinsamer Nenner. Dabei lässt sich aufzeigen und diskutieren, wohin die Reise gehen soll, wie der Scope zu definieren ist und welche Fragen offen bzw. zu klären sind.
- Use Cases für den POV: Anforderungen an die SASE-Lösung müssen gemeinsam und teamübergreifend definiert werden. Dabei hilft es in Use Cases zu denken. Wie holen wir das Optimum aus SASE heraus? Welche Use Cases können auf die neue Plattform migriert werden? Welche neuen Use Cases schaffen Mehrwert für die Benutzer und die Unternehmung? Diese Use Cases bilden das Grundgerüst für den folgenden POV (Proof of Value).
- Vollständiger POV: SASE lässt sich weder auf dem Papier prüfen, noch im Rahmen einer Produkt-Demo oder einer limitierten Teststellung. Ich empfehle einen möglichst vollständigen POV in produktiver Umgebung und mit einer Konfiguration, die so nahe wie möglich an der gewünschten Zielkonfiguration ist. Aus Erfahrung macht es Sinn, zuerst den sicheren Internetzugang zu testen, danach den Zugriff auf private Applikationen. Wenn alles funktioniert, können Spezialfunktionen wie CASB, DLP oder Browser Isolation hinzugenommen und getestet werden.
- Genügend Zeit einplanen: SASE ist Cloud, aber Cloud bedeutet leider selten «einstecken» und vergessen. Es ist wichtig, genügend Zeit und Ressourcen für den POV einzuplanen. Wichtige Use Cases wie die Nutzung von Collaboration Tools, Internet-Telefonie oder Business-kritischen Applikationen müssen zwingend ausgiebig geprüft werden. Wer Niederlassungen in China hat, sollte diesem Umstand im POV genügend Zeit und Ressourcen einräumen. Die teamübergreifende Zusammenarbeit bzw. die Konfiguration von Umsystemen wie Firewalls, Endpoints und Active Directory dürfen nicht unterschätzt werden und brauchen ebenfalls Zeit.
- Stufenweiser Rollout: Ein Rollout kann bei Cloud-Lösungen quasi beliebig gestaffelt werden. Einzelne Standorte oder Länder können separat voneinander aufgeschaltet werden oder einzelne Funktionen wie Sandboxing, Browser Isolation und DLP können ausgerollt werden, wenn die SASE-Plattform bereits breit genutzt wird. Eine Staffelung kann Sinn machen, um erste Erfahrungen zu sammeln und davon im weiteren Verlauf des Rollouts zu profitieren. Wer jedoch beim POV gründliche Arbeit leistet, kann den Rollout auf jeden Fall zügig angehen.
- Datenschutzthematik frühzeitig abklären: Wer SASE implementiert, verlegt einen Grossteil der IT-Kommunikationsverbindungen in die Cloud. Dies betrifft sowohl Verbindungen ins Internet und auf SaaS-Dienste wie MS365, als auch Zugriffe auf private Applikationen. Die Cloud-Plattform agiert hier quasi als Trusted Party im Zero-Trust-Modell und sammelt selbstverständlich fleissig Logdaten über alle Kommunikationsverbindungen und Zugriffe. Es gilt also frühzeitig abzuklären, was die Anforderungen Ihrer Unternehmung sind bzgl. Cloud und Datenschutz, wo die Logdaten der SASE-Plattform gespeichert werden dürfen, welche technischen und rechtlichen Massnahmen erfüllt sein müssen.
- Die richtige Plattform wählen: SASE-Angebote schiessen wie Pilze aus dem Boden. Nahezu alle Security-Hersteller reiten heute die SASE-Welle. Dahinter stecken aber Lösungen mit ganz unterschiedlichem Reifegrad. Schauen Sie daher genau hin, was diese Plattformen bieten und ob die Lösung aus einem Guss ist oder vielleicht doch viel mehr ein Gebastel aus verschiedenen zugekauften Produkten. Fragen Sie nach Referenzen und prüfen Sie diese.
Welche Lösung darf es denn sein – trau, schau, wem!
Die ganze IT-Security-Industrie bewegt sich aktuell in Richtung SASE. Gartner schreibt dabei vor, was eine solche Plattform an Funktionalitäten abdecken soll. Was nicht vorhanden ist, wird gebaut oder hinzugekauft.
Wer die richtige Plattform für sein SASE-Projekt finden will, muss verstehen, wo der Ursprung und damit auch die Stärken und Schwächen der verschiedenen Hersteller liegen. Wer den Fokus auf die weltweite Netzwerkanbindung legt und nicht so sehr auf Security, findet sein Glück vielleicht bei einem SD-WAN-Anbieter. Wo der Schutz der Daten erste Priorität hat, können CASB-Spezialisten gute Dienste leisten. Die stärkste Marktposition sehe ich jedoch bei cloud-basierten Security-Plattformen wie beispielsweise der von Zscaler. Neben dem Funktionsumfang ist es nämlich viel mehr entscheidend, dass es sich um eine erprobte und skalierbare Plattform handelt mit weltweit vielen lokalen Zugangsknoten. Nur so kann eine hohe Verfügbarkeit und Performanz für alle Niederlassungen und alle Benutzer sichergestellt werden. Nicht unwesentlich dürfte dabei sein, ob es sich beim Hersteller um einen klassischen HW/SW-Anbieter oder einen echten Cloud Provider handelt. Diese DNA macht einen grossen Unterschied, wenn es um den Betrieb und damit die Service-Qualität einer solch business-kritischen Plattform geht.
Wenn Sie dann soweit sind, dass der Grossteil Ihrer Verbindungen über die SASE-Plattform läuft – Zugriffe auf Internet, SaaS und Applikationen – werden Sie merken, dass Ihre bisherigen Performanz-Monitoring Tools praktisch nutzlos geworden sind. Eine SASE-Plattform mit integriertem Performanz-Monitoring hilft bei Problemfällen, unterstützt Ihren Helpdesk bei der Analyse und Lösungsfindung und ermöglicht es Ihnen frühzeitig mögliche Engpässe zu entdecken und Produktivitätsverlust zu verhindern.
Und ja, ich wiederhole mich gerne, fragen Sie nach Referenzen!
P.S: Danke hammy für deine Inputs 🙂
Mark Stäheli
Mark Stäheli ist Co-CEO bei AVANTEC AG und beschäftigt sich seit bald 20 Jahren mit IT-Security. Mark hat Informatik studiert mit Schwerpunkt Kryptographie und IT-Sicherheit. Trotz den täglichen Cyber-Hiobs-Botschaften verfällt er keiner Paranoia, behält einen pragmatischen Blick auf die Thematik und berät Unternehmen sehr gerne hinsichtlich sinnvollem und wirtschaftlichem Einsatz von IT-Security-Lösungen.