SSE und SASE sind weiterhin in aller Munde. Es gibt kaum ein Meeting, an welchem nicht über SASE, ZTNA oder Zero Trust gesprochen wird. Aber ist dies nur ein Marketing Hype oder echte Innovation? Wohin geht die Reise?

Dieser Blogartikel möchte etwas Licht ins Dunkel bringen.

Zuerst aber ein paar kurze Definitionen…


Das «Zero Trust»-Prinzip

Traditionelle Ansätze mit reinem „Perimeter-Sicherheit“, wie Firewalls und DMZs, sowie interne «flache» Netze bieten heutzutage keinen ausreichenden Schutz mehr vor Cyber-Angriffen.

Das neue Leitmotiv sollte Vertrauen (Trust) sein. Dieses Vertrauen umfasst die Identitäten der Benutzer, ihre Geräte und den Zugriff auf Ressourcen. Es beginnt bei Null (Zero) und erhöht sich dynamisch: Wenn der Benutzer authentifiziert ist, das verwendete Gerät den Sicherheitsüberprüfungen entspricht (Compliance-Check) und die Verbindung nicht verdächtig erscheint, wird die Verbindung gewährt. Diese Verbindung wird kontinuierlich überwacht und das Vertrauen entsprechend dynamisch angepasst.

Dies fasst das Prinzip von Zero Trust zusammen, das bereits 2010 von Forrester definiert wurde.

Basierend auf dem «Zero Trust»-Prinzip, definierte Gartner 2019 das SSE- und SASE-Framework. Es handelt sich um ein Framework und keine fertige Lösung, die man einfach kaufen und implementieren kann.

Die Definitionen von Gartner lauten wie folgt:


SSE – Security Service Edge

SSE schützt den Zugriff auf das Web, Cloud-Dienste und private Applikationen. Zu den Funktionen gehören Zugriffskontrolle, Bedrohungsschutz, Datensicherheit, Sicherheitsüberwachung sowie die Kontrolle der akzeptablen Nutzung, welche durch netzwerk- und API-basierte Integration durchgesetzt wird. SSE wird in erster Linie als Cloud-basierter Dienst angeboten, kann aber auch lokale oder agentenbasierte Komponenten umfassen.

Folgende Grund-Komponenten gehören zu SSE:

Secure Web Gateway (SWG): Schützt vor webbasierten Bedrohungen und erzwingt Sicherheits- und Nutzungsrichtlinien beim Zugriff auf Webseiten.

Cloud Access Security Broker (CASB): Schutz für Cloud-basierte Anwendungen und Daten, indem es Sicherheitsrichtlinien durchsetzt und Bedrohungen wie Malware verhindert.

Zero Trust Network Access (ZTNA): Zugriff auf Anwendungen basierend auf Identität und Kontext, wodurch ein sicherer, anwendungszentrierter Zugang geschaffen wird.

Firewall as a Service (FWaaS): Bietet Firewall-Schutz in Cloud-Umgebungen und sorgt für den einheitlichen Schutz von Daten und Anwendungen, unabhängig vom Standort.

Remote Browser Isolation (RBI): Trennt den Browser vom lokalen Netzwerk, um Bedrohungen zu isolieren und zu verhindern, dass Malware das Endgerät erreicht


SASE – Secure Access Service Edge

SASE (ausgesprochen: „Sässi“) bietet eine konvergierte Bereitstellung von Netzwerk- und Sicherheitsfunktionen als Service. SASE ermöglicht sicheren Zugriff für Aussenstellen, Remote-Mitarbeitende und lokale Umgebungen. Es wird vorwiegend als SaaS-Dienst bereitgestellt und bietet Zero-Trust-Zugriff, basierend auf der Identität von Geräten oder Entitäten, unter Berücksichtigung von Echtzeit-Kontext sowie Sicherheits- und Compliance-Richtlinien.

Die Grundkomponenten von SASE umfassen SD-WAN sowie alle Elemente von SSE.

Meine Merkformel lautet daher: SASE = SD-WAN + SSE.

SASE Formel

Das war’s schon mit den Definitionen.


Achtung Marketing!

Soweit so gut – wir haben Prinzipien und Leitlinien zur Erhöhung der Netzwerksicherheit. Allerdings gibt es immer noch Hersteller, die ihre „traditionellen“ Firewall- und VPN-Lösungen weiterhin vermarkten möchten. Dies führt oft zu spektakulären Marketing-Wortschöpfungen, die meist nur Verwirrung stiften:

  • SASE 2.0 / SASE 3.0
  • NG-SASE
  • Universal SASE
  • Zero Trust SASE
  • SASO – Secure Access Service Omni
  • ZTNA 2.0
  • UZTNA – Universal ZTNA
  • NG-SWG

usw.

Man sollte sich als Kunde nicht verwirren lassen und nicht auf überzogene Versprechungen hereinfallen. Oft handelt es sich um komplexe und hastig zusammengestellte Lösungen aus alten Produkten, die nur dazu dienen, im SSE-/SASE-Zeitalter weiterhin präsent zu sein.


Was bringt die Zukunft – ein Blick in die Glaskugel

Aus meiner Sicht haben sich SSE und SASE bereits etabliert, und viele Unternehmen haben SSE- und SD-WAN-Lösungen implementiert. Andere Unternehmen sind bereits weiter fortgeschritten und haben den SASE-Weg eingeschlagen. Zukünftig wird es wohl kaum einen Weg ohne SASE geben.

Zwar ist es grundsätzlich immer schwierig, Vorhersagen zu treffen, aber eines ist klar: Es werden kontinuierlich weitere Grundkomponenten hinzugefügt. Da es heutzutage immer mehr neue Bedrohungen gibt, müssen diese auch entsprechend adressiert werden.

Hier sind einige mögliche zukünftige Komponenten, von denen ich ausgehe:

Künstliche Intelligenz und Machine Learning (KI/ML)
Künstliche Intelligenz, LLMs, Chat-GPT, Copilot und ähnliche Technologien werden früher oder später integraler Bestandteil von SSE/SASE sein. Ob bei der Definition von Services, der Kategorisierung von Webseiten oder der Auswertung der enormen Logfiles – AI/ML unterstützt Administratoren erheblich.

Sandbox
Um Zero-Day-Angriffe zuverlässig zu erkennen, führt derzeit kein Weg an einer leistungsfähigen Sandbox vorbei. Eine Sandbox ermöglicht es, unbekannte Bedrohungen in einer isolierten Umgebung zu analysieren und zu identifizieren, bevor sie das eigentliche Netzwerk erreichen.

Data Protection / DLP
Die Implementierung von DLP-Funktionalitäten zur Erkennung und Blockierung vertraulicher und geheimer Daten ist unvermeidlich. Diese Technologien werden eine entscheidende Rolle spielen, um sicherzustellen, dass sensible Informationen nicht in die falschen Hände geraten und regulatorische Anforderungen erfüllt werden.

Schwachstellen Analyse
Schwachstellen-Scanner und Breach-Detection-Mechanismen sind bereits verfügbar. Besonders wertvoll ist es zu wissen, wie gut das eigene Unternehmen im Vergleich zu anderen aufgestellt ist und welches Schutzlevel es erreicht hat. Benchmarks und regelmässige Sicherheitsbewertungen helfen dabei, die Sicherheitslage zu bewerten und Schwachstellen zu identifizieren.

Täuschungsmassnahmen (Deception)
Honypots können in einem SSE/SASE-Framework eingesetzt werden, um Angreifer oder unberechtigte Benutzer zu erkennen, die auf digitale Köder (Decoys) hereinfallen. Diese Technologie identifiziert und überwacht verdächtige Aktivitäten, sobald solche Köder entdeckt und ausgenutzt werden.

Network Performance Monitoring
Die digitale Erfahrung soll verbessert werden, indem die Nutzung der Dienste und Zugriffe kontinuierlich überwacht wird. Sollte irgendwo ein Performance-Engpass oder ein sonstiges Problem auftreten, wird der Administrator oder das Helpdesk sofort informiert und kann schnell und gezielt reagieren.

Business Analyse
Das Business benötigt präzise Zahlen. Mit SSE/SASE fallen viele wertvolle Informationen in den Logs an, die anschaulich aufbereitet werden können:

  • Anzahl Mitarbeiter im Homeoffice
  • Möglichkeiten zur Redimensionierung von Standorten (Stichwort: Shared Desk)
  • Zählung der eingesetzten Software-Lizenzen für bessere Verhandlungspositionen

Solche Analysen liefern wertvolle Einblicke und unterstützen das Management-Team dabei, fundierte und datenbasierte Entscheidungen zu treffen.


Standardisierung

Bemerkenswert ist die MEF (Metro Ethernet Forum, www.mef.net), eine Industrievereinigung führender SASE-Anbieter, die bereits den «MEF 3.0 SASE Service Standard» veröffentlicht hat. Diese Standardisierung soll den Marketing-Wildwuchs begrenzen und klare Rahmenbedingungen schaffen.

Gartner hat den Magic Quadrant für Single Vendor SASE (SV-SASE) veröffentlicht, in dem ein Hersteller alle SASE-Komponenten bereitstellen kann. Dies bedeutet jedoch nicht, dass alle Komponenten „Best-of-Breed“ sind oder dass eine Kombination verschiedener Hersteller (Multi Vendor SASE) nicht besser wäre. Jedes Unternehmen muss individuell entscheiden, welche Lösung für den SSE/SASE-Weg am besten geeignet ist.


SSE/SASE – der Weg ist das Ziel

Viele Unternehmen haben Schwierigkeiten, SSE/SASE-Projekte zu starten, oft stehen sie sich dabei selbst im Weg. Ein vielversprechender Ansatz ist die schrittweise Lösung spezifischer Use Cases. Bei SSE/SASE gilt: Der Weg ist das Ziel. Man wird nie am endgültigen Ziel ankommen, sondern muss kontinuierlich alles hinterfragen und die einzelnen SSE/SASE-Komponenten stetig verbessern. Dies entspricht einem grundlegenden Prinzip der IT-Sicherheit. 😉


Links