SASE – das Internet wird zum Unternehmensnetzwerk.

Die Zukunft der Netzwerk-Security ist in der Cloud, sagt Gartner. Die Analysten ziehen diese Schlussfolgerung aus den aktuellen Trends: Immer mehr Mitarbeitende arbeiten ausserhalb des klassischen Firmen-Perimeters, Unternehmen beziehen zunehmend Services von SaaS-Anbietern, selbst private Applikationen werden vom eigenen Rechenzentrum in die Cloud verschoben. Es gibt keinen eigentlichen Perimeter mehr – oder anders betrachtet: es gibt ganz viele neue Perimeter – eine um jede Niederlassung und um jeden mobilen Mitarbeitenden herum. Der IT-Security-Fokus verschiebt sich vom eigenen Rechenzentrum hin zur Identität von Benutzern und Endgeräten. Das Internet wird zum Unternehmensnetzwerk. Aber jetzt mal ganz langsam und von vorne.


Was ist SASE und was steckt da drin?

SASE ist eine der neusten Begriffsschöpfungen von Gartner und steht für Secure Access Service Edge. Dabei ist davon auszugehen, dass SASE als Cloud-Plattform angeboten wird und allen Niederlassungen und Benutzern eines Unternehmens weltweiten sicheren Zugriff auf Internet und Applikationen gewährt. Gemäss Gartner soll diese Cloud-Plattform verschiedene Security- und auch Netzwerk-Services zusammenfassen. Dazu gehören:

    • Web Proxy inkl. SSL-Interception, Content Scanning und URL-Filtering, idealerweise mit einer Sandbox und Möglichkeiten zur Browser-Isolation
    • CASB: Cloud Visibilität und Kontrolle (Thema: Schatten-IT)
    • DLP-Funktionalität zur Erkennung und Blockierung von vertraulichen Daten
    • ZTNA: sicherer Zugriff auf private Unternehmens-Applikationen (siehe auch Teil 2 dieser Blogreihe: www.tec-bite.ch/wohin-die-it-security-reise-geht-teil2-ztna/)
    • FWaaS: Firewall als Service für kleinere und mittelgrosse Aussenstellen ohne eigene Server-Infrastruktur
    • SD-WAN: zur Optimierung der Netzwerkverbindungen in den weltweiten Niederlassungen

Die Idee dahinter ist ziemlich simpel: Wenn sich Benutzer, Services und Geschäftsapplikationen vermehrt ausserhalb des klassischen Perimeters befinden, wird das Internet zum Unternehmensnetzwerk. Dabei verschwinden teure und latenztreibende MPLS-Leitungen, genauso wie der unliebsame Client-VPN-Zugriff. Dafür braucht es jedoch eine Cloud-Security-Plattform, die weltweit immer nahe beim Benutzer ist und die alle relevanten Security-Funktionen für den sicheren Zugriff auf Internet und Applikationen übernehmen kann: von der initialen Authentisierung und Autorisierung bis hin zur Prüfung des gesamten Datenverkehrs im Hinblick auf Malware, Bedrohungen und sensitive Daten. Damit eine solche Lösung die Akzeptanz und Produktivität von Benutzern nicht beeinträchtigt, ist eine weltweite Präsenz von Cloud-Zugangsknoten entscheidend.

CARTA und ZTNA – die Themen der ersten beiden Blogbeiträge in dieser Reihe fliessen in SASE mit ein. ZTNA ist ein wichtiger Bestandteil eines SASE-Angebots. Cloud-basierte Web Security Services mit zusätzlichen Funktionen wie CASB, DLP und integrierter Firewall gibt es schon seit längerem. Erst die ZTNA-Funktionalität komplettiert das Angebot, so dass die Benutzer weltweit und unabhängig von Netzwerk und Endgerät sicher und rasch auf alle relevanten Ressourcen zugreifen können. CARTA definiert, dass Zugriffe gerade auf Geschäftsapplikationen nur basierend auf Identität und Kontext erfolgen dürfen, gemäss der aktuellen Unternehmens-Policy und kontinuierlich überwacht werden müssen.


SASE in der Praxis – die Transformation hat längst begonnen

Die Vorteile eines SASE-Modells für multinationale Unternehmungen sind vielseitig und bestechend. Netzwerk- und Security-Funktionen bzw. entsprechende Hersteller und Produkte können konsolidiert werden, werden als Service bezogen, sind rasch implementiert und skalierbar. Benutzer weltweit profitieren von besserer Usability und Performanz, sowie Zugriffe auf lokale Iänderspezifische Inhalte. MPLS-Kosten verschwinden, Client-VPN-Umgebungen auch. Applikationen sind gegen aussen hin unsichtbar, ein Zugriff ist nur für berechtigte Benutzer erlaubt. Auf einer Cloud-Plattform können verschiedene Security-Funktionen quasi modular zusammengeklickt werden und der sogenannte Cloud-Effekt sorgt dafür, dass aufgrund einer Vielzahl von Feeds unterschiedlichster Hersteller ein umfassender und starker Schutz-Level zur Verfügung steht.

Auch wenn SASE als Begriff noch neu und im deutschsprachigen Raum noch wenig verbreitet ist, begleite ich persönlich schon seit längerem Unternehmen auf dieser Reise. Die Netzwerk- oder Cloud-Transformation hat längst begonnen. Seit vielen Jahren bauen Unternehmen ihre Netzwerke um und setzen auf lokale Breakouts. Auch Office 365 ist eine treibende Kraft dafür, dass Unternehmen in den weltweiten Niederlassungen MPLS abbauen und direkt ins Internet gehen. Anbieter von Cloud-basierten Web-Proxy-Lösungen ermöglichen diesen weltweiten sicheren Zugang zu Internet und SaaS-Diensten. Neben den klassischen Web-Proxy-Funktionalitäten bieten sie auch integrierte CASB- und DLP-Funktionen, sowie eine NGFW-Engine für die Ablösung von Firewall-Appliances in kleinen und mittlere Niederlassungen, die über keine eigene Server-Infrastruktur verfügen.

Zscaler hat als erste dieser Cloud-Plattformen auch eine ZTNA-Lösung implementiert und kommt damit einem kompletten SASE-Angebot schon ziemlich nahe. Erste Unternehmen haben begonnen damit das Thema Internet-Sicherheit auch auf die eigenen privaten Applikationen auszuweiten – unabhängig davon, ob diese im eigenen Rechenzentrum oder bei Azure & Co in der Cloud betrieben werden. Diese Unternehmen sind aus meiner Erfahrung vom ZTNA-Ansatz und einer kombinierten SASE-Plattform begeistert. Sie schätzen insbesondere die hohe Flexibilität und Skalierbarkeit, die verbesserte Usability für den Endbenutzer, sowie den hohen Schutzlevel, die Administrierbarkeit und die Unterstützung des Multi-Cloud Ansatzes. Es spielt keine Rolle, wo und in welcher Cloud die Applikationen bereitgestellt werden, der Benutzer verbindet sich automatisch mit der nächstgelegenen Instanz.


Kritische Würdigung von SASE

SASE ist in vielen Bereichen bereits Realität. Web Proxies wachsen mit CASB und DLP zusammen (was auf jeden Fall Sinn macht), Hersteller ergänzen Ihre bestehenden Lösungen mit ZTNA. Wo früher mehrere Agents auf einem Rechner installiert werden mussten (was problematisch ist), kommt man bei SASE mit einem aus. SASE beschränkt sich natürlich nicht nur auf die weltweiten Niederlassungen und mobilen Mitarbeitenden, nein, auch OT und IOT-Instanzen können sich über die Cloud-Plattform sicher verbinden und Daten austauschen. Gartner geht bei der Definition von SASE jedoch noch weiter. Klassische Perimeter-Security-Funktionen werden mit modernen SD-WAN-Fähigkeiten kombiniert. Gartner legt mit SASE quasi SD-WAN und umfangreiche Gateway-Angebote zusammen.

In der Tat sehe ich am Markt immer wieder SD-WAN Projekte, welche mit einem Rollout eines Cloud-basierten Proxy und/oder ZTNA-Lösung kombiniert werden. Wer mittels SD-WAN lokale Breakouts schafft, muss sich auch um die Sicherheit der neu entstehenden Perimeter kümmern. Dies geschieht aber noch immer mit zwei unterschiedlichen Herstellern. Die führenden SD-WAN-Anbieter verfügen über genau so wenig Know-how und Erfahrung in den klassischen Security-Disziplinen wie die Gateway-Spezialisten sich im Bereich der Netzwerk-Optimierung auskennen. Am besten fährt heute, wer auf Best-of-Breed setzt und die beiden für ihn besten Lösungen kombiniert. Zscaler, zum Beispiel, arbeitet mit allen führenden SD-WAN-Anbietern zusammen und lässt sich damit einfach per SD-WAN-Projekt mit ausrollen.

Ob SD-WAN und Security-Stack tatsächlich erfolgreich zusammenwachsen ist fraglich. In Unternehmen werden dafür auch unterschiedliche Silos angesprochen. Aufeinander abgestimmt, lassen sich Lösungen mit zwei Herstellern bauen, die das Beste aus zwei Welten geschickt kombinieren.


Fazit – eine Blogreihe kommt zum Ende

Präventive Sicherheit ist meistens statisch und in ihrem Wirkungskreis beschränkt. Wer heute seinen IT-Security-Level auf eine neue Ebene bringen möchte, kommt um das Thema Detection & Response nicht herum. Es gibt bereits sehr gute Lösungen, die entweder im Netzwerk ansetzen oder direkt auf dem Endpoint. Detection & Response ist ein wichtiger Bestandteil des CARTA-Modells.

Zero Trust Network Access ist das Thema der Stunde. Applikationen werden nach aussen hin unsichtbar und sind damit optimal geschützt, Benutzer profitieren von einer verbesserten Usability, Sicherheitsverantwortliche freuen sich zudem über den limitierten Zugriff auf ausschliesslich berechtigte Applikationen. ZTNA hat das Zeugs dazu, Client-VPN das Grab zu schaufeln und die Cloud Transformation hinsichtlich Applikationsbereitstellung zu beschleunigen.

SASE macht das Internet zum sicheren Unternehmensnetzwerk. SASE ist bereits Realität – zumindest für den Security-Stack oder in Kombination einer Cloud-Security-Plattform und einer SD-WAN-Lösung zweier unterschiedlicher Hersteller. Wer auf die vollständige Palette einer SD-WAN-Lösung verzichten kann, wird sich allenfalls auch mit erweiterten Funktionen einer Cloud-Security-Plattform begnügen können. Bandbreiten-Management garantiert beispielsweise den performanten Zugriff auf produktive Applikationen wie Salesforce und Office 365.
Wer heute beides braucht, setzt am besten auf eine Best-of-Breed-Kombination aus Cloud-Security-Plattform und SD-WAN-Anbieter. Bei ersterem sind die globale Präsenz der Cloud-Zugangsknoten, die Skalierbarkeit der Architektur, das Traffic-Peering mit den relevanten SaaS- und Cloud-Diensten und die verschiedenen angebotenen Funktionalitäten entscheidend bei einer Evaluation. Auch nicht zu vernachlässigen ist die DNA des Anbieters – hier unterscheiden sich klassische Software-Firmen und Cloud-first-Anbieter stark.

Gartner hin oder her, der Weg ist bereits das Ziel. An CARTA, ZTNA und SASE werden Unternehmen nicht vorbeikommen. Gerade Unternehmen mit weltweiten Niederlassungen, mobilen Mitarbeitenden und einer Cloud-Strategie tun gut daran, sich bereits gestern mit diesen Ansätzen auseinanderzusetzen und erste Schritte in diese Richtung zu unternehmen.


Links