Diese 10 Herausforderungen meistern Sie mit SASE

/ Kategorie: Cloud Security
Erstellt von Daniel Seitz

Jetzt kommt SASE (Secure Access Service Edge). Aber in welchen Bereichen konkret hilft das vieldiskutierte Konzept tatsächlich? Wir haben für Sie zusammengestellt, welche Herausforderungen Sie mit SASE bewältigen können.

Laut einer Studie der Enterprise Strategy Group[1]geben 32 % der Unternehmen an, dass die meisten ihrer Apps mittlerweile auf Software as a Service (SaaS) basieren. Es wird erwartet, dass diese Zahl innerhalb von wenigen Jahren auf 60 % ansteigen wird. In der Vergangenheit haben die meisten Unternehmen den Datenverkehr über MPLS-Verbindungen von entfernten Niederlassungen zurück ins Rechenzentrum geleitet, um dort Sicherheitsrichtlinien anzuwenden, bevor der Datenverkehr in das öffentliche Internet gesendet wurde. Um in der Cloud-Ära erfolgreich zu sein, muss ein neuer Ansatz gefunden werden, um Benutzer, Apps, Geräte und Daten zu kontrollieren und zu sichern - überall auf der Welt und unabhängig davon, welche Apps sie nutzen. Dieser neue Ansatz heisst SASE. Aber: Welche konkreten Herausforderungen kann SASE lösen? Ein Überblick zur Orientierung:

Herausforderungen, die Sie mit SASE meistern können

  1. Home-Office und Mobile Working
    Der Trend in Richtung Remote Work war schon vor der Pandemie stark und wurde durch diese massiv beschleunigt. Für IT-Security-Experten bringt die Entwicklung aber eine Reihe von komplexen Herausforderungen mit sich. Denn sie müssen ihre Remote-Büros weiterhin vor Malware-Infektionen, Phishing-Angriffen, inakzeptabler Verwendung und vielem mehr schützen. Die Erfahrung zeigt, dass Mitarbeitende im Home-Office häufiger Spam-Mails aufmachen, Schatten-IT nutzen oder gefährliche Webseiten besuchen. Auch das Risiko, dass sie unterwegs ungeschützte, öffentliche WLANs nutzen, ist höher. Dazu kommt, dass sie den Support weniger oft kontaktieren. SASE entlastet die Sicherheitsteams durch den Einsatz einer Cloud-nativen Netzwerk- und Sicherheitsplattform. Damit können Netzwerk- und Sicherheitsdaten (zusammen mit Feeds von Drittanbietern) einfach aggregiert werden, um die Erkennung von Bedrohungen, Verwaltungsaufgaben und Abhilfemassnahmen zu automatisieren.
     
  2. Teure und unflexible Leitungen
    Die Effizienz, auch in Hinblick auf die Kosten, von MPLS- und VPN-Verbindungen reicht in der Welt der Cloud-Nutzung nicht mehr aus. Daher stellen immer mehr Unternehmen auf SD-WAN um. Dadurch ermöglichen sie einen schnelleren Zugriff auf Cloud-Anwendungen und Workloads, anstatt den gesamten Datenverkehr über das Unternehmensnetzwerk zu lotsen. SD-WAN senkt die Latenz, braucht weniger Bandbreite und erhöht gleichzeitig die Verfügbarkeit.

    Auch Unternehmens-Zweigstellen profitieren von SD-WAN. Veraltete „Hub and Spoke“-Anbindungen können entfernt werden. An deren Stelle tritt mit SASE eine Netzwerkarchitektur, die softwaredefiniertes SD-WAN und Sicherheit in einem Cloud-Service zusammenfasst, die eine vereinfachte WAN-Bereitstellung, verbesserte Effizienz und Sicherheit sowie die Bereitstellung einer angemessenen Bandbreite pro Anwendung verspricht. Da es sich bei SASE um einen Cloud-Dienst handelt, kann das Netzwerk bei Bedarf problemlos vergrössert und verkleinert werden.
     
  3. Ohne VPN sicher und schnell in die Cloud
    Viele Unternehmen setzen nach wie vor auf VPNs (Virtual Private Networks). Sie ermöglichen Home-Office-, Zweigstellen- und mobilen Nutzern den sicheren Zugriff auf das Internet, auf Unternehmensdaten und Businessanwendungen. Voraussetzung für den geschützten Zugriff ist die Verbindung zum VPN-Gateway. Verzichtet der User aber auf diese Verbindung, greift er ungesichert auf Cloud-gehostete Anwendungen und Services zu und setzt sein Unternehmen damit einem hohen Risiko aus. Mit einer SASE-Lösung lässt sich dieses Risiko vermeiden. Denn SASE sorgt für die sichere Übertragung des Datenverkehrs zwischen den Benutzern und der öffentlichen Cloud, SaaS-Anwendungen, dem Internet sowie zu Apps, die in privaten Clouds gehostet werden.
     
  4. Sichere, einheitliche und effiziente Nutzung von Apps, unabhängig von deren Bereitstellungsort
    Unternehmen haben heute Applikationen an unterschiedlichsten Orten laufen, im Enterprise Datacenter (Bare-Metal, virtualisiert, Private Cloud) oder in der Public Cloud (IaaS, PaaS). Traditionelle Security-Technologien diktieren den Benutzern die Art des Zugriffs (VPN mit oder ohne Client) und sind aufwändig in Setup und Betrieb. Public Cloud Workloads sind dadurch oft nicht genügend geschützt. Mit SASE kommen multifunktionale, Cloud-native Sicherheitslösungen zum Einsatz, die CASB-Funktionen (Cloud Access Security Broker) bereitstellen. Dadurch können ZTNA (Zero Trust Network Access) Technologien genutzt und VPN-Modelle ausrangiert werden. ZTNA bietet eine einheitliche, orts- und technologieunabhängige und für den Benutzer transparente Art des sicheren Applikationszugriffs.
     
  5. Komplexitätsreduktion bei der Security
    Mit der zunehmenden Komplexität von verteilten Netzwerken und Multi-Cloud-Umgebungen sind auch die Security-Lösungen in den Unternehmen komplexer geworden. Die vielfach angestrebte „Best of Breed“ Security besteht in der Regel aus einer Reihe eigenständiger Tools mit unterschiedlichen Betriebssystemen und Verwaltungskonsolen und eingeschränkten Integrationsmöglichkeiten. Dadurch können Lücken und Geschwindigkeitseinbussen bei der Sicherheit sowie Probleme mit der Compliance oder der Nutzerakzeptanz entstehen. Durch die Zusammenführung von Netzwerk und Sicherheit in einer Plattform kann die SASE-Architektur die Sicherheitslage verbessern und es ist einfacher, Wachstum und Durchsatz über eine Vielzahl von Sicherheits- und Compliance-Funktionen zu skalieren. SASE vereinheitlicht die Sicherheitsarchitektur und ermöglicht so, die Anzahl der genutzten Sicherheitsanbieter zu reduzieren.
     
  6. Netzwerkperformance
    Mit der zunehmenden Verbreitung der Cloud und der Tatsache, dass immer mehr Unternehmen geschäftskritische Daten in SaaS-Apps speichern, vervielfacht sich die Menge des Internetverkehrs schnell. Für die Nutzer ist hierbei vor allem die Netzwerk-Performance von Bedeutung. Eine schlechte Netzwerkperformance provoziert das Ausweichen auf riskante Schatten-IT-Anwendungen und führt damit zu einem höheren Risiko für das Unternehmen. Zudem kann sich der Bandbreitenbedarf eines Unternehmens im Laufe der Zeit drastisch ändern. Nicht zuletzt haben herkömmliche Netzwerk-Appliances Schwierigkeiten, mit den Anforderungen neuerer Arten von Inhalten und einem höheren Anteil an verschlüsseltem Datenverkehr Schritt zu halten. Dies führt zu Problemen mit der Anwendungsperformance und mit den Latenzzeiten - ein ernstes Problem für schnelllebige Branchen. Mit Netzwerktechnologie der alten Schule ist es schwierig, das Netzwerk auf elastische Weise zu skalieren. Und schnell skaliert werden muss nicht nur in Krisenzeiten, sondern zum Beispiel auch, wenn es zu Mergers oder Acquisitions oder zu Spin-Offs kommt.
     
  7. Sich ständig verändernde Bedrohungslage
    Hybrid- und Multi-Cloud-Umgebungen bringen zahlreiche Vorteile, aber auch Sicherheitsprobleme mit sich. In einer Zeit, in der das Risiko, Opfer eines Cyberangriffs zu werden, so hoch wie noch nie war, ist es für Unternehmen unabdinglich, maximale Sicherheit herzustellen. Durch das nahtlose Zusammenspiel von Netzwerk und Sicherheitswerkzeugen, wie Secure WebGateway, ZTNA und CASB, gewährleistet die SASE-Architektur einen sowohl transparenten, effektiven als auch sicheren Zugang zu den IT-Ressourcen von Unternehmen.
     
  8. Einheitlicher und konsistenter Datenschutz
    In der heutigen Cloud-entwickelten Welt muss der Datenschutz vereinheitlicht, konsistent und aus der Cloud bereitgestellt werden. Mit einer SASE-Lösung wird DLP (Data Loss Prevention) überall Teil einer Cloud-Lösung, die sich um die Daten selbst dreht. Klassische DLP-Lösungen kämpften oft mit heterogenen On-Premises-Umgebungen und waren häufig teuer, umständlich in der Anwendung und standen in einem Dauerkonflikt mit den Bedürfnissen des Geschäfts. Daher hatten DLP-Projekte einen schlechten Ruf. Cloud-native DLP nutzt auf geschickte Weise die neue Sprache des Internets (JSON, APIs) und erlaubt dank standardisierter Schnittstellen eine fein abgestimmte Integration in Business-Prozesse. Die Mehrheit aller Unternehmensdaten befindet sich heute in Clouds. Moderne DLP-Lösungen haben sich gewandelt und stellen einen Zusatz dar, der mühelos als Zusatzfunktion von NG-SWG bzw. CASB-Funktionen aufgeschaltet werden kann. Risk Scores für Service, Daten und Benutzer erlauben Risiko-basierte Policies. Zusammen mit Machine Learning erlaubt diese Lösung das Anwenden von «Graustufen» statt «schwarz-weissen» Allow/Block-Policies.
     
  9. Entlastung der IT-Teams
    Security-Experten sind Mangelware. Daher ist es für praktisch jedes Unternehmen von enormer Bedeutung, die Absicherung des Unternehmensnetzwerks so einfach wie möglich zu halten, um die internen IT-Teams zu entlasten. Denn komplexe Security-Lösungen erfordern Erfahrung und vielfältiges Know-how, das laufend aktuell gehalten werden muss. SASE führt zu einer deutlichen Verringerung des Drucks und gleichzeitig zu einer innovativen Netzwerk- und Sicherheitslösung auf einer einzigen, Cloud-basierten Plattform.
     
  10. Eine zentrale Policy-Übersicht bzw. Kontrolle für alles
    Heute wird von zu Hause, bei Kunden oder unterwegs gearbeitet, zu jeder Tages- und Nachtzeit und mit jeglicher Art von Gerät (Handy, Tablet, Notebook, private oder firmeneigene Systeme). Für IT-Teams stellt es eine grosse Herausforderung dar, die Kontrolle und Einhaltung der internen Regulationen als auch möglicher externer Compliance-Anforderungen und länderspezifischer Gesetze zu garantieren. Die Grundidee der SASE Architektur adressiert und realisiert dieses Problem direkt. Denn SASE bietet die Möglichkeit einer zentralen Überwachung als auch Lenkung bzw. Kontrolle von Richtlinien über sämtliche Arten der Zugriffe auf Firmendaten. Ob es sich nun um den Zugriff von zu Hause via Client VPN (ZTNA) bzw. von externen Beratern (ZTNA), um das Browsen im Internet (CASB, NG-SWG), die Verkehrskontrolle der Aussenstellen untereinander bzw. zum Hauptsitz (SD-WAN) oder um das Teilen von Informationen (CASB, DLP) handelt – alles wird zentral über ein Policy Framework kontrolliert, gesteuert und bei Verstössen wird alarmiert. Das Ziel von SASE ist nicht nur eine zentrale Policy-Übersicht und Kontrolle, sondern die Vereinheitlichung aller benötigten Policies zu einer einzigen allgemeingültigen Charta.

SASE ist die Konvergenz von Netzwerk und Sicherheit, die die betriebliche Komplexität reduziert und die Sicherheitslage auf globaler Ebene verbessert. Mit SASE können Unternehmen die Zeit für Produktentwicklung bis hin zur Marktreife verkürzen und auf Änderungen der Geschäftsbedingungen oder der Wettbewerbslandschaft rasch reagieren.

Zusammen. Sicher.

Die praktische Umsetzung eines SASE-Ansatzes bedeutet für ein Unternehmen oder eine Organisation einen grossen Aufwand. Alle Bereiche der IT sind von dem Sicherheitskonzept betroffen und müssen kontrolliert werden. Betrachten Sie SASE daher nicht als grosses Einmalprojekt. Packen Sie es schrittweise an und setzen Sie den Plattform-Gedanken sukzessive um. Unsere Experten begleiten Sie, passend zu Ihrem Use Case, gerne auf Ihrem Weg hin zu mehr Flexibilität und Sicherheit.. 

Kontaktieren Sie uns via marketing[at]ispin.ch oder +41 44 838 3111.

 

 


[1] Enterprise Strategy Group, The Rise of Direct Internet Access, 2018

Was ist SASE?

SASE, ausgesprochen "sässi", ist das Akronym für Secure Access Service Edge. Es handelt sich dabei um ein neues Sicherheitskonzept für Netzwerk-Infrastrukturen mit Niederlassungen, Home Offices, mobilen Mitarbeitern, Multicloud-Anwendungen und Edge-Systemen. SASE ist ein Cloud-Architekturmodell, das Netzwerk- und Security-as-a-Service-Funktionen in einer von der Cloud bereitgestellten Architektur bereitstellt, um Benutzer, Anwendungen und Daten überall zu schützen. Die Security-Funktionen wirken am Netzwerkrand (Edge). Sie lösen zentralisierte Sicherheitskonzepte beispielsweise über virtuelle private Netzwerke ab. Für Anwender, Anwendungen und Geräte bestehen identitäts- und kontextbasierte Zugangsmechanismen. SASE erfordert wenig bis gar keine lokale Hardware und nutzt die weitverbreitete Konnektivität der Cloud-Technologie, um SD-WAN mit Netzwerksicherheitsfunktionen zu kombinieren. Gartner nennt fünf wesentliche SASE-Elemente: SD-WAN, Firewall as a Service (FWaaS), Secure Web-Gateway, Cloud Security Broker (CASB) und Zero-Trust-Netzwerkzugang, auch bekannt als software-definierter Perimeter.

Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.

Reiner Höfinger

Marketing & Communications

Kontakt

ContactKontaktNewsletterGo to top