Secure Access Service Edge (SASE)

Zunehmend steht nicht mehr das Data Center im Mittelpunkt der nächsten Architekturplanung, sondern in vielen neuen Konzepten ersetzt das Internet eigene WAN-Leitungen und Applikationen und Daten sind in der Cloud zu finden.
So werden zukünftig mehr User, Geräte und Daten miteinander kommunizieren die sich nicht mehr innerhalb der Firmenzentrale befinden sondern außerhalb der Zentrale. Als typische Treiber sind hier die steigenden Zahlen von HomeOffice-Usern, die rasant steigende Zahl von OT-/IOT-Devices und die Migration zu modernen Cloud Apps zu nennen. Aus dieser Verlagerung ergeben sich neue Anforderungen an die IT-Landschaft wie z. B. Verschlüsselung der Daten, latenzfreie Zugriffswege oder eine sichere Überprüfung der Identität und die Freigabe der Datenzugriffe erst nach Überprüfung des Security-Status. Diese Anforderungen können nicht mehr wie gewohnt am Perimeter umgesetzt werden und es wäre als Ziel daher sinnvoll, die neuen Netzwerk- als auch Security-Dienste in einem Dienst zusammen zu fassen.
Eine wichtige Designvorgabe ist, diesen neuen Universal-Service so nah wie möglich am Benutzer anzubieten. Nicht der User hat dem Dienst zu folgen, sondern der Dienst muß dem Benutzer folgen. Daher wird ein weltweiter Service aufgesetzt, der viele Einwahlknoten besitzt und so auf Wunsch dort alle Anfragen annimmt, bearbeitet und weiterleitet. Wichtig dabei ist, dass die Daten nicht erst zu einer zentralen Stelle geleitet und dort bearbeitet werden, sondern dies direkt am Einwahlknoten erfolgt (SASE EDGE Knoten).
Der neue Service ist in den meisten Fällen eine reine Software-Lösung die bei einem Cloud-Provider läuft. Diese benötigt daher weder zentral, noch am Edge, noch beim Kunden in der Niederlassung eine HW-Appliance zur Service-Erbringung. Daraus ergeben sich Vorteile wie eine hohe Agilität im Bereich Durchsatz & Security-Performance und schnelle Bereitstellung von neuen Security Funktionen wie Maschine Learning.
Zur Zeit befindet sich der SASE-Markt im Aufbau, aber es gibt schon einige Lösungsanbieter, die heute schon Vorteile gegenüber einem „Best-of-Bread“-Ansatz vorweisen können. Wir empfehlen daher, sich nicht auf einen SASE Anbieter vertraglich festzulegen, sondern flexibel zu bleiben, um auf mögliche Marktveränderungen reagieren zu können.
Die Kern-Komponenten einer SASE-Lösung sind:
- SWG- Secure Web Gateway – Absicherung von Internetzugriffen über einen Proxy mit den bewährten Funktionen Session-Kontrolle, Malware-Erkennung, Url-Blocking.
- CASB-Cloud Access Security Broker – Kontrolle von Zugriffen auf SaaS-Cloud Services wie Office365, Salesforce, Dropbox & Co. und die granulare Einschätzung von Risiken.
- ZTNA-Zero Trust Network Access – der Nachfolger der Standard VPN-Remote Access Lösung, wobei hier die Zugriffsteuerung auf Applikations-Ebene und nicht auf Basis von IP-Adressen erfolgt.
- SD-WAN- Software-defined WAN – ermöglicht eine zentrale Verwaltung und Überwachung von lokalen Übergangs-Devices an der Niederlassungs-Grenze (Edge) ins Internet und ermöglicht Local-Breakout-Konzepte, Ablösung von teueren MPLS-Leitungen und eine verbesserte Performance dank Traffic Routing und Protokoll-Optimierung.
Diese SASE-Services können optional noch erweitert werden um:
- WAF-Web Application Firewall – Absicherung von Webservices-Zugriffen durch SASE
- API-Protection-Schutz vor Zugriffen auf z. B. REST-API
- Remote Browser Isolation – Sensible Arbeitsplätze bzw. exponierte User können besser vor Malware in Web-Inhalten geschützt werden und so eine Infiltration und Verbreitung von Schadcode wie Ransomware verhindert werden.
- DNS-Security – granulare Untersuchung von DNS-Traffic nach Anomalien bzw. Datendiebstahl.
- Sandbox- ermöglicht eine erweitere Untersuchung von Objekten nach Schadcode, indem sie auf einer kontrollierten Umgebung ausgeführt wird.
Controlware hat bereits einige SASE Projekte zusammen mit unseren Kunden durchgeführt und kann sie sowohl in der frühen Planungsphase, Konzeption, Evaluierung, Implementierung als auch im Betrieb oder durch einen Full-Managed-Service unterstützen.
Einen reibungslosen Einstieg garantiert in vielen Fällen unser SASE Strategie Workshop, um damit alle wichtigen Randbedingungen und Vorgaben aufzudecken, aber auch frühzeitig alle betroffenen Abteilungen an einen Tisch zu holen.
Sollten sie sich als IT-Leiter, CISO, Security- oder WAN-Spezialist vorgenommen haben, ihre WAN-Struktur auf Kosteneinsparung zu überprüfen, ihre Security-Module wie Proxy und Firewall zu erneuern oder die Anbindung von Cloud-Applikationen und Home-Office Usern performanter und ausfallsicher zu gestalten? Dann ist das genau der richtige Zeitpunkt, mit uns über SASE-Ansätze zu sprechen, damit sie mittelfristig auch ihre Netzwerk- und Security-Dienste komfortabler und günstiger von einem einzigen Anbieter beziehen können und so frühzeitig für ihr Unternehmen die Plattform erschaffen, auf die alle kommenden Digitalisierungs-Initiativen aufsetzen können. Auf Wunsch können wir Ihnen auch eine komplette SASE Lösung als Managed Service inkl. aller Services und WAN-Anbindungen anbieten, sofern sie nicht die notwendigen Ressourcen für den Betrieb haben bzw. diese in andere Aufgaben überführen möchten.
