Was ist Secure Access Service Edge (SASE)?

Secure Access Service Edge – besser bekannt als SASE – ist ein neues Architekturmodell für Enterprise Networking und Netzwerksicherheit, das von Gartner als Methode zur Unterstützung des schnellen und sicheren Anwendungszugriffs für die Anforderungen moderner Mitarbeiter definiert wird. SASE-Architekturen verbinden Networking und cloudbasierte Sicherheit in einer leistungsstarken Single-Pass-Architektur mit einheitlichem Management.

Weitere Themen rund um SASE

Warum ist SASE erforderlich?

Drei Markttrends sorgen dafür, dass SASE im Bereich Networking und Sicherheit immer wichtiger wird:

  • Migration von Anwendungen zu SaaS: In herkömmlichen Architekturen sorgt der Backhaul von SaaS-Traffic zum Rechenzentrum für verstärkte Latenz und höhere Netzwerkkosten. Da Cloud-Services immer wichtiger werden, müssen Sicherheitsfunktionen statt im Rechenzentrum näher am Nutzer sein, und zwar zwischen ihnen und der Cloud.
  • Mobilere Mitarbeiter: Mitarbeiter erwarten unabhängig von ihrem Standort gleichbleibende Benutzerfreundlichkeit und Sicherheit. Herkömmliche VPNs bieten jedoch keine granularen Sicherheitskontrollen und verschlechtern so diese Eigenschaften.
  • Schnelle Weiterentwicklung von Bedrohungen: Sicherheitsteams müssen kontinuierlich Upgrades und Updates der Infrastruktur durchführen, um mit neuen Bedrohungen Schritt zu halten. Und trotz dieser komplexen und zeitaufwendigen Arbeit sind Unternehmen meist trotzdem noch Zero-Day-Angriffen ausgesetzt.

Moderne Unternehmen müssen all ihren Mitarbeiter unabhängig vom Standort und Gerät Schnelligkeit, Einheitlichkeit und Sicherheit bieten. Die IT-Teams von Unternehmen müssen agiler werden und die betriebliche Effizienz erhöhen. Ihr Fokus muss hierbei auf neuen digitalen Services liegen anstatt auf dem Management komplexer Netzwerk- und Sicherheitsstacks.

Welche Rolle spielt SASE bei der Reaktion auf diese Trends? Es ist ein Framework, mit dem Networking und Sicherheit sowohl weiterentwickelt als auch verbunden werden. Es bietet folgende Vorteile:

  • Eine agile, einheitliche und zentrale Oberfläche für die Administration – einschließlich Bereitstellung, granularer Richtlinienkontrolle und Visibilität – in den Bereichen Networking und Sicherheit.  
  • Zuverlässig schneller und sicherer Anwendungszugriff über umfassende WAN-Funktionen, trotz Unvorhersehbarkeit lokaler Internetschnittstellen.
  • Einheitliche Durchsetzung von Sicherheitsrichtlinien über eine globale Sicherheitscloud (Secure Cloud) für alle Nutzer an jedem Standort.

Wie ist eine SASE-Architektur aufgebaut?

SASE verbindet umfassende WAN- und Netzwerksicherheitsfunktionen in einer Single-Pass-Architektur, die über eine zentrale Managementebene für Networking und Cybersicherheit verwaltet wird. Gartner, das den Begriff SASE geprägt hat, unterteilt die Funktionen von SASE-Architekturen in Hauptfunktionen und empfohlene Funktionen1:

  • Hauptfunktionen
    • SD-WAN: Ein SD-WAN ermöglicht verlässliche Verbindungen mit geringer Latenz für alle Typen des Netzwerktransports, bei niedriger Komplexität im Vergleich zu herkömmlichen routerbasierten Lösungen. SD-WANs eignen sich insbesondere für cloudnative und Echtzeit-Anwendungen. Dabei kommen Funktionen wie Pfadauswahl auf Grundlage von Pfadqualitätsbeurteilungen, WAN-Optimierung und Peering mit SaaS-Anwendungen zum Einsatz. Außerdem bieten SD-WANs Maßnahmen zur Netzwerksicherheit wie zum Beispiel IDS-/IPS-Systeme (Intrusion Detection/Prevention) und eine vereinfachte Einrichtung von VPN-Tunneln zwischen Zweigstellen und SaaS-Anwendungen.
    • Secure Web Gateway: Ein Secure Web Gateway (SWG) ist eine Enterprise-Lösung für die Cybersicherheit, die normalerweise inline als Cloud-Service implementiert wird, der zwischen den Nutzern und dem Internet liegt. Der User-Traffic wird an den SWG weitergeleitet, um ihn zu überprüfen und gegebenenfalls Maßnahmen einzuleiten. Dabei kommen integrierte Netzwerksicherheitsfunktionen zum Einsatz, wie zum Beispiel URL-Filterung, Anwendungskontrolle und Anti-Malware-Schutzmechanismen.
    • Cloud Access Security Broker: Mit einem Cloud Access Security Broker (CASB) können Unternehmen die Zugriffskontrolle für alle von der IT zugelassenen und nicht zugelassenen SaaS-Anwendungen managen. CASB-Sicherheitslösungen basieren im Wesentlichen auf vier Grundlagen:
      • verbesserte Visibilität, auch in Schatten-IT-Anwendungen.
      • Datensicherheit, um vertrauliche Ressourcen vor unautorisierten Zugriffen zu schützen.
      • Bedrohungsschutz über Funktionen wie Verhaltensanalysen.
      • vereinfachte Compliance-Überprüfung.
    • Zero-Trust-Netzwerkzugriff: Beim Zero-Trust-Netzwerkzugriff (ZTNA) gilt das Principle of Least Privilege für autorisierte Nutzer, die auf genehmigte Anwendungen zugreifen. Diese Lösung erkennt zudem die Identität und den Kontext und prüft Zugriffsversuche auf Grundlage von Identitätsinformationen von Cloud-Services wie Microsoft Azure Active Directory und von Parametern wie Uhrzeit und Standort. Statt auf das zugrunde liegende Netzwerk kann der alleinige Zugriff auf Anwendungen gewährt werden. So werden Seitwärtsbewegungen von Bedrohungen verhindert. Insgesamt sorgt ZTNA für höheren Benutzerkomfort, striktere Sicherheitskontrollen und geringere Komplexität im Vergleich zu herkömmlichen VPN-Lösungen.
    • FWaaS: Firewalls as a Service (FWaaS) integriert Eingangs- und Ausgangssicherheitskontrollen in Enterprise-Netzwerken, um sicherzustellen, dass nur vertrauenswürdiger Datenverkehr weitergeleitet wird. Genauer gesagt integrieren FWaaS-Lösungen anomaliebasierte (signaturlose) Bedrohungserkennungs-, Network-Sandboxing-, Geolokalisierungs- und Anti-Malware-Software mit IDS/IPS-Lösungen. FWaaS wird oft mit Analyselösungen kombiniert, um umfassenden Schutz für Rechenzentren, Cloud-Instanzen und Zweigstellen sicherzustellen.
    • Schutz vor Datenverlust: Funktionen für den Schutz vor (oder die Vermeidung von) Datenverlust werden in eine Single-Pass-Architektur der SASE-Plattform integriert. Eine Engine für den Schutz für den Datenverlust bietet dabei Einblicke in Daten während der Nutzung, im gespeicherten Zustand und bei der Übertragung. Sie kann risikoreiche Daten oder Aktivitäten isolieren, Verschlüsselung erzwingen und Warnmeldungen zur Netzwerksicherheit versenden, um das Risiko für Datenschutzverletzungen zu mindern.
    • Maßstabgerechte Ver- und Entschlüsselung in Leitungsgeschwindigkeit: Bei der Single-Pass-Architektur von SASE kann verschlüsselter Datenverkehr einmalig geöffnet und überprüft werden. Dies reduziert die Latenz im Vergleich zu herkömmlichen Sicherheitsstacks mit auf mehreren Services basierenden Prüf-Engines.
  • Empfohlen:
    • Schutz von Web-Anwendungen und APIs: Web-Anwendungen werden immer beliebter. Daher hat der Schutz vor schädlichem Datenverkehr und schädlichen Anfragen oberste Priorität. Für den Schutz von Web-Anwendungen und APIs eignet sich die Integration von Sicherheitslösungen wie erweiterter Volumenbegrenzung, Laufzeitanwendungsselbstschutz und DDoS-Abwehr.
    • Remote-Browser-Isolierung: Mit der Remote-Browser-Isolierung können Unternehmen ihre Netzwerke von browserbasierten Angriffen schützen. Daten von Websites (einschließlich womöglich kompromittierter Websites) werden dabei nicht an die Endanwendergeräte übermittelt. Dies senkt das Risiko für Datenlecks und Infizierungen.
    • Netzwerk-Sandbox: Eine Netzwerk-Sandbox sendet verdächtige Inhalte an eine isolierte Umgebung, in der diese ausgeführt werden können, ohne andere Anwendungen zu beeinflussen. FWaaS-Lösungen innerhalb der SASE-Plattform können die Inhalte dann prüfen und gegebenenfalls schädliche Dateien und Ressourcen blockieren.
    • Support für gemanagte und ungemanagte Geräte: Mit einer SASE-Plattform lassen sich Unternehmens- und Mitarbeitergeräte besser schützen. Dabei kommen mehrere Sicherheitslösungen zum Einsatz, die vor Bedrohungen wie Datenverlust, unautorisiertem Zugriff und Malware schützen.

Die oben genannten Funktionen werden über ein einheitliches „Thin Branch, Heavy Cloud“-Modell bereitgestellt – die SD-WAN-Funktionalität wird hierbei als Zweigstellen-Appliance bereitgestellt und die Sicherheitsfunktionalität als Cloud-Service.

Vorteile der Implementierung einer SASE-Architektur

SASE-Architekturen wurden mit dem Ziel entwickelt, mobilen und Remote-Mitarbeitern einen schnellen, zuverlässigen und sicheren Zugriff auf Cloud-Anwendungen zu bieten, während gleichzeitig die IT-Agilität verbessert wird. Wenn Unternehmen darauf achten, dass bestimmte Funktionen verfügbar sind, z. B. das zentrale Management aller Netzwerk- und Sicherheitsfunktionen, die Single-Pass-Architektur und die leistungsstarken SD-WAN Funktionen, können sie mit einer SASE-Lösung von den folgenden Vorteilen profitieren:

Verbesserte Performance, Zusammenarbeit und Produktivität – Der direkte Internetzugang beseitigt Latenz, da Traffic nicht mehr durch das Rechenzentrum geleitet werden muss. Jedoch müssen SASE-Lösungen Optimierungen für SD-WAN und WAN anbieten, damit auch bei wechselhaften Internetverbindungen eine konstante Performance sichergestellt ist. Eine Single-Pass-Architektur stellt sicher, dass Traffic-Inspektionen und das Anwenden von Richtlinien keine zusätzliche Latenz erzeugen.

Verbesserte Sicherheit, unabhängig vom Standort des Mitarbeiters – Für genehmigte Anwendungen ist ein Zero-Trust-Zugriff mit Identitätserkennung aktiviert. Dies verringert die Angriffsfläche und beugt einer Verbreitung von Malware innerhalb des Unternehmensnetzwerks vor. Für ungenehmigte sowie Web-Anwendungen gibt es umfangreiche, über die Cloud bereitgestellte Sicherheitsfunktionen, die für ein einheitliches, hohes Sicherheitsniveau sorgen, egal wo sich der Mitarbeiter befindet.

Vereinfachter Betrieb mit gesteigerter IT-Agilität – SASE-Architekturen konsolidieren Netzwerk- und Sicherheitslösungen verschiedener Anbieter. Lösungen von einem einzigen Anbieter bieten bessere Integrationsmöglichkeiten sowie ein zentrales Management. Dies vereinfacht die Implementierung, Konfiguration, Berichterstellung und Support-Services. Da SASE-Architekturen eine Migration der Sicherheitsfunktionen in die Cloud erfordern, ist insgesamt weniger Hardware erforderlich, was wiederum die Elastizität und Skalierbarkeit der Architektur verbessert.

 

Weitere wichtige Eigenschaften eines SASE-Frameworks

Obwohl viele Anbieter die einzelnen Komponenten ihrer SASE-Architektur bewerben, müssen alle Funktion gemeinsam bereitgestellt werden: Das Ganze mehr ist als die Summe seiner Teile.

Nur mit einem vollständigen „SASE-Stack“ können Unternehmen einen schnellen, konsistenten und sicheren Zugriff auf alle Anwendungen von überall und von jedem Gerät aus ermöglichen und gleichzeitig die IT-Agilität verbessern. Die leistungsstärksten SASE-Architekturen verfügen über folgende Eigenschaften, die sie von Mitbewerbern unterscheiden:

  • Umfassende Integrationen für alle Networking- und Sicherheitsbereiche des Unternehmens: SASE-Plattformen verbinden Cloud-Sicherheit mit umfassenden WAN-Funktionen, wobei beide Elemente aufeinander aufbauen. Durch die Cloud-Sicherheitsfunktionen können lokale Internetschnittstellen genutzt werden (ohne Latenz wie bei Backhaul-Architekturen). Diese Funktionen haben aber keinen Einfluss auf die Unversehrbarkeit von Internetverbindungen. SD-WAN und WAN-Optimierung hingegen sorgen dafür, dass Veränderungen der Netzwerkperformance keinen Einfluss auf die Employee Experience nehmen.  
  • Management über eine zentrale Oberfläche: Mit SASE erhalten Teams einheitliche Einblicke in Infrastrukturbereitstellungen (z. B. für Cybersicherheit), Netzwerkrichtlinienkonfigurationen und umfassende Berichte. All dies sorgt für eine ganzheitlichere und agilere Kontrolle über die gesamte Unternehmensarchitektur.
  • Single-Pass-Architektur: Bei der Service-Verkettung von Funktionen muss der Datenverkehr oft mehrere Prüf- und Richtlinien-Engines passieren. Dies sorgt für erhöhte Latenz und mindert alle Performanceverbesserungen, die man von einer SASE-Architektur erwartet. Durchdacht angelegte SASE-Architekturen nutzen stattdessen einen Single-Pass-Ansatz, bei dem der Datenverkehr nur einmal parallel von allen Richtlinien-Engines geöffnet und geprüft wird. 
  • Datenschutz/Datentrennung innerhalb der SASE-Architektur: Datenschutzrichtlinien und Vorschriften wie die DSGVO erfordern oft Datentrennung, selektive Entschlüsselung sowie Sichtbarkeit und Kontrolle darüber, wie und wohin Daten fließen. Bei cloudbasierter Sicherheit kann es schwierig sein, diese Anforderungen zu erfüllen. Daher müssen die Compliance-Maßnahmen jeder SASE-Lösung genau geprüft werden.  
  • Einheitliches Anbietermanagement: Eines der wichtigsten Ziele von SASE ist die Verbesserung der IT-Agilität. Durch die Konsolidierung von Anbietern können Sie die Anzahl der Gespräche verringern, die notwendig sind, um eine umfassende, einheitliche Architektur für ihre Networking- und Sicherheitslösungen zu planen, bereitzustellen und zu warten. Diese Konsolidierung beschleunigt nicht nur den Betrieb, sondern unterstützt auch funktionsübergreifende Gespräche in der IT, um bessere, strategischere Entscheidungen zu treffen. Darüber hinaus bietet aus rein technologischer Sicht eine Einzelanbieter-Architektur umfassendere Integrationen über alle Funktionen hinweg, als dies durch Technologie-Partnerschaften zwischen Unternehmen möglich ist.

Anwendungsfälle für SASE

Unternehmen müssen ihre Networking- und Sicherheitsinfrastruktur als Reaktion auf sich ändernde Nutzungsmuster – d. h. welche Anwendungen von wo aus aufgerufen werden – weiterentwickeln, um sowohl den Erwartungen der Mitarbeiter als auch den geschäftlichen Anforderungen gerecht zu werden. Diese Entwicklung kann dann breitere strategische Initiativen unterstützen, wie z. B. den Einsatz einer Belegschaft, die von überall aus arbeiten kann, und die Verbesserung der Business Continuity durch eine agile, elastische und effiziente Bereitstellung der Infrastruktur.

Die nachgelagerten IT-Anwendungsfälle lassen sich grob in drei Kategorien unterteilen:

  • Transformation Ihrer Networking- und Sicherheitsarchitekturen: Herkömmliche Appliance-basierte Hub-and-Spoke-Architekturen erhöhen die Latenz, steigern die WAN-Kosten und sind komplex zu managen. Werden sie durch eine SASE-Architektur ersetzt, ermöglicht dies sichere lokale Internetschnittstellen und schnellen, einheitlichen und sicheren Zugriff auf Anwendungen, unabhängig vom Standort. Die Kombination cloudbasierter Sicherheit mit SD-WAN in einer SASE-Architektur ermöglicht bessere Anwendungsperformance, agileres Management und lückenlose Einblicke.
  • Schutz Ihrer SD-WAN-Bereitstellung: SD-WAN-Lösungen sind unerlässlich, um die Anwendungsperformance zu verbessern. Die gemeinsame Nutzung eines SD-WANs und eines rechenzentrumbasierten Sicherheitsstacks sorgt jedoch für vermeidbare Latenz und mindert die Vorteile des SD-WANs. Appliance-basierte Sicherheit in Zweigstellen erfordert zudem häufige Upgrades, da die Menge des verschlüsselten Datenverkehrs zunimmt. Die Folge: höhere Kosten und betriebliche Komplexität. Cloudbasierte Sicherheit ist eine sinnvolle Alternative, muss allerdings als einheitliche Single-Pass-SASE-Architektur in Kombination mit der SD-WAN-Lösung bereitgestellt werden. Auf diese Weise können die Vorteile des SD-WANs (schnellere Anwendungsperformance, betriebliche Agilität, verringerte Betriebsausgaben) voll ausgenutzt werden.
  • Bereitstellung eines sicheren und produktiven digitalen Arbeitsplatzes: Lösungen für den digitalen Arbeitsplatz ermöglichen eine einheitliche und produktive Employee Experience über alle Arbeitsanwendungen und Desktops hinweg – unabhängig davon, welches Gerät genutzt wird. Mit einer SASE-Architektur kann die Anwendungsperformance dabei mit intelligenter Traffic-Priorisierung und WAN-Optimierung noch weiter verbessert werden. Zudem wird die Sicherheit mit identitätsbewusstem Zero-Trust-Zugriff und leistungsstarkem Malwareschutz für den gesamten Traffic verstärkt.

Wie unterstützt Citrix Unternehmen mithilfe von SASE?

Citrix vereint alle SASE-Funktionen in einer einheitlichen zentralen Architektur. Der einheitliche SASE-Ansatz von Citrix hat 5 Hauptvorteile:

  1. Umfassendster cloudbasierter Sicherheitsstack, der alle Nutzer maßstabsgerecht und standortunabhängig vor Bedrohungen aller Art schützt (Secure Access Cloud).  
  2. Identitätsbewusster Zero-Trust-Zugriff für kontinuierlichen und dynamischen Zugriff auf genehmigte Anwendungen, bei Minimierung der Angriffsfläche des Unternehmens.
  3. Verlässliche Anwendungsperformance mit leistungsstarkem SD-WAN und Anwendungsoptimierungsfunktion. 
  4. Deep-Forensics- und KI-basierte Analysen zur Ermittlung spezifischer Sicherheitsvorfälle, ungewöhnlicher Aktivitäten und Richtlinienverstöße zur Vorfallsanalyse und Einhaltung von Richtlinien. 
  5. Einheitliches Management von vollständig integrierten Networking- und Sicherheitsfunktionen bei einfachem und agilem Betrieb.

Mehr als 100 Millionen Nutzer in 400.000 Unternehmen setzen bei der Arbeit auf Citrix. Wir helfen auch Ihnen gern beim Aufbau einer produktiveren, agileren und effizienteren Architektur.  

Zusätzliche Ressourcen:

1Gartner, The Future of Network Security is in the Cloud, Neil MacDonald, Lawrence Orans und Joe Skorupa, 30. August 2019
Gartner spricht keine Empfehlungen für die in Forschungsveröffentlichungen dargestellten Anbieter, Produkte oder Services aus und empfiehlt es Technologieanwendern nicht, sich nur für Anbieter mit den höchsten Bewertungen oder anderen Kennzeichnungen zu entscheiden. Die Forschungsveröffentlichungen von Gartner spiegeln die Meinung der Gartner-Forschungsorganisation wider und sind nicht als Tatsachenbehauptungen anzusehen. Gartner lehnt alle ausdrücklichen oder stillschweigenden Garantien in Bezug auf diese Forschungsergebnisse ab, einschließlich irgendwelcher Garantien für Marktfähigkeit oder Eignung für einen bestimmten Zweck.