Was ist Secure Access Service Edge (SASE)?

Secure Access Service Edge, SASE (ausgesprochen „sässi“), ist ein Netzwerkarchitekturmodell für Unternehmenssicherheit, das entwickelt wurde, um die Anforderungen heutiger Mitarbeiter in Bezug auf schnellen Anwendungszugriff zu erfüllen. SASE-Architekturen verbinden Networking und cloudbasierte Sicherheit in einer leistungsstarken Single-Pass-Architektur mit einheitlichem Management.

Weitere Themen rund um SaaS:

Was ist SASE?

Wofür wird SASE eingesetzt?

Drei Markttrends sorgen dafür, dass SASE im Bereich Networking und Sicherheit immer wichtiger wird:

  1. Migration von Anwendungen zu SaaS: In herkömmlichen lokalen Netzwerkarchitekturen sorgt der Backhaul von SaaS-Traffic zum Rechenzentrum für verstärkte Latenz und höhere Netzwerkkosten. Mit zunehmender Verbreitung von Cloud-Umgebungen ermöglicht SASE Organisationen, Netzwerksicherheitsservices vom Rechenzentrum näher an Remote-Anwender zu bringen.
  2. Mobilere Mitarbeiter: Mitarbeiter erwarten unabhängig von ihrem Standort gleichbleibende Benutzerfreundlichkeit und Sicherheit. Herkömmliche VPNs bieten jedoch keine granularen Sicherheitskontrollen und verschlechtern so diese Eigenschaften.
  3. Schnelle Weiterentwicklung von Bedrohungen: Sicherheitsteams müssen kontinuierlich Upgrades und Updates der Infrastruktur durchführen, um mit neuen Bedrohungen Schritt zu halten. Trotz dieser komplexen und zeitaufwendigen Arbeit sind viele Unternehmen dennoch Zero-Day-Angriffen ausgesetzt.

Moderne Unternehmen müssen allen ihren Mitarbeitern unabhängig vom Standort und Gerät einen schnellen, einheitlichen und sicheren digitalen Arbeitsplatz bieten. Gleichzeitig müssen IT-Teams agiler werden, damit sie sich auf die Bereitstellung neuer digitaler Services konzentrieren können – statt den Großteil ihrer Zeit damit zu verbringen, komplexe Netzwerk- und Sicherheitsstacks zu verwalten. Das SASE-Framework sorgt für die Weiterentwicklung und die Verbindung von Networking und Sicherheit. Es bietet folgende Vorteile:

  • Eine agile, einheitliche und zentrale Oberfläche für die Administration, einschließlich Bereitstellung, granularer Richtlinienkontrolle und Visibilität.
  • Zuverlässig schneller und sicherer Anwendungszugriff über WAN-Funktionen, trotz Unvorhersehbarkeit lokaler Internetschnittstellen.
  • Einheitliche Durchsetzung von Sicherheits-Compliance-Richtlinien über einen globalen Sicherheitsservice in der Cloud für alle Nutzer an jedem Standort.

Was ist in SASE enthalten?

Das SASE-Modell vereint umfassende SD-WAN- und Netzwerksicherheitsfunktionen in einer Single-Pass-Architektur, die über eine zentrale Managementebene für Networking und Cybersicherheit verwaltet wird. Gartner, das den Begriff SASE geprägt hat, unterteilt die Funktionen von SASE-Architekturen in Hauptfunktionen und empfohlene Funktionen.1

Zu den Hauptfunktionen von SASE gehören:

SD-WAN

Ein SD-WAN ermöglicht verlässliche Verbindungen mit geringer Latenz für alle Typen des Netzwerktransports, bei niedriger Komplexität im Vergleich zu herkömmlichen routerbasierten Lösungen. SD-WANs eignen sich insbesondere für cloudnative und Echtzeit-Anwendungen. Dabei kommen Funktionen wie Pfadauswahl auf Grundlage von Pfadqualitätsbeurteilungen, WAN-Optimierung und Peering mit SaaS-Anwendungen zum Einsatz. Außerdem bieten SD-WANs Maßnahmen zur Netzwerksicherheit wie zum Beispiel IDS-/IPS-Systeme (Intrusion Detection/Prevention) und eine vereinfachte Einrichtung von VPN-Tunneln zwischen Zweigstellen und SaaS-Anwendungen.

Secure Web Gateway

Ein Secure Web Gateway (SWG) ist eine Enterprise-Lösung für die Cybersicherheit, die normalerweise inline als Cloud-Service implementiert wird, der zwischen den Nutzern und dem Internet liegt. Der User-Traffic wird an den SWG weitergeleitet, um ihn zu überprüfen und gegebenenfalls Maßnahmen einzuleiten. Dabei kommen integrierte Netzwerksicherheitsfunktionen zum Einsatz, zum Beispiel URL-Filterung, Anwendungskontrolle und Anti-Malware-Schutzmechanismen.

Cloud Access Security Broker

Mit einem Cloud Access Security Broker (CASB) können Unternehmen die Zugriffskontrolle für alle von der IT zugelassenen und nicht zugelassenen SaaS-Anwendungen verwalten. CASB-Sicherheitslösungen basieren im Wesentlichen auf vier Grundlagen:

  • Verbesserte Visibilität, auch in Schatten-IT-Anwendungen
  • Datensicherheit, um vertrauliche Daten vor unbefugten Zugriffen zu schützen
  • Bedrohungsschutz über Funktionen wie Verhaltensanalysen
  • Vereinfachte Compliance-Überprüfung

Zero-Trust-Netzwerkzugriff

Beim Zero-Trust-Netzwerkzugriff (ZTNA) gilt das Principle of Least Privilege für autorisierte Nutzer, die auf genehmigte Anwendungen zugreifen. Diese Lösung erkennt zudem die Identität und den Kontext und prüft Zugriffsversuche auf Grundlage von Identitätsinformationen aus Cloud-Services wie Microsoft Azure Active Directory und Parametern wie Uhrzeit und Standort. Statt auf das zugrunde liegende Netzwerk kann der alleinige Zugriff auf Anwendungen gewährt werden. So werden Seitwärtsbewegungen von Bedrohungen verhindert. Insgesamt sorgt ZTNA für höheren Benutzerkomfort, striktere Sicherheitskontrollen und geringere Komplexität im Vergleich zu herkömmlichen VPN-Lösungen.

Firewall as a Service

Firewalls as a Service (FWaaS) integriert Eingangs- und Ausgangssicherheitskontrollen in Enterprise-Netzwerken, um sicherzustellen, dass nur vertrauenswürdiger Datenverkehr weitergeleitet wird. Genauer gesagt integrieren FWaaS-Lösungen anomaliebasierte (signaturlose) Bedrohungserkennungs-, Network-Sandboxing-, Geolokalisierungs- und Anti-Malware-Software mit IDS/IPS-Lösungen. FWaaS wird oft mit Sicherheitsanalyselösungen kombiniert, um umfassenden Schutz für Rechenzentren, Cloud-Instanzen und Zweigstellen sicherzustellen.

Schutz vor Datenverlust

Der Schutz vor Datenverlust (auch als Bedrohungsprävention bezeichnet) ist in die Single-Pass-Architektur einer SASE-Plattform integriert. Eine Engine für den Schutz vor Datenverlust bietet dabei Einblicke in Daten während der Nutzung, im gespeicherten Zustand und bei der Übertragung. Sie kann risikoreiche Daten oder Aktivitäten isolieren, Verschlüsselung erzwingen und Warnmeldungen zur Netzwerksicherheit versenden, um das Risiko für Datenschutzverletzungen zu mindern.

Maßstabsgerechte Ver- und Entschlüsselung in Leitungsgeschwindigkeit

Bei der Single-Pass-Architektur von SASE kann verschlüsselter Datenverkehr einmalig geöffnet und überprüft werden. Dies reduziert die Latenz im Vergleich zu herkömmlichen Sicherheitsstacks mit auf mehreren Services basierenden Prüf-Engines.

Zu den empfohlenen Funktionen von SASE gehören:

Schutz von Web-Anwendungen und APIs

Web-Anwendungen werden immer beliebter. Daher hat der Schutz vor schädlichen Zugriffen und Anfragen oberste Priorität. Für den Schutz von Web-Anwendungen und APIs eignet sich die Integration von Sicherheitslösungen wie erweiterter Volumenbegrenzung, Laufzeitanwendungsselbstschutz und DDoS-Abwehr.

Remote-Browser-Isolierung

Mit der Remote-Browser-Isolierung können Unternehmen ihre Netzwerke von browserbasierten Angriffen schützen. Daten von Websites (einschließlich womöglich kompromittierter Websites) werden dabei nicht an die Endanwendergeräte übermittelt. Dies senkt das Risiko für Datenlecks und Infizierungen.

Netzwerk-Sandbox

Eine Netzwerk-Sandbox sendet verdächtige Inhalte an eine isolierte Umgebung, in der diese ausgeführt werden können, ohne andere Anwendungen zu beeinflussen. FWaaS-Lösungen innerhalb der SASE-Plattform können die Inhalte dann prüfen und gegebenenfalls schädliche Dateien und Ressourcen blockieren.

Support für verwaltete und nicht verwaltete Geräte

Mit einer SASE-Plattform lassen sich Unternehmens- und Mitarbeitergeräte besser schützen. Dabei kommen mehrere Sicherheitslösungen zum Einsatz, die vor Bedrohungen wie Datenverlust, unbefugtem Zugriff und Malware schützen.

SASE-Funktionen werden über ein einheitliches „Thin Branch, Heavy Cloud“-Servicemodell bereitgestellt: Die SD-WAN-Funktionalität wird als „Thin Branch“-Appliance angeboten und die Sicherheitsfunktionalität wird als „Heavy Cloud“-Service bereitgestellt.

1Critical Capabilities for WAN Edge Infrastructure, Gartner, Sept. 2020​

WHITEPAPER

Überblick über SASE-Architekturen (Secure Access Service Edge)

Entdecken Sie die Vorteile, die mit einheitlichem SASE erreicht werden können, von einem verbesserten Benutzerkomfort und mehr Sicherheit bis hin zu erhöhter IT-Agilität.

Was sind die wichtigsten Vorteile der SASE-Sicherheit?

SASE-Architekturen wurden entwickelt, um mobilen und Remote-Mitarbeitern einen schnellen, zuverlässigen und sicheren Zugriff auf Cloud-Anwendungen zu bieten und gleichzeitig die IT-Agilität zu verbessern. Wenn Unternehmen darauf achten, dass bestimmte Funktionen verfügbar sind, z. B. das zentrale Management aller Netzwerk- und Sicherheitsfunktionen, die Single-Pass-Architektur und die leistungsstarken SD-WAN-Funktionen, können sie mit einer SASE-Lösung von den folgenden Vorteilen profitieren:

Herausragender Benutzerkomfort. Der direkte Internetzugang beseitigt Latenz, da Traffic nicht mehr durch das Rechenzentrum geleitet werden muss. SASE-Lösungen müssen jedoch Optimierungen für SD-WAN und WAN bieten, damit auch bei wechselhaften Internetverbindungen eine konstante Performance sichergestellt ist. Eine Single-Pass-Architektur stellt sicher, dass Traffic-Inspektionen und das Anwenden von Richtlinien keine zusätzliche Latenz erzeugen.

Mehr Sicherheit. Für genehmigte Anwendungen ist ein Zero-Trust-Zugriff mit Identitätserkennung aktiviert. Dies verringert die Angriffsfläche und beugt einer Verbreitung von Malware innerhalb des Unternehmensnetzwerks vor. Für nicht genehmigte und Web-Anwendungen gibt es umfangreiche, über die Cloud bereitgestellte Sicherheitsfunktionen, die unabhängig vom Mitarbeiterstandort für ein einheitliches, hohes Sicherheitsniveau sorgen.

Höhere IT-Flexibilität. SASE-Architekturen konsolidieren Netzwerk- und Sicherheitslösungen verschiedener Anbieter. Lösungen von einem einzigen Anbieter bieten bessere Integrationsmöglichkeiten sowie ein zentrales Management. Dies vereinfacht Implementierung, Konfiguration, Berichterstellung und Support-Services. Da SASE-Architekturen eine Migration der Sicherheitsfunktionen in die Cloud erfordern, ist insgesamt weniger Hardware erforderlich, was wiederum die Elastizität und Skalierbarkeit der Architektur verbessert.

Was sind die wesentlichen Elemente eines starken SASE-Frameworks?

Obwohl viele Service Provider die einzelnen Komponenten ihrer SASE-Architektur bewerben, müssen alle Funktionen gemeinsam bereitgestellt werden: Das Ganze ist mehr als die Summe seiner Teile. Nur mit einem vollständigen „SASE-Stack“ können Unternehmen an jedem Standort und über jedes Gerät einen schnellen, konsistenten und sicheren Zugriff auf alle Anwendungen ermöglichen und gleichzeitig die IT-Agilität verbessern. Die leistungsstärksten SASE-Architekturen verfügen über folgende Eigenschaften, die sie von Mitbewerbern unterscheiden:

Tiefe Integrationen

SASE-Plattformen verbinden Cloud-Sicherheit mit umfassenden WAN-Funktionen, wobei beide Elemente aufeinander aufbauen. Durch die Cloud-Sicherheitsfunktionen können lokale Internetschnittstellen genutzt werden (ohne Latenz wie bei Backhaul-Architekturen). Diese Funktionen haben aber keinen Einfluss auf die Unversehrbarkeit von Internetverbindungen. SD-WAN und WAN-Optimierung hingegen sorgen dafür, dass Veränderungen der Netzwerkperformance keinen Einfluss auf die Employee Experience nehmen.

Management über eine zentrale Oberfläche

Mit SASE erhalten Teams einheitliche Einblicke in Infrastrukturbereitstellungen (z. B. für Cybersicherheit), Netzwerkrichtlinienkonfigurationen und umfassende Berichte. All dies sorgt für eine ganzheitlichere und agilere Kontrolle über die gesamte Unternehmensarchitektur.

Single-Pass-Architektur

Bei der Service-Verkettung von Funktionen muss der Datenverkehr oft mehrere Prüf- und Richtlinien-Engines passieren. Dies sorgt für erhöhte Latenz und mindert alle Performanceverbesserungen, die man von einer SASE-Architektur erwartet. Durchdacht angelegte SASE-Architekturen nutzen stattdessen einen Single-Pass-Ansatz, bei dem der Datenverkehr nur einmal parallel von allen Richtlinien-Engines geöffnet und geprüft wird.

Datenschutz

Datenschutzrichtlinien und Vorschriften wie die DSGVO erfordern oft Datentrennung, selektive Entschlüsselung sowie Sichtbarkeit und Kontrolle darüber, wie und wohin Daten fließen. Bei cloudbasierter Sicherheit kann es schwierig sein, diese Anforderungen zu erfüllen. Daher müssen die Compliance-Maßnahmen jeder SASE-Lösung genau geprüft werden.

Einheitliches Anbietermanagement

Eines der wichtigsten Ziele von SASE ist die Verbesserung der IT-Agilität. Durch die Konsolidierung von Anbietern können Sie die Anzahl der Gespräche verringern, die notwendig sind, um eine umfassende, einheitliche Architektur für ihre Networking- und Sicherheitslösungen zu planen, bereitzustellen und zu warten. Diese Konsolidierung beschleunigt nicht nur den Betrieb, sondern unterstützt auch funktionsübergreifende Gespräche in der IT, um bessere, strategischere Entscheidungen zu treffen. Darüber hinaus bietet aus rein technologischer Sicht eine Einzelanbieter-Architektur umfassendere Integrationen über alle Funktionen hinweg, als dies durch Technologie-Partnerschaften zwischen Unternehmen möglich ist.

Was sind häufige Anwendungsfälle für SASE?

Unternehmen müssen ihre Networking- und Sicherheitsinfrastruktur als Reaktion auf sich ändernde Nutzungsmuster (z. B. welche Anwendungen von wo aus aufgerufen werden) weiterentwickeln, um sowohl den Erwartungen der Mitarbeiter als auch den geschäftlichen Anforderungen gerecht zu werden. Diese Entwicklung kann dann breitere strategische Initiativen unterstützen, etwa den Einsatz einer Belegschaft, die von überall aus arbeiten kann, und die Verbesserung der Business Continuity durch eine agile, elastische und effiziente Bereitstellung der Infrastruktur.

Die nachgelagerten IT-Anwendungsfälle lassen sich grob in drei Kategorien unterteilen:

Transformation von Networking- und Sicherheitsarchitektur

Herkömmliche Appliance-basierte Hub-and-Spoke-Architekturen erhöhen die Latenz, steigern die WAN-Kosten und sind komplex zu managen. Der Austausch durch eine SASE-Architektur ermöglicht sichere lokale Internetschnittstellen sowie schnellen, einheitlichen und sicheren Zugriff auf Anwendungen, unabhängig vom Standort. Die Kombination cloudbasierter Sicherheit mit SD-WAN in einer SASE-Architektur ermöglicht bessere Anwendungsperformance, agileres Management und lückenlose Einblicke.

Schutz der SD-WAN-Bereitstellung

SD-WAN-Lösungen sind unerlässlich, um die Anwendungsperformance zu verbessern. Die gemeinsame Nutzung eines SD-WANs und eines Sicherheitsstacks im Rechenzentrum sorgt jedoch für vermeidbare Latenz und mindert die Vorteile des SD-WANs. Appliance-basierte Sicherheit in Zweigstellen erfordert zudem häufige Upgrades, da die Menge des verschlüsselten Datenverkehrs zunimmt. Die Folge: höhere Kosten und betriebliche Komplexität. Cloudbasierte Sicherheit ist eine sinnvolle Alternative, muss allerdings als einheitliche Single-Pass-SASE-Architektur in Kombination mit der SD-WAN-Lösung bereitgestellt werden. Auf diese Weise können die SD-WAN-Vorteile (schnellere Anwendungsperformance, betriebliche Agilität, verringerte Betriebsausgaben) voll ausgenutzt werden.

Bereitstellung eines sicheren und produktiven digitalen Arbeitsplatzes

Lösungen für den digitalen Arbeitsplatz ermöglichen eine einheitliche und produktive Employee Experience über alle Arbeitsanwendungen und Desktops hinweg – unabhängig davon, welches Gerät genutzt wird. Mit einer SASE-Architektur kann die Anwendungsperformance dabei mit intelligenter Traffic-Priorisierung und WAN-Optimierung noch weiter verbessert werden. Zudem wird die Sicherheit mit identitätsbewusstem Zero-Trust-Zugriff und leistungsstarkem Malwareschutz für den gesamten Traffic verstärkt.

Citrix-Lösungen für SASE

SASE-Lösungen von Citrix sorgen dafür, dass Nutzer jederzeit einfach und sicher auf Anwendungen zugreifen können. Dazu werden alle empfohlenen und Hauptfunktionen von Gartner in einer einzigen, einheitlichen Architektur vereint. Diese einheitlichen SASE-Angebote bieten fünf wichtige Vorteile:

Erfahren Sie, wie Sie mit Citrix SASE einen schnellen, sicheren Anwendungszugriff bereitstellen können.