Die voranschreitende Digitalisierung und der damit einhergehende Einsatz von Public-Cloud-Diensten sowie das Arbeiten von zuhause machen traditionelle und zentralistische Securitymodelle recht wirkungslos, da die Mitarbeiter nicht mehr mit den herkömmlichen Sicherheitsarchitekturen vor Ort in zentralisierten Rechenzentren verbunden sind, auf die sie sich früher verlassen konnten. Perimetersicherheit reicht also nicht mehr aus, da moderne Arbeitsplatzkonzepte verteilte Umgebungen immer stärker berücksichtigen müssen. Wenn etwa Mitarbeiter im Vertrieb von unterwegs SaaS-Anwendungen wie Office 365 nutzen und mit sensiblen Daten in der Cloud arbeiten, ist es extrem wichtig, dass Unternehmen einen sicheren Zugriff auf ebensolche Dienste und Anwendungen gewährleisten können.

Das Konzept eines standortunabhängigen Arbeitens erfordert eine neue Securitystrategie, die auch einen effektiven Schutz vor Datenschutzverletzungen, etwa durch Ransomware-Attacken, berücksichtigt. Die bloße Verlagerung der zentralisierten Securityinfrastruktur in die Cloud reicht nicht aus – die Cloud an sich muss Teil dieses neuen Ansatzes sein. So braucht es überall Sicherheitskontrollen, die sich über die Cloud verwalten und überwachen lassen. Die in Unternehmen zunehmend akzeptierte Public Cloud spielt dabei als zentraler Hub eine immer größere Rolle. Der Eintrittspunkt in diese IT-Architektur, der sogenannte Edge, wird dadurch zum entscheidenden Ort, um Aufgaben wie Verfügbarkeit und Sicherheit der Kommunikation zu leisten.

Zweck von SASE ist es, ein einheitliches Sicherheitsniveau für alle Beteiligten zu ermöglichen. Egal ob Benutzer, Unternehmensstandorte samt Außenstellen oder Services jeglicher Art – alle denkbaren und erlaubten Kommunikationspfade innerhalb der Organisation müssen zuverlässig und regelkonform abgesichert bereitgestellt werden. Und kaum ein Unternehmen kommt heutzutage ohne vielfältig eingebundene Geräte aus: IoT-Devices und physische Anlagen müssen gleichermaßen berücksichtigt, also vernetzt werden. Das neue Konzept ersetzt dadurch viele bisherige Insellösungen, die als Features in einer Securityplattform aufgehen.

Für Administratoren und Service-Provider bietet das zentrale Management-Interface einen erheblichen Vorteil bei der Implementierung von Einstellungen über mehrere Anwendungsszenarien hinweg, die früher einzelnen Systemen unterschiedlicher Hersteller entsprachen. Sei es Firewalling in der Cloud oder lokal, Webfilterung, sichere Fernzugriffe oder zuverlässige Standortvernetzung, die technologische Integration verringert den Arbeitsaufwand, reduziert die Komplexität und bietet durch die Kombination und die gemeinsame Verwaltung ein lückenloses und vor allem einheitliches Sicherheitskonzept.

Kriterium für das Erteilen des Zugriffs ist dabei nicht mehr die Zugehörigkeit zu einem Segment der IT-Infrastruktur, sondern die Identität der Benutzer. Am Ort der Zugriffsanfrage stehen in einer einzigen Konsole die notwendigen Werkzeuge bereit. SASE stellt Sicherheitsfunktionen überall dort bereit, wo sie benötigt werden. Zentralisierte Sicherheitssysteme können Remote-Arbeitende nur schwer schützen, und sie lassen sich nicht einfach in die Cloud verlagern, um dies zu erreichen. Während ein zentralisierter Ansatz in der Cloud den gesamten Datenverkehr über diese abwickeln muss, sichert SASE Geräte und Netzwerke überall und bietet geräte- und standortunabhängig das gleiche Sicherheitsniveau.

Häufig fahren Unternehmen einen lockeren Securityansatz, der mehrere Produkte verschiedener Anbieter nutzt. Dies führt jedoch zu einer wenig organisierten Infrastruktur mit verschiedenen Komponenten, die jeweils für unterschiedliche Funktionen zuständig sind. SASE als integrierte Umgebung sorgt für einen konsistenten Sicherheitsstatus (Security Posture), indem es die Prozesse konsolidiert und damit die Komplexität verringert.

Die Grundbestandteile von SASE sind auf der einen Seite ein sicherer Zugang einschließlich

- Zugangsprivilegien, durch identitätsbasierte Richtlinien durchgesetzt,

- Standort, Zeit, Risiko/Vertrauenswürdigkeitsbewertung für das Benutzergerät,

- Sensibilität der Anwendung oder der Daten, auf die zugegriffen wird und

- Sicherheitskonzepte wie SWG, CASB, Firewall oder ZTNA.

Daneben gibt es den Service Edge, der Ende-zu-Ende-Sicherheit ermöglicht und Sicherheit an jedem angeschlossenen Netzwerkrand für die Bereitstellung von Services gewährleistet.

Remote beziehungsweise hybrides Arbeiten verlangt einen reibungslosen Zugriff auf Services und Ressourcen in der Public Cloud, als Software-as-a-Service-Modell oder aus dem Rechenzentrum. Diesen Mischbetrieb gilt es abzudecken. Hier hat sich in den letzten Jahren die Einführung eines Zero-Trust-Network-Access-Modells bewährt.

Ein offensichtlicher Vorteil von ZTNA ist, dass verdächtige Zugriffsversuche auf das Netzwerk aufgrund fehlender Berechtigungen automatisch blockiert werden, was das Risiko einer Sicherheitsverletzung deutlich einschränkt. Überaus hilfreich ist es, wenn das gewählte System Zugriffsberechtigungen vordefiniert und automatisiert sowie ein Auditprotokoll an­bietet, das über Geräte, Standorte und Identitäten aller Benutzer, die versuchen auf das Netzwerk zuzugreifen, informiert.

VPNs dagegen stehen vor der Herausforderung, einer Vielzahl von Remote-Benutzern und -Geräten einen sicheren Zugang zum Unternehmensnetzwerk zu ermöglichen. Erschwerend kommt hinzu, dass eben nicht alle Benutzer die gleichen Zugriffsrechte auf Daten, Anwendungen und Systeme benötigen oder haben sollten. Der Versuch, Benutzer vor Social Engineering und bösartiger Software zu schützen, hat in vielen Fällen zu Kombinationen von Firewalls, VPNs, Web-Gateways und Netzwerkzugangskontrolllösungen geführt; eine komplizierte Infrastruktur, die schwer zu verwalten und zu verstehen ist. Bei Patchwork-Sicherheitsinfrastrukturen fehlt es an integrierter Transparenz, wodurch sich nur schwer feststellen lässt, wer von wo aus auf verschiedene Teile des Netzes zuzugreifen versucht und ob dies legitim ist. VPN ist nicht zwingend weniger sicher, aber deutlich komplizierter im Management, sodass sich ZTNA weiter durchsetzen wird.

Eine SASE-Umgebung sollte darüber hinaus Sicherheit für Zugriffe auf Webressourcen durch Webfilterung am Endpoint integrieren. Nahezu alle Anwendungen sind heute webbasiert, egal ob öffentlich im Internet oder als SaaS. Damit ist die Websicherheit am Endpunkt wie am Perimeter gleichermaßen möglich und nötig. Eine vorhandene integrierte Last-Mile-Optimierung verwendet zudem fortschrittliche Algorithmen zur Vorwärtsfehlerkorrektur (Forward Error Correction, FEC), um Paketverluste zu verringern und den Netzwerkverkehr zu optimieren. Diese Algorithmen werden sowohl bei der Verbindung von Bürostandorten als auch von Endpunkten angewendet.

Die eigentliche Herausforderung besteht nicht in der Wahl des Standorts einer Sicherheitslösung, sondern wie diese funktioniert. Es reicht nicht aus, den Sicherheitsstack aus dem Rechenzentrum herauszulösen und in die Cloud zu verlagern. Viel wirkungsvoller ist es, Standorte, IoT-Geräte, Menschen und die Cloud sicher und effizient miteinander zu verbinden. Darum geht es im Kern bei SASE – kurz die Zusammenführung von Netzwerk und Security. Um ein effizientes Sicherheitsniveau mit SASE zu gewährleisten, sollten die folgenden Dienste integriert sein:

- SD-WAN, um mehrere Büros kosteneffizient und ausfallsicher miteinander zu verbinden.

- Firewall-as-a-Service-Funktionen zum SD-WAN-Netzwerk, die die Sicherheit des Unternehmensnetzwerks zusätzlich erhöhen.

- Zero Trust Network Access fügt eine zusätzliche Sicherheitsebene hinzu, indem Benutzern der Zugriff auf Daten oder Anwendungen erst nach einer detaillierten Überprüfung der Berechtigungen gewährt wird.

- Ein Secure Web-Gateway (SWG) verhindert, dass nicht-autorisierter Datenverkehr in das Unternehmensnetzwerk gelangt.

- Extended Detection and Response (XDR) bietet eine 24/7-Bedrohungserkennung, die über das bloße Warten auf Vorfälle hinausgeht.

- Ein Cloud Access Security Broker (CASB) gewährt Benutzern auf Basis ihrer Berechtigungen sicheren Zugriff auf Clouddienste.

Für die praktische Arbeit von IT-Administratoren vereinfacht ein globales, cloudbasiertes Management die Konfiguration der SASE-Komponenten. Sicherheitsrichtlinien und Regelwerke lassen sich übergreifend einsetzen und sorgen für ein konsistentes standortunabhängiges Sicherheitsniveau. Dabei sind die hauptsächlichen Anwendungsfälle ein mehrschichtiger Netzwerkschutz, der Schutz vor webbasierten Bedrohungen, ein sicherer Zero-Trust-Fernzugriff sowie ein verbesserter Cloud- und Anwendungszugriff mittels Secure-SD-WAN-Funktionen.

Ein SASE-Konzept, das mehrere Dienste in seiner Architektur kombiniert, indem es Benutzer, Standorte und Geräte miteinander verbindet, ermöglicht eine umfassende, ganzheitliche cloudbasierte Sicherheit. Im Gegensatz zu zentralisierten On-Premises-Produkten kann diese alle Herausforderungen einer zunehmenden Remote- und Hybridarbeit annehmen und ein hohes Maß an Sicherheit gewährleisten.