Unternehmensnetze stoßen bei der Nutzung von Cloud-Services zunehmend an ihre Grenzen. Eine Netzwerkarchitektur auf Basis von Secure Access Service Edge (SASE) verbindet Sicherheit mit verlässlicher Netzanbindung. 

Die Cloud ist zu einer Drehscheibe geworden, die auch Auswirkungen auf Unternehmensnetze hat. Nutzer*innen greifen aus dem Homeoffice oder mobil auf cloudbasierte Apps und Dienste zu, auch vernetzte Maschinen und Standorte benötigen einen direkten Zugang. Die dezentrale Infrastruktur wird immer komplexer. So manches Unternehmensnetz stößt an seine Grenzen, wenn Mitarbeiter*innen im Außendienst aufgrund langsamer Verbindungen ausgebremst werden. Dazu kommt die Sicherheitsfrage: Wie lassen sich das Netzwerk und alle seine Endpunkte umfassend schützen? Das nötige Sicherheitsniveau zu erreichen, ohne die User Experience (UX) zu beeinträchtigen, kann sich schwierig gestalten.

Gartner stellte bereits Ende 2019 das Konzept »Secure Access Service Edge« vor. »Bis 2025 werden mindestens 60 Prozent der Unternehmen explizite Strategien und Zeitpläne für die Einführung von SASE haben: von Nutzer- über Zweigstellen- bis Edge-Zugriff«, hieß es damals. 2020 waren es erst zehn Prozent der Unternehmen. Seit im Zuge der Coronapandemie Remote Work zum bleibenden Faktor wurde, ist das Thema jedoch verstärkt in den Fokus gerückt: Viele Unternehmen haben erkannt, dass SASE die Möglichkeit bietet, eine Zero-Trust-Sicherheitspolitik umzusetzen, ohne die Komplexität zu erhöhen. 

Dynamischer Markt

»Wir beobachten, dass der SASE-Markt Fahrt aufnimmt und sich weiterentwickelt. In den kommenden Monaten werden die Implementierungen sicher zunehmen«, erklärt Christopher Ehmsen, Managing Director Deutsche Telekom Cyber Security Austria GmbH. »Auch der Wettbewerb unter den Anbietern verschärft sich. Sie bieten eine Reihe von Vorteilen, die sich auf höhere ROIs konzentrieren und ein robustes, nutzerorientiertes Security-Framework ermöglichen sollen.«

SASE (gesprochen: »sässi«) steht für die Synthese von Sicherheit, Netzwerkkommunikation und Optimierung – die meist auch gleich in einem Cloud-Umfeld stattfindet. Die Verknüpfung von Sicherheitsaspekten mit den Themen Connectivity und Automatisierung ist heute das zentrale Thema im Cloud-Business. Nachdem ein Gutteil der Anwendungen bereits in der Wolke stattfindet, sollte die Cloud konsequenterweise gleich auch als Zugangsknotenpunkt für die Vernetzung von Standorten verstanden werden.

Ein traditioneller Sicherheitsansatz ist in einem dynamischen Arbeitsumfeld völlig unzureichend. Unternehmen setzen vermehrt auf Cloud-Services, um agiler zu sein – die IT-Infrastruktur wächst aber nicht im gleichen Ausmaß mit. Im Durchschnitt greift ein*e Remote-User*in auf etwa zwölf SaaS-basierte Apps zu.

Eine weitere Herausforderung ist das Backhauling des Datenverkehrs zu Rechenzentren, beispielsweise mit einem VPN zu Prüfungszwecken. Dies beeinträchtigt die Nutzer*innen der Applikationen aufgrund der hohen Latenzzeiten. Darüber hinaus sind herkömmliche VPN-Infrastrukturen anfälliger für Bedrohungen. Schwache Sicherheitsrichtlinien eines Drittanbieters können die Angriffsfläche erhöhen.

Digitale Identitäten

Die Sicherheitsarchitektur SASE vereint hohe Performance im Netz und Cybersicherheit zu einem perfekten Doppel – ohne Umweg über das Firmennetz. Applikationen werden per Konnektoren in der Cloud abgebildet und können nur einzeln von legitimierten Anwender*innen genutzt werden. Damit ausschließlich berechtigte User*innen auf die Daten zugreifen, werden die digitalen Identitäten – und nicht wie früher die IP-Adressen – überprüft. »Wir erfinden nichts neu, sondern kombinieren bewährte Technologien gleich direkt in der Cloud. So entfaltet sich die Stärke von SASE, nämlich direkt an der Edge zu sein – im Headquarter, in der Zweigniederlassung, überall, wo wir mobil arbeiten«, streicht Thomas Masicek, SVP Cyber Security T-Systems International, hervor.

Die Funktionen werden über eine cloudbasierte Plattform bereitgestellt: Die hauseigene IT muss somit weder Hard- noch Software installieren, auch Upgrades und Wartung laufen automatisiert ab und binden somit keine personellen und finanziellen Ressourcen. Alle Sicherheitsfeatures befinden sich stets auf dem aktuellen Stand und schützen vor Cyberangriffen. Ein einheitliches Portal sorgt für Übersichtlichkeit. IT-Teams können sämtliche Standorte, User*innen und Geräte, die über eine einzige Schnittstelle auf Geschäftsanwendungen zugreifen, überwachen und verwalten.

Begonnen sollte mit einer SASEMachbarkeitsstudie werden. Expert*innen ermitteln den Ist-Zustand der IT-Infrastruktur und planen eine geeignete Sicherheitsarchitektur. Ist das ideale Framework gefunden und integriert, ist das Netzwerk fit für das Cloud-Zeitalter. »Digitalisierung und die Cloud treiben Produktivität und Wachstum voran, bringen aber auch neue Herausforderungen mit sich«, so Masicek. »Durch eine Security-Service-Edge-Architektur ermöglichen Unternehmen ihren Mitarbeiter*innen einen ortsunabhängigen Arbeitsplatz, um produktiv Applikationen im Rechenzentrum und in mehreren Cloud-Umgebungen nahtlos, performant und vor allem sicher zu nutzen.« 

(Bilder: iStock)

Glossar

Das IT-Sicherheitsmanagement mit SASE (Secure Access Service Edge) besteht aus folgenden Komponenten:

• Security Service Edge (SSE): gewährleistet die zentrale Bereitstellung aller Sicherheitsdienste
• Software-Defined Wide Area Network (SD-WAN): leitet den Datenverkehr über ein WAN, ohne ihn zum Hub zurückzuleiten (im Gegensatz zum üblichen WAN-Prozess).
• Secure Web Gateway (SWG): bietet durch die Durchsetzung von Sicherheitsrichtlinien Schutz in der Cloud.
• Cloud Access Security Broker (CASB): bietet ein einziges Control Panel für das plattformübergreifende IT-Sicherheitsmanagement.
• Zero Trust Network Access (ZTNA): Zugriff auf Basis der Nutzeridentität.
• Firewall as a Service (FWaaS): eine Cloud-Firewall mit erweiterten Funktionen, um Skalierung zu ermöglichen.