Was ist SASE? | Secure Access Service Edge

Was ist SASE?

Secure Access Service Edge (SASE) ist ein cloudbasiertes IT-Modell, das softwaredefinierte Netzwerke mit Netzwerksicherheitsfunktionen bündelt und von einem einzigen Service-Provider bereitgestellt wird. Gartner, ein globales Forschungs- und Beratungsunternehmen, prägte den Begriff „SASE“ im Jahr 2019.

Ein SASE-Ansatz bietet eine bessere Kontrolle und Sichtbarkeit der Nutzer, des Traffics und der Daten, die auf ein Unternehmensnetzwerk zugreifen – wichtige Fähigkeiten für moderne, global verteilte Unternehmen. Mit SASE aufgebaute Netzwerke sind flexibel und skalierbar und können global verteilte Mitarbeiter und Büros an jedem Standort und über jedes Gerät miteinander verbinden.

Welche Sicherheitsfunktionen bietet SASE?

SASE kombiniert SD-WAN-Funktionen (Software Defined Wide Area Networking) mit einer Reihe von Netzwerksicherheitsfunktionen, die alle von einer einzigen Cloud-Plattform aus bereitgestellt werden. Auf diese Weise ermöglicht SASE Mitarbeitern, sich von überall aus zu authentifizieren und sicher mit internen Ressourcen zu verbinden, und gibt Unternehmen eine bessere Kontrolle über den Traffic und die Daten, die in ihr internes Netzwerk ein- und ausgehen.

SASE umfasst vier zentrale Sicherheitskomponenten:

1. Secure web gateways (SWG): Ein SWG wehrt Cyber-Bedrohungen ab und verhindert Datenschutzverletzungen, indem es unerwünschte Inhalte aus dem Web-Traffic herausfiltert, unbefugtes Nutzerverhalten blockiert und Sicherheitsrichtlinien des Unternehmens durchsetzt. SWGs können überall bereitgestellt werden und eignen sich daher ideal, um Sicherheit für Remote-Teams zu gewährleisten.
2. Cloud Access Security Broker (CASB): Ein CASB übernimmt mehrere Sicherheitsfunktionen für in der Cloud gehostete Dienste, darunter die Aufdeckung von Schatten-IT (nicht autorisierte Unternehmenssysteme), die Sicherung vertraulicher Daten durch Zugriffskontrolle und Data Loss Prevention (DLP) sowie die Gewährleistung der Einhaltung von Datenschutzbestimmungen.
3. Zero Trust Network Access (ZTNA): ZTNA-Plattformen sperren interne Ressourcen vor der Öffentlichkeit und helfen bei der Abwehr potenzieller Datenschutzverletzungen, indem sie eine Echtzeitüberprüfung jedes Nutzers und Geräts für jede geschützte Anwendung verlangen.
4. Firewall-as-a-Service (FWaaS): FWaaS sind Firewalls, die aus der Cloud als Dienst bereitgestellt werden. FWaaS schützt cloudbasierte Plattformen, Infrastruktur und Anwendungen vor Cyber-Angriffen. Im Gegensatz zu herkömmlichen Firewalls handelt es sich bei FWaaS nicht um eine physische Vorrichtung, sondern um eine Reihe von Sicherheitsfunktionen, die URL-Filterung, Intrusion Prevention und eine einheitliche Richtlinienverwaltung für den gesamten Netzwerk-Traffic umfassen.

Je nach Anbieter und Bedarf des Unternehmens können diese Kernkomponenten mit zusätzlichen Sicherheitsdiensten gebündelt werden, z. B. Webanwendungs- und API-Schutz (WAAP), Remote-Browserisolierung oder Wi-Fi-Hotspot-Schutz.

Welche Vorteile hat ein SASE-Framework?

SASE bietet mehrere Vorteile im Vergleich zu einem traditionellen Netzwerksicherheitsmodell, das auf Rechenzentren basiert:

• Identitätsbasierter Zero-Trust-Netzwerkzugriff. SASE lehnt sich stark an ein Zero-Trust-Sicherheitsmodell an. Ein Zero-Trust-Sicherheitsmodell gewährt einem Nutzer erst dann Zugang zu Anwendungen und Daten, wenn seine Identität überprüft wurde – selbst wenn er sich bereits innerhalb des Perimeters eines privaten Netzwerks befindet. Bei der Festlegung von Zugriffsrichtlinien berücksichtigt ein SASE-Ansatz nicht nur die Identität einer Einheit, sondern auch Faktoren wie den Standort des Nutzers, die Tageszeit, die Sicherheitsstandards des Unternehmens, Compliance-Richtlinien und eine fortlaufende Bewertung des Risikos/Vertrauens.
• Blockieren von Angriffen auf die Netzwerkinfrastruktur. Die Firewall- und CASB-Komponenten von SASE verhindern, dass externe Angriffe (wie DDoS-Angriffe und Ausnutzung von Schwachstellen) eindringen und die internen Ressourcen gefährden. Sowohl lokale als auch cloudbasierte Netzwerke können durch einen SASE-Ansatz geschützt werden.
• Vorbeugung böswilliger Aktivitäten. Durch das Filtern von URLs, DNS-Anfragen und anderem ausgehenden und eingehenden Netzwerk-Traffic hilft SASE, Angriffe durch Malware, Datenexfiltration und andere Bedrohungen für Unternehmensdaten zu verhindern.
• Effiziente Implementierung und Verwaltung. SASE fasst Single-Point-Sicherheitslösungen zu einem gesamten cloudbasierten Service zusammen. Dadurch müssen Unternehmen mit weniger Anbietern interagieren und sparen sich die Zeit, das Geld und die internen Ressourcen für die Konfiguration der physischen Infrastruktur.
• Vereinfachte Richtlinienverwaltung. Anstatt mit mehreren Richtlinien für separate Lösungen zu hantieren, steuern Unternehmen mit SASE alles von einem einzigen Portal aus. Von dort können sie Zugriffsrichtlinien für alle Standorte, Nutzer, Geräte und Anwendungen festlegen, überwachen, anpassen und durchsetzen.
• Latenzoptimiertes Routing. SASE reduziert die Latenz, indem der Netzwerk-Traffic über ein globales Edge-Netzwerk geroutet und der Traffic so nah wie möglich am Nutzer verarbeitet wird. Routing-Optimierungen helfen, den schnellsten Netzwerkpfad zu bestimmen, basierend auf Netzwerküberlastung und anderen Faktoren.

Wie lässt sich SASE mit traditionellen Netzwerken vergleichen?

In einem traditionellen Netzwerkmodell befinden sich Daten und Anwendungen in einem zentralen Rechenzentrum. Um auf diese Ressourcen zuzugreifen, verbinden sich Nutzer, Zweigstellen und Anwendungen über ein lokalisiertes privates Netzwerk oder ein sekundäres Netzwerk mit dem Rechenzentrum. Das sekundäre Netzwerk ist normalerweise über eine sichere Standleitung oder ein VPN mit dem primären Netzwerk verbunden.

Dieses Modell hat sich als ungeeignet erwiesen, um die Komplexität zu bewältigen, die durch cloudbasierte Dienste wie Software-as-a-Service (SaaS) und die Zunahme verteilter Belegschaften entsteht. Es ist nicht mehr praktikabel, den gesamten Traffic über ein zentrales Rechenzentrum umzuleiten, wenn Anwendungen und Daten in der Cloud gehostet werden.

Im Gegensatz dazu verlegt SASE die Netzwerkkontrollen aus dem Rechenzentrum des Unternehmens an den Rand der Cloud. Anstatt Cloud-Dienste übereinanderzuschichten, was eine separate Konfiguration und Verwaltung erforderlich machen würde, optimiert SASE Netzwerk- und Sicherheitsservices für eine sichere Netzwerk-Edge. Durch die Implementierung identitätsbasierter Zero-Trust-Zugriffsrichtlinien im Edge-Netzwerk können Unternehmen ihren Netzwerkperimeter auf jeden Remote-Nutzer, jede Zweigstelle, jedes Gerät oder jede Anwendung ausdehnen.

Wie Organisationen SASE einführen können

Viele Unternehmen gehen bei der Einführung von SASE bruchstückhaft vor. Manche haben sogar schon bestimmte SASE-Elemente übernommen, ohne es zu wissen. Zu den wichtigsten Schritten, die Unternehmen zur vollständigen Übernahme eines SASE-Modells unternehmen können, gehören:

1. Remote-Teams schützen
2. Zweigstellen hinter einem Cloud-Perimeter platzieren
3. Verlagerung des DDoS-Schutzes an die Edge
4. Migration von selbst gehosteten Anwendungen in die Cloud
5. Ersetzen von Sicherheitsanwendungen durch eine einheitliche, cloudnative Richtliniendurchsetzung

Diese Schritte werden in dem Whitepaper „Erste Schritte mit SASE“ näher erläutert. Sie können es hier herunterladen.

Wie Cloudflare SASE möglich macht

Cloudflare hat eine einzigartige Architektur, die in jedem der 285 Rechenzentren in aller Welt eine Plattform aus integrierten Netzwerk- und Sicherheitsservices bereitstellt. So müssen Unternehmen keine komplexe Sammlung von Single-Point-Lösungen erwerben und verwalten.

Cloudflare One ist eine SASE-Plattform, die Remote-Nutzer, Büros und Rechenzentren sicher miteinander und mit den von ihnen benötigten Ressourcen verbindet. Den Einstieg in Cloudflare One finden Sie auf der Cloudflare One Produktseite. Oder erfahren Sie mehr über ZTNA, eine wichtige Technologie hinter SASE.