Eine Secure Access Service Edge (SASE)-Architektur ist ein IT-Modell, das Sicherheits- und Netzwerkdienste auf einer Cloud-Plattform kombiniert.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Secure Access Service Edge oder kurz SASE (ausgesprochen als „sässi“) ist ein Architekturmodell, das Netzwerkkonnektivität mit Netzwerksicherheitsfunktionen kombiniert und diese über eine einzige Cloud-Plattform und/oder eine zentralisierte Richtlinienkontrolle bereitstellt.
Da Unternehmen zunehmend ihre Anwendungen und Daten in die Cloud verlagern, ist es komplexer und riskanter geworden, die Netzwerksicherheit nach dem traditionellen „Burg- und Burggraben“-Prinzip zu verwalten. Im Gegensatz zum herkömmlichen Netzwerkansatz vereint SASE Sicherheit und Networking auf einer einzigen Cloud-Plattform und einer Steuerungsebene, um eine konsistente Sichtbarkeit, Kontrolle und Nutzererfahrung für jeden Nutzer und jede App zu gewährleisten.
Auf diese Weise schafft SASE ein neues, einheitliches Unternehmensnetzwerk auf der Grundlage von Cloud-Diensten, die über das Internet betrieben werden – und ermöglicht es Unternehmen, von vielen Architekturschichten und Punktlösungen zu migrieren.
In einem traditionellen Netzwerkmodell befinden sich Daten und Anwendungen in einem zentralen Rechenzentrum. Um auf diese Ressourcen zuzugreifen, verbinden sich Nutzer, Zweigstellen und Anwendungen über ein lokalisiertes privates Netzwerk oder ein sekundäres Netzwerk mit dem Rechenzentrum. Das sekundäre Netzwerk ist normalerweise über eine sichere Standleitung oder ein VPN mit dem primären Netzwerk verbunden.
Dieses Modell ist jedoch nicht in der Lage, mit der Komplexität umzugehen, die durch neue Cloud-basierte Dienste und die Zunahme verteilter Arbeitskräfte entsteht. So ist es beispielsweise nicht praktikabel, den gesamten Traffic über ein zentrales Rechenzentrum zu leiten, wenn ein Unternehmen SaaS-Apps und Daten in der Cloud hostet.
Im Gegensatz dazu verlagert SASE die Netzwerksteuerung aus dem Rechenzentrum des Unternehmens an die Edge der Cloud. Anstatt Dienste, die eine separate Konfiguration und Verwaltung erfordern, übereinander zu schichten, führt SASE Netzwerk- und Sicherheitsdienste unter Verwendung einer einzigen Steuerungsebene zusammen. SASE implementiert identitätsbasierte Zero Trust-Sicherheitsrichtlinien im Edge-Netzwerk, die es Unternehmen ermöglichen, den Netzwerkzugriff auf beliebige Remote-Nutzer, Zweigstellen, Geräte oder Apps auszuweiten.
SASE-Plattformen kombinieren Funktionen von Network-as-a-Service (NaaS) mit einer Reihe von Sicherheitsfunktionen, die über eine einzige Schnittstelle verwaltet und von einer Steuerungsebene aus bereitgestellt werden.
Diese Dienste umfassen:
Durch die Zusammenführung dieser Dienste in einer einheitlichen Architektur vereinfacht SASE die Netzinfrastruktur.
Da Secure Access Service Edge die Konvergenz einer Reihe von ursprünglich getrennten Diensten beinhaltet, können Unternehmen schrittweise zu einer SASE-Architektur übergehen, anstatt den gesamten Übergang auf einmal zu vollziehen. Sie können zunächst die Komponenten implementieren, die ihren vorrangigen Anwendungsfällen entsprechen, bevor sie alle Netzwerk- und Sicherheitsdienste auf eine einzige Plattform migrieren.
SASE-Plattformen umfassen in der Regel die folgenden technologischen Komponenten:
Abhängig von den Möglichkeiten des Anbieters können die oben genannten SASE-Komponenten auch mit den weiter unten beschriebenen Funktionen gebündelt werden, einschließlich E-Mail-Sicherheit in der Cloud, Schutz von Web-Apps and API (WAAP), DNS-Sicherheit und/oder Security Service Edge (SSE).
SASE bietet mehrere Vorteile im Vergleich zu einem traditionellen Netzwerksicherheitsmodell, das auf Rechenzentren basiert.
Geringeres Risiko durch die Prinzipien von Zero Trust: SASE setzt stark auf das Sicherheitsmodell Zero Trust, bei dem ein Nutzer erst nach einer Identitätsüberprüfung Zugriff auf Apps und Daten erhält. Dies gilt auch dann, wenn er sich bereits innerhalb des Perimeters eines privaten Netzes befindet. Bei der Festlegung von Zugriffsrichtlinien berücksichtigt ein SASE-Ansatz nicht nur die Identität einer Einheit, sondern kann auch Faktoren berücksichtigen wie den Standard, den Gerätestatus, die Sicherheitsstandards des Unternehmens und eine fortlaufende Bewertung des Risikos/Vertrauens.
Geringere Kosten durch Plattformkonsolidierung: SASE führt Single-Point-Sicherheitslösungen in einem Cloud-basierten Dienst zusammen, sodass Unternehmen mit weniger Anbietern interagieren müssen und weniger Zeit, Geld und interne Ressourcen für die Integration inkompatibler Produkte aufwenden müssen.
Betriebliche Effizienz und Agilität: Anstatt mit Einzellösungen zu jonglieren, die nicht auf Zusammenarbeit ausgelegt sind, können Unternehmen mit SASE Sicherheitsrichtlinien für alle Standorte, Nutzer, Geräte und Apps über eine einzige Schnittstelle definieren, anpassen und durchsetzen. IT-Teams können Fehler effizienter beheben und einfache Probleme schneller lösen.
Verbesserte Nutzererfahrung für hybrides Arbeiten: Optimierungen des Netzwerkroutings können dabei helfen, den schnellsten Netzwerkpfad zu bestimmen, basierend auf Netzwerküberlastungen und anderen Faktoren. SASE trägt dazu bei, die Latenz für den Endnutzer zu reduzieren. Dazu routet es den Traffic sicher über ein globales Edge-Netzwerk, das sich so nah wie möglich am Nutzer befindet.
Ergänzung oder Ersatz von VPNs für einen modernen sicheren Zugriff
Ein häufiger Grund für die Umstellung auf eine SASE-Architektur ist die Verbesserung des Ressourcenzugangs und der Konnektivität. Das Routing und die Verarbeitung des Netzwerk-Traffics über ein globales Cloud-Netzwerk so nah wie möglich am Nutzer (statt über VPN) reduziert die Reibungsverluste für den Endnutzer und eliminiert gleichzeitig das Risiko lateraler Bewegungen.
Vereinfachung des Zugriffs für Auftragnehmer
Secure Access Service Edge erweitert den sicheren Zugriff über die interne Belegschaft hinaus auf Dritte wie Auftragnehmer, Partner und andere temporäre oder unabhängige Mitarbeitenden. Durch den ressourcenbasierten Zugang reduzieren Unternehmen das Risiko überdimensionierter Zugriffsrichtlinien für Auftragnehmer.
Bedrohungsabwehr für verteilte Büros und Remote-Mitarbeiter
Mit SASE können Unternehmen einheitliche IT-Sicherheitsrichtlinien für alle Nutzer unabhängig von ihrem Standort durchsetzen. Durch das Filtern und Prüfen des gesamten ein- und ausgehenden Netzwerk-Traffics kann SASE dazu beitragen, verschiedene Bedrohung zu verhindern, darunter Angriffe mit Schadsoftware, Multi-Channel-Phishing (Angriffe, die sich über mehrere Kommunikationskanäle erstrecken), Insider-Bedrohungen und Datenexfiltration.
Datenschutz für die Einhaltung gesetzlicher Vorschriften
Da SASE jede Netzwerkanfrage sichtbar macht, können Unternehmen Richtlinien auf die Daten in jeder Anfrage anwenden. Diese Richtlinien helfen bei der Einhaltung von Datenschutzgesetzen, die von Unternehmen einen bestimmten Umgang mit sensiblen Daten verlangen.
Vereinfachte Anbindung von Zweigstellen
Eine SASE-Architektur kann einen Flickenteppich aus MPLS-Leitungen (Multiprotocol Label Switching) und Netzwerk-Appliances ergänzen oder ersetzen, um das Routing des Traffics zwischen Zweigstellen und die Konnektivität zwischen Standorten zu erleichtern.
Das Marktforschungsunternehmen Gartner definiert Secure Access Edge als einen Dienst, der SD-WAN, SWG, CASB, NGFW und ZTNA umfasst, um „einen Zero Trust-Zugriff zu ermöglichen, der auf der Identität des Geräts oder der Entität basiert, kombiniert mit Echtzeitkontext und Sicherheits- und Compliance-Richtlinien“.
Mit anderen Worten: Bei SASE ist der sichere Nutzerzugang bereits in die Netzwerkarchitektur integriert. (An dieser Stelle sei darauf hingewiesen, dass das Marktforschungsunternehmen Forrester das SASE-Modell als „Zero Trust Edge“ oder ZTE kategorisiert.
Aber nicht alle Unternehmen haben einen einheitlichen Ansatz für IT-, Netzwerksicherheits- und Netzwerkteams. Daher können sie dem Security Service Edge (SSE) Priorität einräumen. SSE ist eine Untergruppe der SASE-Funktionalität, die sich hauptsächlich auf den Schutz des Zugriffs auf Web, Cloud-Dienste und private Apps konzentriert
Während die meisten SASE-Plattformen die oben genannten Kernfunktionen enthalten, bieten einige auch zusätzliche SSE-Funktionen, wie z. B.:
SSE ist ein übliches Sprungbrett für eine vollständige SASE-Implementierung. Einige Unternehmen (insbesondere solche mit ausgereiften SD-WAN-Implementierungen) möchten jedoch möglicherweise nicht vollständig auf einen einzigen SASE-Anbieter konsolidieren. Diese Unternehmen können einzelne SASE-Komponenten für ihre unmittelbaren Anwendungsfälle nutzen und haben die Möglichkeit, ihre Konsolidierung für die Plattform im Laufe der Zeit auszuweiten.
Cloudflare One ist die SASE-Plattform von Cloudflare zum Schutz von Unternehmens-Apps, -nutzern, -geräten und netzwerken. Sie basiert auf der Cloudflare Connectivity Cloud, einer einheitlichen, modularen Plattform mit programmierbaren Cloud-nativen Diensten, die Any-to-Any-Verbindungen zwischen allen Netzwerken (Unternehmen und Internet), Cloud-Umgebungen, Apps und Nutzern ermöglicht.
Die Dienste von Cloudflare One (die alle Aspekte von SASE abdecken) sind so konzipiert, dass sie über alle Standorte des Cloudflare-Netzwerks laufen, sodass der gesamte Traffic nahe an der Quelle verbunden, überprüft und gefiltert wird, um die beste Performance und konsistente Nutzererfahrung zu gewährleisten. Erfahren Sie mehr über Cloudflare One und andere Lösungen für Netzwerksicherheit.