Was ist eine SASE-Architektur? | Secure Access Service Edge

Eine Secure Access Service Edge (SASE)-Architektur ist ein IT-Modell, das Sicherheits- und Netzwerkdienste auf einer Cloud-Plattform kombiniert.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Das Secure Access Service Edge (SASE)-Modell definieren
  • Die Komponenten der SASE-Architektur identifizieren
  • Die Vorteile und Anwendungsfälle für SASE erkunden
  • Verstehen, wie SASE mit SSE und Zero-Trust-Sicherheit zusammenhängt

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist SASE?

Secure Access Service Edge oder kurz SASE (ausgesprochen als „sässi“) ist ein Architekturmodell, das Netzwerkkonnektivität mit Netzwerksicherheitsfunktionen kombiniert und diese über eine einzige Cloud-Plattform und/oder eine zentralisierte Richtlinienkontrolle bereitstellt.

Da Unternehmen zunehmend ihre Anwendungen und Daten in die Cloud verlagern, ist es komplexer und riskanter geworden, die Netzwerksicherheit nach dem traditionellen „Burg- und Burggraben“-Prinzip zu verwalten. Im Gegensatz zum herkömmlichen Netzwerkansatz vereint SASE Sicherheit und Networking auf einer einzigen Cloud-Plattform und einer Steuerungsebene, um eine konsistente Sichtbarkeit, Kontrolle und Nutzererfahrung für jeden Nutzer und jede App zu gewährleisten.

Auf diese Weise schafft SASE ein neues, einheitliches Unternehmensnetzwerk auf der Grundlage von Cloud-Diensten, die über das Internet betrieben werden – und ermöglicht es Unternehmen, von vielen Architekturschichten und Punktlösungen zu migrieren.

SASE-Architektur kombiniert Zero-Trust-Sicherheit und Netzwerkdienste

Wie lässt sich SASE mit traditionellen Netzwerken vergleichen?

In einem traditionellen Netzwerkmodell befinden sich Daten und Anwendungen in einem zentralen Rechenzentrum. Um auf diese Ressourcen zuzugreifen, verbinden sich Nutzer, Zweigstellen und Anwendungen über ein lokalisiertes privates Netzwerk oder ein sekundäres Netzwerk mit dem Rechenzentrum. Das sekundäre Netzwerk ist normalerweise über eine sichere Standleitung oder ein VPN mit dem primären Netzwerk verbunden.

Dieses Modell ist jedoch nicht in der Lage, mit der Komplexität umzugehen, die durch neue Cloud-basierte Dienste und die Zunahme verteilter Arbeitskräfte entsteht. So ist es beispielsweise nicht praktikabel, den gesamten Traffic über ein zentrales Rechenzentrum zu leiten, wenn ein Unternehmen SaaS-Apps und Daten in der Cloud hostet.

Im Gegensatz dazu verlagert SASE die Netzwerksteuerung aus dem Rechenzentrum des Unternehmens an die Edge der Cloud. Anstatt Dienste, die eine separate Konfiguration und Verwaltung erfordern, übereinander zu schichten, führt SASE Netzwerk- und Sicherheitsdienste unter Verwendung einer einzigen Steuerungsebene zusammen. SASE implementiert identitätsbasierte Zero Trust-Sicherheitsrichtlinien im Edge-Netzwerk, die es Unternehmen ermöglichen, den Netzwerkzugriff auf beliebige Remote-Nutzer, Zweigstellen, Geräte oder Apps auszuweiten.

Welche Funktionen bietet SASE?

SASE-Plattformen kombinieren Funktionen von Network-as-a-Service (NaaS) mit einer Reihe von Sicherheitsfunktionen, die über eine einzige Schnittstelle verwaltet und von einer Steuerungsebene aus bereitgestellt werden.

Diese Dienste umfassen:

  • Netzwerkdienste, die die Konnektivität vereinfachen, wie softwaredefiniertes Wide Area Networking (SD-WAN) oder WAN-as-a-Service (WANaaS), um eine Vielzahl von Netzen zu einem einzigen Unternehmensnetz zusammenzuschließen
  • Sicherheitsdienste, die auf den Traffic angewendet werden, der in das Netzwerk hinein und aus dem Netzwerk heraus fließt, um den Zugriff von Nutzern und Geräten zu sichern, Bedrohungen abzuwehren und sensible Daten zu schützen
  • Betriebliche Dienste, die plattformweite Funktionen bieten, wie z. B. Netzwerküberwachung und Protokollierung
  • Eine Richtlinien-Engine, die alle kontextbezogenen Attribute und Sicherheitsregeln untermauert und dann diese Richtlinien auf alle angeschlossenen Dienste anwendet

Durch die Zusammenführung dieser Dienste in einer einheitlichen Architektur vereinfacht SASE die Netzinfrastruktur.

Was sind die technologischen Komponenten einer SASE-Plattform?

Da Secure Access Service Edge die Konvergenz einer Reihe von ursprünglich getrennten Diensten beinhaltet, können Unternehmen schrittweise zu einer SASE-Architektur übergehen, anstatt den gesamten Übergang auf einmal zu vollziehen. Sie können zunächst die Komponenten implementieren, die ihren vorrangigen Anwendungsfällen entsprechen, bevor sie alle Netzwerk- und Sicherheitsdienste auf eine einzige Plattform migrieren.

SASE-Plattformen umfassen in der Regel die folgenden technologischen Komponenten:

  • Zero Trust-Netzwerkzugang (ZTNA): Das Zero Trust-Sicherheitsmodell geht davon aus, dass Bedrohungen sowohl innerhalb als auch außerhalb eines Netzwerks existieren. Daher ist jedes Mal, wenn eine Person, eine App oder ein Gerät versucht, auf Ressourcen in einem Unternehmensnetzwerk zuzugreifen, eine strenge Kontextprüfung erforderlich. Zero Trust-Netzwerkzugang (ZTNA) ist die Technologie, die den Zero Trust-Ansatz möglich macht. Sie stellt Eins-zu-Eins-Verbindungen zwischen Nutzern und den von ihnen benötigten Ressourcen her und erfordert eine regelmäßige Reverifizierung und Wiederherstellung dieser Verbindungen.
  • Secure Web Gateway (SWG): Ein SWG beugt Cyber-Bedrohungen vor und schützt Daten, indem es unerwünschten Inhalt des Web-Traffics herausfiltert und riskantes oder nicht autorisiertes Online-Nutzerverhalten blockiert. SWGs können überall eingesetzt werden, was sie ideal für den Schutz hybrider Arbeitsplätze macht.
  • Cloud Access Security Broker (CASB): In Clouds und von SaaS-Apps wird es schwieriger, Daten privat und sicher zu halten. Ein CASB ist eine Lösung für diese Herausforderung: Er bietet Datensicherheitskontrollen über die in der Cloud gehosteten Dienste und Apps eines Unternehmens und ermöglicht Einblicke in diese.
  • Software-definiertes WAN (SD-WAN) oder WANaaS: In einer SASE-Architektur nutzen Unternehmen entweder SD-WAN oder WAN-as-a-Service (WANaaS) ein, um Betriebe (z. B. Büros, Einzelhandelsgeschäfte, Rechenzentren) über große Entfernungen zu verbinden und zu skalieren. SD-WAN und WANaaS verfolgen unterschiedliche Ansätze:
    • Die SD-WAN-Technologie nutzt Software an den Unternehmensstandorten und einen zentralen Controller, um einige der Einschränkungen herkömmlicher WAN-Architekturen zu überwinden und den Betrieb und die Steuerung des Traffics zu vereinfachen.
    • WANaaS baut auf den Vorteilen von SD-WAN auf, indem es einen Ansatz mit der Bezeichnung „Schlanke Zweigstelle, leistungsstarke Cloud“ (light branch, heavy cloud) verfolgt. Dabei wird an den physischen Standorten nur die minimal erforderliche Hardware eingesetzt und die kostengünstige Internetkonnektivität genutzt, um den nächstgelegenen „Service Edge“-Standort zu erreichen. Dies kann die Gesamtkosten senken, eine stärker integrierte Sicherheit bieten, die Leistung auf der mittleren Meile verbessern und die Cloud-Infrastruktur besser bedienen.
  • Next-Generation-Firewall (NGFW) Eine NGFW prüft Daten auf einer tieferen Ebene als eine herkömmliche Firewall. NGFWs bieten beispielsweise App-Awareness und -Kontrolle, Intrusion Prevention und Bedrohungsdaten. Dadurch können sie Bedrohungen identifizieren und blockieren, die sich in harmlos erscheinendem Traffic verbergen. NGFWs, die in der Cloud eingesetzt werden können, werden als Cloud-Firewalls oder Firewall-as-a-Service (FWaaS) bezeichnet.

Abhängig von den Möglichkeiten des Anbieters können die oben genannten SASE-Komponenten auch mit den weiter unten beschriebenen Funktionen gebündelt werden, einschließlich E-Mail-Sicherheit in der Cloud, Schutz von Web-Apps and API (WAAP), DNS-Sicherheit und/oder Security Service Edge (SSE).

Was sind die wichtigsten Vorteile von SASE?

SASE bietet mehrere Vorteile im Vergleich zu einem traditionellen Netzwerksicherheitsmodell, das auf Rechenzentren basiert.

Geringeres Risiko durch die Prinzipien von Zero Trust: SASE setzt stark auf das Sicherheitsmodell Zero Trust, bei dem ein Nutzer erst nach einer Identitätsüberprüfung Zugriff auf Apps und Daten erhält. Dies gilt auch dann, wenn er sich bereits innerhalb des Perimeters eines privaten Netzes befindet. Bei der Festlegung von Zugriffsrichtlinien berücksichtigt ein SASE-Ansatz nicht nur die Identität einer Einheit, sondern kann auch Faktoren berücksichtigen wie den Standard, den Gerätestatus, die Sicherheitsstandards des Unternehmens und eine fortlaufende Bewertung des Risikos/Vertrauens.

Geringere Kosten durch Plattformkonsolidierung: SASE führt Single-Point-Sicherheitslösungen in einem Cloud-basierten Dienst zusammen, sodass Unternehmen mit weniger Anbietern interagieren müssen und weniger Zeit, Geld und interne Ressourcen für die Integration inkompatibler Produkte aufwenden müssen.

Betriebliche Effizienz und Agilität: Anstatt mit Einzellösungen zu jonglieren, die nicht auf Zusammenarbeit ausgelegt sind, können Unternehmen mit SASE Sicherheitsrichtlinien für alle Standorte, Nutzer, Geräte und Apps über eine einzige Schnittstelle definieren, anpassen und durchsetzen. IT-Teams können Fehler effizienter beheben und einfache Probleme schneller lösen.

Verbesserte Nutzererfahrung für hybrides Arbeiten: Optimierungen des Netzwerkroutings können dabei helfen, den schnellsten Netzwerkpfad zu bestimmen, basierend auf Netzwerküberlastungen und anderen Faktoren. SASE trägt dazu bei, die Latenz für den Endnutzer zu reduzieren. Dazu routet es den Traffic sicher über ein globales Edge-Netzwerk, das sich so nah wie möglich am Nutzer befindet.

Was sind häufige Anwendungsfälle für SASE?

Ergänzung oder Ersatz von VPNs für einen modernen sicheren Zugriff

Ein häufiger Grund für die Umstellung auf eine SASE-Architektur ist die Verbesserung des Ressourcenzugangs und der Konnektivität. Das Routing und die Verarbeitung des Netzwerk-Traffics über ein globales Cloud-Netzwerk so nah wie möglich am Nutzer (statt über VPN) reduziert die Reibungsverluste für den Endnutzer und eliminiert gleichzeitig das Risiko lateraler Bewegungen.

Vereinfachung des Zugriffs für Auftragnehmer

Secure Access Service Edge erweitert den sicheren Zugriff über die interne Belegschaft hinaus auf Dritte wie Auftragnehmer, Partner und andere temporäre oder unabhängige Mitarbeitenden. Durch den ressourcenbasierten Zugang reduzieren Unternehmen das Risiko überdimensionierter Zugriffsrichtlinien für Auftragnehmer.

Bedrohungsabwehr für verteilte Büros und Remote-Mitarbeiter

Mit SASE können Unternehmen einheitliche IT-Sicherheitsrichtlinien für alle Nutzer unabhängig von ihrem Standort durchsetzen. Durch das Filtern und Prüfen des gesamten ein- und ausgehenden Netzwerk-Traffics kann SASE dazu beitragen, verschiedene Bedrohung zu verhindern, darunter Angriffe mit Schadsoftware, Multi-Channel-Phishing (Angriffe, die sich über mehrere Kommunikationskanäle erstrecken), Insider-Bedrohungen und Datenexfiltration.

Datenschutz für die Einhaltung gesetzlicher Vorschriften

Da SASE jede Netzwerkanfrage sichtbar macht, können Unternehmen Richtlinien auf die Daten in jeder Anfrage anwenden. Diese Richtlinien helfen bei der Einhaltung von Datenschutzgesetzen, die von Unternehmen einen bestimmten Umgang mit sensiblen Daten verlangen.

Vereinfachte Anbindung von Zweigstellen

Eine SASE-Architektur kann einen Flickenteppich aus MPLS-Leitungen (Multiprotocol Label Switching) und Netzwerk-Appliances ergänzen oder ersetzen, um das Routing des Traffics zwischen Zweigstellen und die Konnektivität zwischen Standorten zu erleichtern.

Was ist der Unterschied zwischen SASE und SSE (Security Service Edge)?

Das Marktforschungsunternehmen Gartner definiert Secure Access Edge als einen Dienst, der SD-WAN, SWG, CASB, NGFW und ZTNA umfasst, um „einen Zero Trust-Zugriff zu ermöglichen, der auf der Identität des Geräts oder der Entität basiert, kombiniert mit Echtzeitkontext und Sicherheits- und Compliance-Richtlinien“.

Mit anderen Worten: Bei SASE ist der sichere Nutzerzugang bereits in die Netzwerkarchitektur integriert. (An dieser Stelle sei darauf hingewiesen, dass das Marktforschungsunternehmen Forrester das SASE-Modell als „Zero Trust Edge“ oder ZTE kategorisiert.

Aber nicht alle Unternehmen haben einen einheitlichen Ansatz für IT-, Netzwerksicherheits- und Netzwerkteams. Daher können sie dem Security Service Edge (SSE) Priorität einräumen. SSE ist eine Untergruppe der SASE-Funktionalität, die sich hauptsächlich auf den Schutz des Zugriffs auf Web, Cloud-Dienste und private Apps konzentriert

Während die meisten SASE-Plattformen die oben genannten Kernfunktionen enthalten, bieten einige auch zusätzliche SSE-Funktionen, wie z. B.:

  • Remote-Browserisolierung (RBI): Die RBI wendet das Zero Trust-Prinzip auf das Surfen im Internet an, indem sie davon ausgeht, dass kein Website-Code (z. B. HTML, CSS, JavaScript) standardmäßig gefahrlos ausgeführt werden kann. RBI lädt Webseiten und führt den zugehörigen Code in der Cloud aus – anstatt auf den lokalen Geräten der Nutzer. Diese Trennung hilft, das Herunterladen von Schadsoftware zu verhindern, minimiert das Risiko von Zero-Day-Sicherheitslücken im Browser und schützt vor anderen browserbasierten Bedrohungen.
  • Schutz vor Datenverlust (DLP): Um zu verhindern, dass Daten gestohlen oder unberechtigterweise zerstört werden, erkennen DLP-Technologien, dass sich sensible Daten in Web-Apps,- in SaaS-Apps und in privaten Anwendungen befinden. In Kombination mit SWG können DLP-Lösungen Daten während der Übertragung scannen und in Kombination mit einem CASB können DLP-Lösungen Daten im Ruhezustand scannen.
  • Digital Experience Monitoring (DEM): DEM ist ein Tool zur Überwachung des Verhaltens und der Erfahrungen von Nutzern in Bezug auf Website-Traffic und App-Performance. DEM unterstützt Unternehmen bei der Erfassung von Echtzeitdaten zu Netzwerkproblemen, Performance-Einbrüchen und App-Ausfällen. Dies hilft, Netzwerkprobleme zu lokalisieren und die Ursachen von Konnektivitätsanomalien zu identifizieren.

SSE ist ein übliches Sprungbrett für eine vollständige SASE-Implementierung. Einige Unternehmen (insbesondere solche mit ausgereiften SD-WAN-Implementierungen) möchten jedoch möglicherweise nicht vollständig auf einen einzigen SASE-Anbieter konsolidieren. Diese Unternehmen können einzelne SASE-Komponenten für ihre unmittelbaren Anwendungsfälle nutzen und haben die Möglichkeit, ihre Konsolidierung für die Plattform im Laufe der Zeit auszuweiten.

Wie Cloudflare SASE möglich macht

Cloudflare One ist die SASE-Plattform von Cloudflare zum Schutz von Apps, Nutzern, Geräten und Netzwerken im Unternehmen. Sie basiert auf der Cloudflare Connectivity Cloud, einer einheitlichen, modularen Plattform mit programmierbaren Cloud-nativen Diensten, die Any-to-Any-Konnektivität zwischen allen Netzwerken (Unternehmen und Internet), Cloud-Umgebungen, Apps und Nutzern ermöglicht.

Die Dienste von Cloudflare One (die alle Aspekte von SASE abdecken) sind so konzipiert, dass sie über alle Standorte des Cloudflare-Netzwerks laufen, sodass der gesamte Traffic nahe an der Quelle verbunden, überprüft und gefiltert wird, um die beste Performance und konsistente Nutzererfahrung zu gewährleisten. Erfahren Sie mehr über Cloudflare One.