Der Begriff Secure Access Service Edge, oder kurz SASE, bezeichnet ein cloudbasiertes IT-Modell, das Netzwerk- und Sicherheitsservices kombiniert.
Secure Access Service Edge, kurz SASE, ist ein cloudbasiertes Sicherheitsmodell, das softwaredefinierte Netzwerkfunktionen mit Netzwerksicherheitsfunktionen bündelt und in einem Produkt eines einzigen Anbieters bereitstellt. Der Begriff „SASE“ wurde 2019 von dem globalen Forschungs- und Beratungsunternehmen Gartner geprägt.
SASE ist eine cloudbasierte Alternative zur traditionellen „Hub-and-Spoke“-Netzwerkinfrastruktur. Mit dieser Infrastruktur in Form von „Hub-and-Spoke“ (Nabe und Speiche) werden Nutzer an mehreren Standorten (Spokes) mit Ressourcen in zentralisierten Rechenzentren (Hubs) verbunden. In einem traditionellen Netzwerkmodell befinden sich Daten und Anwendungen in einem zentralen Rechenzentrum. Um auf diese Ressourcen zuzugreifen, verbinden sich Nutzer, Zweigstellen und Anwendungen über ein lokalisiertes privates Netzwerk oder ein sekundäres Netzwerk mit dem Rechenzentrum. Das sekundäre Netzwerk ist normalerweise über eine sichere Standleitung oder ein VPN mit dem primären Netzwerk verbunden.
Im Prinzip klingt das Hub-and-Spoke-Modell nach einer einfachen Lösung. Es ist jedoch ungeeignet für die komplexen Herausforderungen, die durch cloudbasierte Dienste wie Software-as-a-Service (SaaS) oder den Anstieg an Remote-Arbeit entstehen. Da immer mehr Anwendungen, Workloads und sensible Unternehmensdaten in die Cloud verlagert werden, müssen Unternehmen überdenken, wie und wo der Netzwerk-Traffic inspiziert und Richtlinien für den sicheren Nutzerzugriff verwaltet werden. Es ist nicht mehr praktikabel, den gesamten Traffic durch ein zentrales Rechenzentrum umzuleiten, wenn die meisten Anwendungen und Daten in der Cloud gehostet werden (Stichwort „Posauneneffekt“). Diese Methode führt nur zu unnötiger Latenz. Für viele Remote-Nutzer könnte es unterdessen erhebliche Latenz bedeuten, wenn sie sich über VPNs mit einem Unternehmensnetzwerk verbinden müssen. Greifen sie jedoch über eine ungesicherte Verbindung auf Unternehmensressourcen zu, setzen sie sich zusätzlichen Sicherheitsrisiken aus.
Im Gegensatz dazu verlegt SASE die Netzwerkkontrollen aus dem Rechenzentrum des Unternehmens an den Rand der Cloud. Anstatt Cloud-Dienste übereinanderzuschichten, was eine separate Konfiguration und Verwaltung erforderlich machen würde, optimiert SASE Netzwerk- und Sicherheitsservices für einen sicheren, nahtlosen Netzwerkrand. Durch die Implementierung identitätsbasierter Zero-Trust-Zugriffsrichtlinien im Edge-Netzwerk können Unternehmen ihren Netzwerkperimeter auf jeden Remote-Nutzer, jede Zweigstelle, jedes Gerät oder jede Anwendung ausdehnen. Legacy-VPNs und Firewalls werden dadurch überflüssig, und Unternehmen erhalten eine granulare Kontrolle über ihre Netzwerksicherheitsrichtlinien. Dafür wird ein SASE-Framework auf einem einzigen globalen Netzwerk aufgebaut, um diese integrierten Dienstleistungen näher an den Endnutzer zu bringen.
Stellen Sie sich ein traditionelles Netzwerk-Architekturmodell wie eine gewöhnliche stationäre Bank vor. Nun stellen Sie sich vor, dass Bob seinen Kontostand überprüfen will, bevor er seine Miete überweist. Um seinen Kontostand zu erfahren, muss er persönlich zur Bank gehen und seine Identität von dem Bankangestellten überprüfen lassen. Er wird jeden Monat zur Bank gehen müssen und diesen Prozess wiederholen, was ihn viel Zeit und Mühe kostet – vor allem, wenn er weit entfernt von der Bank wohnt.
Dies ähnelt in gewisser Weise einer hardwarezentrierten Netzwerkarchitektur, bei der Sicherheits- und Zugriffsentscheidungen in einem festen, standortgebundenen Rechenzentrum und nicht in der Cloud getroffen und durchgesetzt werden. Cloud-Dienste in einem traditionellen Netzwerk-Architekturmodell einzuführen ist in etwa so, als würde man Bob die Möglichkeit geben, seinen Kontostand durch einen Anruf bei der Bank zu überprüfen. Diese Option ist etwas bequemer als der Gang zur Bank, erfordert jedoch einen völlig anderen Prozess zur Identitätsverifizierung. Anstatt seinen Ausweis vorzuzeigen, muss er seine Identität am Telefon beispielsweise mit einer Reihe vertraulicher Informationen bestätigen. Die Bank wird diese verschiedenen Verfahren verwalten müssen, damit die Kontodaten ihrer Kunden geschützt bleiben.
Herkömmliche Hub-and-Spoke-Infrastrukturen sind nicht für Cloud-Dienste konzipiert. Sie stützen sich auf einen sicheren Netzwerkperimeter, der um ein zentrales Rechenzentrum herum aufgebaut ist. Das ist aber nur effektiv, wenn sich der Großteil der Anwendungen und Daten eines Unternehmens innerhalb dieses Netzwerkperimeters befindet. Die verschiedenen Sicherheitsservices und Zugriffsrichtlinien zu verwalten und zu aktualisieren kann für IT-Teams schnell kompliziert werden.
SASE ist hingegen wie eine Banking-App auf Bobs Mobilgerät. Anstatt zur Bank zu gehen, um seinen Kontostand zu überprüfen oder ein zeitaufwendiges Telefongespräch zu führen, kann er seine Identität digital verifizieren und sofort von überall auf der Welt auf seinen Kontostand zugreifen. Und das gilt nicht nur für Bob, sondern für jeden anderen Bankkunden auch, ganz gleich, wo er sich befindet.
SASE bringt Netzwerksicherheitsservices und Zugangskontrolle durch Verlagerung dieser Schlüsselprozesse in die Cloud näher an den Endnutzer. Durch das globale Netzwerk ist die Latenz dabei minimal.
Secure Access Service Edge bündelt softwaredefinierte Wide Area Networking (SD-WAN)-Funktionen mit einer Reihe von Netzwerksicherheitsfunktionen, die alle von einer einzigen Cloud-Plattform bereitgestellt und verwaltet werden. Ein SASE-Angebot umfasst vier zentrale Sicherheitskomponenten:
Je nach Anbieter und den Bedürfnissen des Unternehmens können diese Kernkomponenten mit einer beliebigen Anzahl zusätzlicher Sicherheitsservices gebündelt werden, angefangen bei Webanwendungs- und API-Schutz (WAAP) und Remote-Browser-Isolation bis hin zu rekursivem DNS, WLAN-Hotspot-Schutz, Netzwerk-Verschleierung/Dispersion, Edge-Computing-Schutz und so weiter.
SASE bietet mehrere Vorteile im Vergleich zu einem traditionellen Netzwerksicherheitsmodell, das auf Rechenzentren basiert:
Wichtig ist aber: nicht alle SASE-Implementierungen sind gleich. Sie mögen zwar einige Kernmerkmale gemeinsam haben (identitätsbasierte Zugriffsrichtlinien, Netzwerksicherheitsservice und eine cloudzentrierte Architektur), aber sie können sich je nach den Bedürfnissen der Organisation stark unterscheiden. So kann sich eine SASE-Implementierung beispielsweise für eine Single-Tenant-Architektur statt einer Multi-Tenant-Architektur entscheiden, eine Netzwerkzugangskontrolle für IoT- (Internet of Things) und Edge-Geräte enthalten, zusätzliche Sicherheitsfunktionen bieten, Sicherheitslösungen mit minimaler Hardware/virtuellen Geräten bereitstellen usw.
Das SASE-Modell von Cloudflare gilt sowohl für Cloudflare for Infrastructure als auch für Cloudflare for Teams. Beide Lösungen werden von einem einzigen globalen Netzwerk unterstützt, das mehr als 25 Millionen Internetwebsites bedient. Cloudflare hat eine einzigartige Architektur, die in jeder der 200+ Städte in aller Welt eine Plattform aus integrierten Netzwerk- und Sicherheitsservices bereitstellt. So müssen Unternehmen keine komplexe Sammlung von Single-Point-Lösungen in der Cloud erwerben und verwalten.
Cloudflare for Infrastructure umfasst Cloudflares Suite integrierter Sicherheits- und Performance-Dienste. Diese sichern, beschleunigen und gewährleisten die Zuverlässigkeit jeder On-Premise-, Hybrid- und Cloud-Umgebung. Ein integraler Bestandteil von Cloudflare for Infrastructure ist Cloudflare Magic Transit. Magic Transit schirmt die Netzwerkinfrastruktur gegen DDoS-Bedrohungen und Angriffe auf Netzwerkebene ab und blockiert im Zusammenspiel mit der Cloudflare Web Application Firewall (WAF) Angriffe auf Sicherheitslücken. Magic Transit nutzt außerdem das globale Netzwerk von Cloudflare, um den legitimen Netzwerk-Traffic für optimale Latenz und optimalen Durchsatz zu beschleunigen. Erfahren Sie mehr über Cloudflare Magic Transit.
Cloudflare for Teams schützt Unternehmensdaten auf zwei verschiedene Arten: mit Cloudflare Access, einer Zero-Trust-Netzwerkzugriffslösung, und Cloudflare Gateway, einem DNS-Filter- und Netzwerksicherheitsservice, der vor Bedrohungen wie Malware und Phishing schützt. Cloudflare Access macht Legacy-VPNs überflüssig und ermöglicht einen sicheren, identitätsbasierten Zugriff auf interne Anwendungen und Daten – unabhängig davon, wo sich die Nutzer befinden. Cloudflare Gateway schützt Nutzer- und Unternehmensdaten, indem es böswillige Inhalte filtert und blockiert, kompromittierte Geräte identifiziert und mit Browser-Isolationstechnologie die Ausführung von Schadcode auf Nutzergeräten verhindert. Erfahren Sie mehr über Cloudflare for Teams.
Nach Lektüre dieses Artikels können Sie Folgendes:
Zero-Trust-Sicherheit
Sicheres Web-Gateway
Was ist IAM?
Zugriffskontrolle
Softwaredefinierter Perimeter
Um Ihnen mit Ihrer Website die bestmögliche Erfahrung bieten zu können, behalten wir uns die Verwendung von Cookies vor, wie hier beschrieben.Indem Sie diese Meldung akzeptieren, das Banner schließen oder unsere Webseiten weiter nutzen, stimmen Sie der Verwendung solcher Cookies zu.