Was ist SASE? | Secure Access Service Edge

Der Begriff Secure Access Service Edge, oder kurz SASE, bezeichnet ein cloudbasiertes IT-Modell, das Netzwerk- und Sicherheitsservices kombiniert.

Share facebook icon linkedin icon twitter icon email icon

SASE

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Secure Access Service Edge (SASE) definieren
  • Verstehen, welche Dienste SASE umfasst
  • Erläutern, wie sich SASE von der traditionellen Netzwerkarchitektur unterscheidet
  • Die Vorteile eines SASE-Frameworks entdecken

Was ist SASE?

Secure Access Service Edge, kurz SASE, ist ein cloudbasiertes Sicherheitsmodell, das softwaredefinierte Netzwerkfunktionen mit Netzwerksicherheitsfunktionen bündelt und in einem Produkt eines einzigen Anbieters bereitstellt. Der Begriff „SASE“ wurde 2019 von dem globalen Forschungs- und Beratungsunternehmen Gartner geprägt.

sase - secure access service edge

SASE ist eine cloudbasierte Alternative zur traditionellen „Hub-and-Spoke“-Netzwerkinfrastruktur. Mit dieser Infrastruktur in Form von „Hub-and-Spoke“ (Nabe und Speiche) werden Nutzer an mehreren Standorten (Spokes) mit Ressourcen in zentralisierten Rechenzentren (Hubs) verbunden. In einem traditionellen Netzwerkmodell befinden sich Daten und Anwendungen in einem zentralen Rechenzentrum. Um auf diese Ressourcen zuzugreifen, verbinden sich Nutzer, Zweigstellen und Anwendungen über ein lokalisiertes privates Netzwerk oder ein sekundäres Netzwerk mit dem Rechenzentrum. Das sekundäre Netzwerk ist normalerweise über eine sichere Standleitung oder ein VPN mit dem primären Netzwerk verbunden.

Im Prinzip klingt das Hub-and-Spoke-Modell nach einer einfachen Lösung. Es ist jedoch ungeeignet für die komplexen Herausforderungen, die durch cloudbasierte Dienste wie Software-as-a-Service (SaaS) oder den Anstieg an Remote-Arbeit entstehen. Da immer mehr Anwendungen, Workloads und sensible Unternehmensdaten in die Cloud verlagert werden, müssen Unternehmen überdenken, wie und wo der Netzwerk-Traffic inspiziert und Richtlinien für den sicheren Nutzerzugriff verwaltet werden. Es ist nicht mehr praktikabel, den gesamten Traffic durch ein zentrales Rechenzentrum umzuleiten, wenn die meisten Anwendungen und Daten in der Cloud gehostet werden (Stichwort „Posauneneffekt“). Diese Methode führt nur zu unnötiger Latenz. Für viele Remote-Nutzer könnte es unterdessen erhebliche Latenz bedeuten, wenn sie sich über VPNs mit einem Unternehmensnetzwerk verbinden müssen. Greifen sie jedoch über eine ungesicherte Verbindung auf Unternehmensressourcen zu, setzen sie sich zusätzlichen Sicherheitsrisiken aus.

Im Gegensatz dazu verlegt SASE die Netzwerkkontrollen aus dem Rechenzentrum des Unternehmens an den Rand der Cloud. Anstatt Cloud-Dienste übereinanderzuschichten, was eine separate Konfiguration und Verwaltung erforderlich machen würde, optimiert SASE Netzwerk- und Sicherheitsservices für einen sicheren, nahtlosen Netzwerkrand. Durch die Implementierung identitätsbasierter Zero-Trust-Zugriffsrichtlinien im Edge-Netzwerk können Unternehmen ihren Netzwerkperimeter auf jeden Remote-Nutzer, jede Zweigstelle, jedes Gerät oder jede Anwendung ausdehnen. Legacy-VPNs und Firewalls werden dadurch überflüssig, und Unternehmen erhalten eine granulare Kontrolle über ihre Netzwerksicherheitsrichtlinien. Dafür wird ein SASE-Framework auf einem einzigen globalen Netzwerk aufgebaut, um diese integrierten Dienstleistungen näher an den Endnutzer zu bringen.

Warum ist SASE notwendig?

Stellen Sie sich ein traditionelles Netzwerk-Architekturmodell wie eine gewöhnliche stationäre Bank vor. Nun stellen Sie sich vor, dass Bob seinen Kontostand überprüfen will, bevor er seine Miete überweist. Um seinen Kontostand zu erfahren, muss er persönlich zur Bank gehen und seine Identität von dem Bankangestellten überprüfen lassen. Er wird jeden Monat zur Bank gehen müssen und diesen Prozess wiederholen, was ihn viel Zeit und Mühe kostet – vor allem, wenn er weit entfernt von der Bank wohnt.

Dies ähnelt in gewisser Weise einer hardwarezentrierten Netzwerkarchitektur, bei der Sicherheits- und Zugriffsentscheidungen in einem festen, standortgebundenen Rechenzentrum und nicht in der Cloud getroffen und durchgesetzt werden. Cloud-Dienste in einem traditionellen Netzwerk-Architekturmodell einzuführen ist in etwa so, als würde man Bob die Möglichkeit geben, seinen Kontostand durch einen Anruf bei der Bank zu überprüfen. Diese Option ist etwas bequemer als der Gang zur Bank, erfordert jedoch einen völlig anderen Prozess zur Identitätsverifizierung. Anstatt seinen Ausweis vorzuzeigen, muss er seine Identität am Telefon beispielsweise mit einer Reihe vertraulicher Informationen bestätigen. Die Bank wird diese verschiedenen Verfahren verwalten müssen, damit die Kontodaten ihrer Kunden geschützt bleiben.

Hub-and-Spoke-Netzwerkmodell

Herkömmliche Hub-and-Spoke-Infrastrukturen sind nicht für Cloud-Dienste konzipiert. Sie stützen sich auf einen sicheren Netzwerkperimeter, der um ein zentrales Rechenzentrum herum aufgebaut ist. Das ist aber nur effektiv, wenn sich der Großteil der Anwendungen und Daten eines Unternehmens innerhalb dieses Netzwerkperimeters befindet. Die verschiedenen Sicherheitsservices und Zugriffsrichtlinien zu verwalten und zu aktualisieren kann für IT-Teams schnell kompliziert werden.

SASE ist hingegen wie eine Banking-App auf Bobs Mobilgerät. Anstatt zur Bank zu gehen, um seinen Kontostand zu überprüfen oder ein zeitaufwendiges Telefongespräch zu führen, kann er seine Identität digital verifizieren und sofort von überall auf der Welt auf seinen Kontostand zugreifen. Und das gilt nicht nur für Bob, sondern für jeden anderen Bankkunden auch, ganz gleich, wo er sich befindet.

Hub-and-Spoke-Netzwerkmodell

SASE bringt Netzwerksicherheitsservices und Zugangskontrolle durch Verlagerung dieser Schlüsselprozesse in die Cloud näher an den Endnutzer. Durch das globale Netzwerk ist die Latenz dabei minimal.

Welche Funktionen umfasst SASE?

Secure Access Service Edge bündelt softwaredefinierte Wide Area Networking (SD-WAN)-Funktionen mit einer Reihe von Netzwerksicherheitsfunktionen, die alle von einer einzigen Cloud-Plattform bereitgestellt und verwaltet werden. Ein SASE-Angebot umfasst vier zentrale Sicherheitskomponenten:

  1. Sichere Web-Gateways (SWG): Auch als sicheres Internet-Gateway bekannt, verhindert ein SWG Cyber-Bedrohungen und Datenschutzverletzungen, indem es unerwünschte Inhalte aus dem Web-Traffic filtert, unbefugtes Nutzerverhalten blockiert und Sicherheitsrichtlinien des Unternehmens durchsetzt. SWGs können überall bereitgestellt werden und eignen sich daher ideal, um Sicherheit für Remote-Teams zu gewährleisten.
  2. Cloud Access Security Broker (CASB): Ein CASB erfüllt mehrere Sicherheitsfunktionen für cloudgehostete Dienste: Aufdeckung von Schatten-IT (nicht autorisierte Unternehmenssysteme), Sicherung vertraulicher Daten durch Zugriffskontrolle, Schutz vor Datenverlust (Data Loss Prevention oder DLP), Gewährleistung der Einhaltung von Datenschutzbestimmungen und vieles mehr.
  3. Zero Trust Network Access (ZTNA): ZTNA-Plattformen sperren interne Ressourcen vor der Öffentlichkeit und helfen bei der Abwehr potenzieller Datenschutzverletzungen, indem sie eine Echtzeitüberprüfung jedes Nutzers für jede geschützte Anwendung verlangen.
  4. Firewall-as-a-Service (FWaaS): FWaaS sind Firewalls, die aus der Cloud als Dienst bereitgestellt werden. FWaaS schützt cloudbasierte Plattformen, Infrastruktur und Anwendungen vor Cyber-Angriffen. Im Gegensatz zu herkömmlichen Firewalls handelt es sich bei FWaaS nicht um eine physische Vorrichtung, sondern um eine Reihe von Sicherheitsfunktionen, die URL-Filterung, Intrusion Prevention und eine einheitliche Richtlinienverwaltung für den gesamten Netzwerk-Traffic umfassen.

Je nach Anbieter und den Bedürfnissen des Unternehmens können diese Kernkomponenten mit einer beliebigen Anzahl zusätzlicher Sicherheitsservices gebündelt werden, angefangen bei Webanwendungs- und API-Schutz (WAAP) und Remote-Browser-Isolation bis hin zu rekursivem DNS, WLAN-Hotspot-Schutz, Netzwerk-Verschleierung/Dispersion, Edge-Computing-Schutz und so weiter.

Welche Vorteile hat ein SASE-Framework?

SASE bietet mehrere Vorteile im Vergleich zu einem traditionellen Netzwerksicherheitsmodell, das auf Rechenzentren basiert:

  • Effiziente Implementierung und Verwaltung. SASE fasst Single-Point-Sicherheitslösungen zu einem gesamten cloudbasierten Service zusammen. Dadurch müssen Unternehmen mit weniger Anbietern interagieren und sparen sich die Zeit, das Geld und die internen Ressourcen für die Konfiguration und Wartung der physischen Infrastruktur.
  • Vereinfachte Richtlinienverwaltung. Anstatt mit mehreren Richtlinien für separate Lösungen zu hantieren, steuern Unternehmen mit SASE alles von einem einzigen Portal aus. Von dort können sie Zugriffsrichtlinien für alle Standorte, Nutzer, Geräte und Anwendungen festlegen, überwachen, anpassen und durchsetzen.
  • Identitätsbasierter Zero-Trust-Netzwerkzugriff. SASE lehnt sich stark an ein Zero-Trust-Sicherheitsmodell an. Ein Zero-Trust-Sicherheitsmodell gewährt einem Nutzer erst dann Zugang zu Anwendungen und Daten, wenn seine Identität überprüft wurde – selbst wenn er sich bereits innerhalb des Perimeters eines privaten Netzwerks befindet. Bei der Festlegung von Zugriffsrichtlinien berücksichtigt ein SASE-Ansatz nicht nur die Identität einer Einheit, sondern auch Faktoren wie den Standort des Nutzers, die Tageszeit, die Sicherheitsstandards des Unternehmens, Compliance-Richtlinien und eine fortlaufende Bewertung des Risikos/Vertrauens.
  • Latenzoptimiertes Routing. Für Unternehmen, deren Dienste stark von der Latenz beeinflusst werden (z. B. Videokonferenzen, Streaming, Online-Gaming usw.), ist jede signifikante Latenzerhöhung ein Problem. SASE reduziert die Latenz, indem der Netzwerk-Traffic über ein globales Edge-Netzwerk geroutet und der Traffic so nah wie möglich am Nutzer verarbeitet wird. Routing-Optimierungen helfen, den schnellsten Netzwerkpfad zu bestimmen, basierend auf Netzwerküberlastung und anderen Faktoren.

Wichtig ist aber: nicht alle SASE-Implementierungen sind gleich. Sie mögen zwar einige Kernmerkmale gemeinsam haben (identitätsbasierte Zugriffsrichtlinien, Netzwerksicherheitsservice und eine cloudzentrierte Architektur), aber sie können sich je nach den Bedürfnissen der Organisation stark unterscheiden. So kann sich eine SASE-Implementierung beispielsweise für eine Single-Tenant-Architektur statt einer Multi-Tenant-Architektur entscheiden, eine Netzwerkzugangskontrolle für IoT- (Internet of Things) und Edge-Geräte enthalten, zusätzliche Sicherheitsfunktionen bieten, Sicherheitslösungen mit minimaler Hardware/virtuellen Geräten bereitstellen usw.

Wie hilft Cloudflare bei der Einführung von SASE?

Das SASE-Modell von Cloudflare gilt sowohl für Cloudflare for Infrastructure als auch für Cloudflare for Teams. Beide Lösungen werden von einem einzigen globalen Netzwerk unterstützt, das mehr als 25 Millionen Internetwebsites bedient. Cloudflare hat eine einzigartige Architektur, die in jeder der 200+ Städte in aller Welt eine Plattform aus integrierten Netzwerk- und Sicherheitsservices bereitstellt. So müssen Unternehmen keine komplexe Sammlung von Single-Point-Lösungen in der Cloud erwerben und verwalten.

Cloudflare for Infrastructure umfasst Cloudflares Suite integrierter Sicherheits- und Performance-Dienste. Diese sichern, beschleunigen und gewährleisten die Zuverlässigkeit jeder On-Premise-, Hybrid- und Cloud-Umgebung. Ein integraler Bestandteil von Cloudflare for Infrastructure ist Cloudflare Magic Transit. Magic Transit schirmt die Netzwerkinfrastruktur gegen DDoS-Bedrohungen und Angriffe auf Netzwerkebene ab und blockiert im Zusammenspiel mit der Cloudflare Web Application Firewall (WAF) Angriffe auf Sicherheitslücken. Magic Transit nutzt außerdem das globale Netzwerk von Cloudflare, um den legitimen Netzwerk-Traffic für optimale Latenz und optimalen Durchsatz zu beschleunigen. Erfahren Sie mehr über Cloudflare Magic Transit.

Cloudflare for Teams schützt Unternehmensdaten auf zwei verschiedene Arten: mit Cloudflare Access, einer Zero-Trust-Netzwerkzugriffslösung, und Cloudflare Gateway, einem DNS-Filter- und Netzwerksicherheitsservice, der vor Bedrohungen wie Malware und Phishing schützt. Cloudflare Access macht Legacy-VPNs überflüssig und ermöglicht einen sicheren, identitätsbasierten Zugriff auf interne Anwendungen und Daten – unabhängig davon, wo sich die Nutzer befinden. Cloudflare Gateway schützt Nutzer- und Unternehmensdaten, indem es böswillige Inhalte filtert und blockiert, kompromittierte Geräte identifiziert und mit Browser-Isolationstechnologie die Ausführung von Schadcode auf Nutzergeräten verhindert. Erfahren Sie mehr über Cloudflare for Teams.