Was ist SASE? SASE (Secure Access Service Edge) wird von Gartner definiert.
Netzwerksicherheitsfunktionen sind nicht neu, und SD-WAN ist in der Branche nicht neu.
SASE liefert sie als Cloud-Service.
Einfach ausgedrückt: SASE kombiniert SD-WAN und Netzwerksicherheitsfunktionen und stellt sie als Cloud-Service bereit.
SD-WAN-Anbieter bieten deterministische und zuverlässige Konnektivität für Unternehmen mit mehreren Niederlassungen an verschiedenen Standorten über eine geografisch verteilte PoP-Infrastruktur.
Der SD-WAN-Service bietet auch einen VPN-basierten sicheren Fernzugriff, um WFH- (Work-From-Home) und Roaming-Benutzer mit den Unternehmensnetzwerken zu verbinden.
Viele SD-WAN-Dienste umfassen auch grundlegende Sicherheitskomponenten wie Firewall und NAT.
Die Kombination von Funktionen zum Schutz vor Bedrohungen – Next Generation Firewall, Anti-Malware, URL-Filterung und Data Loss Prevention – zum Schutz verschiedener Unternehmensressourcen mit SD-WAN bietet Unternehmen zahlreiche Vorteile.
Zu den Vorteilen gehören eine weniger komplexe Netzwerkinfrastruktur, ein schnelleres Hoch- und Runterfahren bei Änderungen an Unternehmensstandorten, Cloud-Diensten, SaaS-Diensten, verteilten Mitarbeitern und eine schnellere Skalierung bei steigender Belastung der Unternehmensanwendungen.
Unternehmensadministratoren sehen außerdem eine einzige Plattform für die Verwaltung und Überwachung von Richtlinien.
Verteilte Durchsetzungspunkte für Netzwerke und Sicherheit sorgen für eine konsistente und deterministische Erfahrung für Benutzer und Anwendungen, egal wo sie sich befinden. Was versteht man unter SASE? Die folgende Abbildung zeigt eine konsolidierte Ansicht von SASE.
Der SASE-Service sitzt zwischen den Client-Entitäten und den Anwendungs-/Datenbeständen des Unternehmens.
Clients können menschliche Clients, Geräte und Programme sein.
Die Kunden können überall sein.
Unternehmensanwendungen und -daten sind bei der digitalen Transformation nicht auf On-Prem-Standorte und Colos beschränkt.
Unternehmen stellen die Anwendungen aus Gründen der Ausfallsicherheit, Redundanz, geringen Latenz und aus rechtlichen Gründen in mehreren Regionen und mehreren Clouds bereit.
Unternehmen nutzen auch zunehmend SaaS-Dienste, die ebenfalls an mehreren Standorten eingesetzt werden.
Aufgrund der ortsunabhängigen Clients und ortsunabhängigen Dienste wird auch SASE als verteilter Dienst bereitgestellt, aber natürlich mit einer gemeinsamen Verwaltungsebene.
Die Hauptkomponenten von SASE sind: SD-WAN: SD-WAN bietet eine sichere, optimierte, deterministische und zuverlässige Konnektivität zwischen Büros und Rechenzentren über mehrere PoPs mit zentraler Verwaltung.
SD-WAN-Dienste werden immer intelligenter.
Sie verfügen nicht mehr nur über grundlegende Funktionen, die mit dem Ersatz von MPLS zusammenhängen, sondern bieten auch benutzer- und anwendungsorientiertes Routing/QoS, SaaS-Beschleunigung durch intelligentes Routing, WAN-Optimierung und Caching für den Zugriff auf redundante Daten mit geringer Latenz und sogar grundlegende Sicherheitsdienste wie NAT, Firewall und VPN. Firewall der nächsten Generation (NGFW): Sie ist eine grundlegende Sicherheitstechnologie für jede Art von Zugang.
Sie bietet normalerweise NAT, Stateful Inspection und IDS/IPS-Dienste (Intrusion Detection and Prevention System).
Um die Anforderungen von Zero Trust zu erfüllen, wird erwartet, dass die NGFW in der SASE-Architektur identitätsbewusste Zugriffsfunktionen unterstützt. Zero Trust Network Access (ZTNA): Die ZTNA-Funktionalität schützt Unternehmensanwendungen und zugehörige Daten.
SD-WAN-Dienste verfügen über grundlegende ZTNA-Funktionen über VPN und Stateful Inspection Firewall.
Das reicht jedoch nicht aus, um sie in der SASE-Architektur als ZTNA zu bezeichnen.
Die ZTNA-Funktionalität umfasst einen identitätsbewussten Anwendungszugriff, einen rollenbasierten, granularen Zugriff auf Anwendungen nach dem Prinzip des „Least Privilege Access“, Traffic-Engineering für mehrere Instanzen der Anwendung über Clouds und Rechenzentren hinweg, Verwaltung des privilegierten Zugriffs auf kritische Dienste und vieles mehr.
Differenzierte ZTNA-Frameworks werden durch WAF (Web Application Firewall), API-Sicherheit, DLP (Data Loss Prevention) und Anti-Malware-Funktionen zum Schutz vor Bedrohungen und zur Verhinderung von Datenexfiltrationsversuchen ergänzt. Cloud Access Security Broker (CASB): Die CASB-Funktionalität schützt die Unternehmensdaten in SaaS-Diensten, indem sie sicherstellt, dass echte Benutzer auf die erlaubten Ressourcen zugreifen.
Noch wichtiger ist, dass sie einen Überblick über die Benutzer und die Ressourcen bietet, auf die zugegriffen wird.
CASBs helfen auch dabei, den Zugriff auf nicht zugelassene SaaS-Sites zu unterbinden.
Da CASBs dem Datenverkehr in die Quere kommen, können sie auch alle Schatten-IT-Zugriffe identifizieren und feststellen, ob es Datenlecks zwischen Unternehmenskonten und persönlichen Konten gibt.
Einige SaaS-Anbieter empfehlen keine Inline-Sicherheit.
Um die Sicherheitsanforderungen von Unternehmen für diese SaaS-Dienste zu erfüllen, sollten CASBs auf API-Ebene in der SASE-Lösung vorhanden sein. CASBs auf API-Ebene arbeiten mit den APIs von SaaS-Anbietern zusammen, um Berechtigungen zu automatisieren und Inhalte auf Malware und Datenlecks (sensible Daten, PII) zu überprüfen. Sicheres Web-Gateway (SWG): Die SWG-Funktionalität schützt die Assets von Unternehmensclients beim Zugriff auf das Internet.
Sie hält Benutzer davon ab, bösartige Websites zu besuchen, die Malware und Social-Engineering-Websites hosten, die Passwörter stehlen.
Außerdem werden Benutzer daran gehindert, Malware-Inhalte herunter- oder hochzuladen.
SWG ermöglicht dies durch URL-Malware-Filterung und Anti-Malware-Funktionen.
SWG bietet außerdem eine identitätsbasierte URL-Filterung, um einen differenzierten Zugang zu Internetdiensten auf der Grundlage von Benutzergruppen/Rollen zu ermöglichen. Unified SASE Die echte Konvergenz mehrerer Sicherheitsfunktionen und SD-WAN ist für Unternehmen entscheidend, um die Vorteile von SASE voll auszuschöpfen.
SASE-Lösungen begannen als lose Kopplung mehrerer Sicherheitsfunktionen, die über die SD-WAN-Infrastruktur bereitgestellt wurden.
Obwohl Unternehmen einen Anbieter für alle SASE-Funktionen sehen, birgt dieser disaggregierte Lösungsansatz („Disaggregated SASE“) einige Herausforderungen:

  • Mehrere Dashboards für die Richtlinienkonfiguration: Dies kann zu einer sich wiederholenden Konfiguration und einer steilen Lernkurve führen und somit zu Konfigurationsfehlern führen.
  • Mehrere Observability Stacks: Fehlende End-to-End Observability und Korrelationen können zu verpassten Vorfällen und langsamen Reaktionen auf Vorfälle führen.
  • Leistungsprobleme bei der Proxy-Verkettung: Mehrere Proxys, die dem Datenverkehr im Weg stehen, können zu mehreren TCP/TLS-Abschlüssen, Authentifizierungen und mehreren Hops führen.
    Dies kann zu höheren Latenzzeiten und geringerem Durchsatz führen, was sich auf das Benutzererlebnis auswirkt.
  • Performance-Probleme mit mehreren PoPs: Sicherheitsfunktionen und SD-WAN an verschiedenen PoPs können zu PoP-Hopping für den Datenverkehr führen, was aufgrund der höheren Latenz, die durch PoP-Hopping entsteht, zu Problemen für die Benutzer führt.

Unified SASE ist der Begriff für Anbieter, die sich den oben genannten Herausforderungen stellen.
Unified SASE ermöglicht

  • Eine einzige Glasscheibe für Konfiguration und Beobachtbarkeit
  • Gemeinsame Netzwerk-/Dienst-/Anwendungs-/Benutzerobjekte für SD-WAN-Funktionen und Sicherheitsfunktionen.
  • Eine bestimmte Verkehrssitzung durchläuft nur einen PoP für SD-WAN-Funktionen und Sicherheitsfunktionen.
  • Überprüfung des TLS-Verkehrs nur einmal.
  • Single-Pass-Architektur für eine bestimmte Sitzung über SD-WAN und Sicherheitsfunktionen hinweg.
  • Reduzierte Angriffsfläche auf den SASE selbst

Dadurch profitieren Unternehmen von einer besseren Benutzererfahrung, geringeren Kosten und höherem Vertrauen.
Es ist auch wichtig zu verstehen, dass SASE-Anbieter nicht in der Lage sein können, alle Sicherheitsfunktionen selbst zu entwickeln.
Technologiepartnerschaften sind der Schlüssel, da einige Anbieter sich auf wenige Sicherheitsfunktionen spezialisiert haben.
Es ist die Aufgabe von SASE-Anbietern, eine umfassende Lösung in enger technischer Zusammenarbeit mit Partnern zu entwickeln, um die Vision eines ‚Unified SASE‘ zu verwirklichen. Universal SASE Der ‚Edge‘-Teil von SASE ist eine Reihe von PoP-Standorten eines SASE-Anbieters oder eine Reihe von mehreren PoPs/Wolken verschiedener Anbieter von Sicherheitsfunktionen des SASE.
Es handelt sich um eine verteilte Architektur, d.h. die PoPs sind über den ganzen Globus verteilt und die SASE-Funktionen, die in jedem PoP eingesetzt werden, machen den SASE verteilt.
Allerdings deckt die Art und Weise, wie SASE heute bereitgestellt wird, nicht alle Verkehrssitzungen gut ab.
Es deckt Verkehrsströme, die über das WAN zwischen Clients und Internet- und Unternehmensressourcen laufen, sehr gut ab.
Denken Sie an diese Verkehrsströme.
Diese werden von den SASE-Anbietern nicht gut abgedeckt.

  • Verkehrssitzungen, wenn sich sowohl Client-Einheiten als auch Anwendungsdienst-Einheiten im selben Rechenzentrum/VPC befinden.
  • Verkehrssitzungen zwischen Microservices innerhalb eines Kubernetes-Clusters.
  • VPC-übergreifende Verkehrsströme, die über WAN-Dienste von Cloud-Anbietern laufen.
  • Verkehrssitzungen von 5G Mobile-Benutzern und Edge-Anwendungen.

Entweder wird erwartet, dass die Netzwerkautomatisierung und die Durchsetzung der Sicherheit von anderen Mechanismen übernommen werden, oder der Datenverkehr wird an den SASE-PoPs festgemacht.
Im ersten Fall geht die Einheitlichkeit verloren, und im zweiten Fall kann es zu Problemen bei der Benutzerfreundlichkeit kommen.
Daraus ergibt sich die Forderung nach einem universellen SASE.
Der SASE-Dienst darf nicht nur auf PoP-Standorte beschränkt sein.
Unternehmen erwarten gemeinsame Netzwerk- und Sicherheitsdienste für alle Verkehrssitzungen auf einheitliche Art und Weise.
Universeller SASE muss eine Cloud-native verteilte Datenebene mit einer aus der Cloud bereitgestellten Verwaltungs- und Beobachtungsplattform ermöglichen. Zusammenfassung: Die SASE-Reise hat 2019 begonnen.
Obwohl SASE der ersten Generation als lose gekoppelte SD-WAN- und Sicherheitsfunktionen begann, wird die Reise zu einem einheitlichen und universellen SASE führen, um eine echte Zero-Trust-Architektur für Unternehmen mit verteilten Mitarbeitern und verteilten Anwendungen zu realisieren.
Wir bei Aryaka befinden uns auf dieser Reise. Sprechen Sie mit uns, wenn Sie mehr wissen möchten Weitere Ressourcen Dell’Oro Group Report: Unified SASE: Überlegungen für Single-Vendor SASE

  • CTO Insights Blog

    Die Blogserie Aryaka CTO Insights bietet Denkanstöße zu Netzwerk-, Sicherheits- und SASE-Themen.
    Aryaka Produktspezifikationen finden Sie in den Aryaka Datenblättern.