Networking Solutions 18.01.2021

Secure Access Service Edge – Next Generation SD-WAN.

Secure Access Service Edge (SASE) beschreibt ein neues Modell, mit dem das herkömmliche SD-WAN-Modell abgelöst werden soll. Im Gegensatz zum Datacenter-zentrischen Netzwerkdesign arbeitet SASE auf der Basis von Identitäten und dem Anwendungs- und Benutzerkontext. Was es mit SASE auf sich hat und wie sich die beiden Modelle unterscheiden, erfahren Sie in diesem Blog.

Artikel teilen

Hans-Jürgen Martini
Teamleitung Network & Security Engineers – CC-BISS

Ein neues Architekturmodell.

Als vor einigen Jahren die ersten SD-WAN-Lösungen auf den Markt kamen, wurde die neue Technologie schnell zum Synonym für unternehmensweite WAN-Transformationen. Unternehmen, die die bekannten Schwachstellen der Weitverkehrsnetze in den Griff bekommen wollten, kamen um die Einführung von SD-WAN nicht herum. Doch letztendlich muss man erkennen, dass die erste Generation von SD-WAN viele der anderen Netzwerk- und Sicherheitsherausforderungen, die die digitale Transformation mit sich bringt, schlichtweg ignoriert.

Schon seit Anfang 2020 sehen wir ein neues Architekturmodell, von dem einige Analysten mittlerweile sagen, es werde diese veränderten Herausforderungen meistern. Der Begriff SASE - ausgesprochen wie das englische Wort „sassy“ - wurde erstmals von Gartner Analysten im Jahr 2019 geprägt.

Wieso brauchen wir SASE und worin liegen die Vorteile gegenüber dem traditionellen SD-WAN-Ansatz?

Bei den traditionellen Enterprise-Architekturen bildete bis dato das Datacenter den Mittelpunkt des Geschehens. Der Zugang zum Internet wurde über eigene Sicherheits-Gateways gewährleistet. Das Ersetzen des oftmals eingesetzten MPLS durch SD-WAN änderte dieses Leitbild nicht wirklich – und das wurde häufig als Problem identifiziert.

Durch die Einführung von Cloud-Diensten, mobilen Endgeräten und IoT ist das private Datacenter nicht länger das Zentrum des Unternehmensnetzwerks. Das „Backhauling“ (Zurückholen) des Datenverkehrs von der Niederlassung in das Datacenter ist nicht unbedingt sinnvoll. Auch die Verbindungsprobleme mit MPLS im Kontext der Cloud-Anbindung müssen adressiert werden. Es ist also zwingend erforderlich, einen Weg zu finden, der überall im Unternehmensnetzwerk Sicherheitskontrollen etablieren kann. Egal ob im Datacenter selbst, in der Niederlassung oder - spätestens seit Covid-19 - beim immer häufiger anzutreffenden „e-Worker". Dieses Vorhaben muss in einer Art und Weise geschehen, die für mobile Anwender und Standorte konsistent ist.

SASE kann helfen.

SASE kombiniert Netzwerk-Sicherheitsfunktionen wie SWG, CASB, FWaaS und ZTNA mit WAN-Fähigkeiten (d. h. SD-WAN), um die Anforderungen von Organisationen an einen dynamischen, sicheren Zugang zu ermöglichen. Der neue Typ von Sicherheits- und Netzwerkarchitektur, die SASE-Plattform, verbindet und sichert Unternehmenseinheiten auf der Grundlage ihres jeweiligen Realtime-Kontexts in Übereinstimmung mit den gültigen Unternehmensrichtlinien.

Anstatt den Datenverkehr per Backhaul zurück ins Datacenter zu leiten, wo er dann von Firewalls und anderen Sicherheitsplattformen untersucht wird, bringt SASE die Sicherheitskontrollen in den Standort oder zu einem nahe gelegenen PoP (Point of Presence), wo er dann überprüft und weiter ins Internet (Cloud) oder über einen globalen SASE-Backbone zu anderen SASE-Systemen (Meshed Network) geleitet wird.

Ein SASE-System kann ein mobiles Endgerät mit einem SASE-Agenten sein. Es kann sich aber auch um ein IoT-Gerät, einen mobilen Benutzer mit clientlosem Zugriff oder eine Appliance in einer Niederlassung handeln. SASE bringt die bisher uneinheitlichen Netzwerk- und Sicherheitsdienste für stationäre und mobile Benutzer - sowie für IoT-Geräte und Cloud-Dienste - zu einem einzigen, einheitlichen Dienst zusammen, der sich im Wesentlichen am Benutzerkontext orientiert.

Bestmögliche Anwendungsleistung.

SASE bringt die bestmögliche Netzwerk-Performance für alle Applikationen an jeden Punkt des Unternehmensnetzwerks. Dafür stellt SASE einen globalen SD-WAN-Dienst zur Verfügung, der verschiedene Kanäle (Broadband, Leased Lines, 4G/5G) zu einem privaten Backbone zusammenschaltet. Mithilfe dieses privaten Netzwerks lassen sich die bekannten Latenzprobleme und Quality-of-Service-Einschränkungen des globalen Internets lösen.

Konnektivität ist nicht alles.

Die neuen SASE-Dienste verbinden nicht nur Geräte, sondern sind auch in der Lage, die angeschlossen dahinterliegenden IT-Infrastrukturen zu schützen. Ver- und Entschlüsselung des eingehenden Datenverkehrs sind hierbei wichtige Funktionen. Zusätzlich kommen neben den SASE-Diensten wie Next Generation Firewalling, AV- und Malware-Scanning und IPS (Intrusion Prevention System) weitere sicherheitsspezifische Dienste, z. B. DNS-basierter Schutz und DDoS-Schutz (Distributed Denial of Service), hinzu. Somit lassen sich unternehmensspezifische und gesetzliche Bestimmungen, wie z. B. die GDPR, anhand der Routing- und Sicherheitsrichtlinien einer vollumfänglichen SASE-Lösung umsetzen.

Cloud-native Architektur.

Im Idealfall verwendet ein SASE-Dienst eine Cloud-native Architektur, die keine speziellen Abhängigkeiten zur Hardware aufweist. Gleichermaßen sollten Appliances nicht in einer Servicekette gruppiert werden. Als Software kann der SASE-Dienst bedarfsgerecht skaliert werden, ist für maximale Kosteneinsparungen mandantenfähig ausgelegt und kann für eine schnelle Service-Erweiterung, z.B. durch einen globalen URL-Filter, schnell aggregiert werden.

Kundenspezifische Anpassungen für Customer Premises Equipment (CPE) lassen sich lokal umsetzen. Allerdings sollten diese SASE-Endgeräte als schlüsselfertige Geräte ausgeführt und per Zero Touch Deployment ausgerollt werden, um den Administratoren eine einfache Handhabung zu erlauben.

Identitätsorientiert.

Im Unterschied zu anderen verwalteten Netzwerkdiensten stellt die SASE-Architektur Dienste bereit, die auf der Identität und dem Kontext der einzelnen Verbindungsquellen basieren. Die Identität umfasst eine Vielzahl von Faktoren wie den ursprünglichen Benutzer, das verwendete Gerät und Echtzeitfaktoren wie die Tageszeit und den Gerätestandort.

Ein klares Bild der Bedrohungslage verbessert die IT-Sicherheit.

Die neue Sichtweise auf unsere Verkehrsnetze bedeutet unweigerlich auch, sich ein klares Bild der Bedrohungslage zu machen und diese Erkenntnisse in das Design einfließen zu lassen.

So wie die Verwaltung von Sicherheitslücken umfangreicher ist, als sich das die IT-Organisation eines Unternehmens vielleicht vorstellt, so gilt dies auch bei der Definition einer Schwachstelle – denn es ist der eigentliche Zustand, der Gefahr eines Angriffs ausgesetzt zu sein. Die technischen Unzulänglichkeiten im Netzwerk sind ein Faktor, aber es gibt einen weiteren wichtigen Aspekt, der oft übersehen wird – nämlich die unternehmens-, branchen- und regionalspezifischen Einfallstore. Die IT-Verantwortlichen sollten nicht nur den Zustand der internen Assets überprüfen, sondern auch die Akteure hinter der Bedrohung, die mit ihren aktuellen Kampagnen eine Unternehmens-IT von außen angreifen. So erhalten sie ein klares Bild der Bedrohungslage und können die Sicherheit effektiv verbessern.

Vorteile von SASE auf einen Blick.

Die Architektur von SASE kann zu vielen Vorteilen im Unternehmen führen. Dazu zählen:

  • Geringere Komplexität und Reduzierung der Kosten – durch Vereinfachung des WAN und durch weniger einzusetzendes Equipment in der Branch.
  • Verbesserte Performance – durch latenzoptimiertes Routing und Bündelung von mehreren Transport-Technologien.
  • Verbesserte Sicherheit – durch effizientes Content Scanning und eine effektive Durchsetzung von Sicherheitsrichtlinien für jeden Nutzer, unabhängig von Gerät oder Kontext.
  • Verbesserter IT-Betrieb – durch zentralisiertes SD-WAN-Management, einheitliche Richtliniendefinition, weitreichende Skalierbarkeit (mitunter auch unabhängig von der Hardware), stets aktuelle Sicherheitslevel und Konzentration auf das Kerngeschäft.

Lassen sich von unseren SD-WAN-Spezialisten aus dem Competence Center BISS (Bechtle Internet Security und Services – E-Mail:security@bechtle.com) zum Thema SD-WAN und SASE beraten und stellen Sie die Weichen für Ihre digitale Transformation.

Werfen Sie auch einen Blick auf unseren Blogbeitrag zum traditionellen SD-WAN.

Blog: Secure sd-wan