Die IT-Abteilungen größerer Unternehmen stehen vor gewaltigen Aufgaben. Stichworte: Dezentralisierung der Firmen-IT, Homeoffice, steigende Datenflut, Verlagerung vieler IT-Prozesse in die Cloud, Sicherheit, Fachkräftemangel. Vor allem das lokale Rechenzentrum ist betroffen, denn es fungiert besonders bei großen Organisationen mit internationalen Niederlassungen längst nicht mehr als „Zentrum“ der Datenverarbeitung. Der Anteil der Informationen, die dorthin wandern, nimmt im Laufe der kommenden Jahre immer weiter ab. Das liegt beispielsweise daran, dass bald mehr Arbeit außerhalb des Firmennetzes als innerhalb erledigt wird, oder immer mehr Datenströme direkt in die Public Cloud und weniger ins eigene Rechenzentrum laufen.
Was Next-Generation-SD-WAN und SASE besser machen.
Durch die Veränderungen stößt das klassische WAN-Modell an seine Grenzen – gerade bei Großunternehmen mit vielen Standorten. In einem Wide Area Network, das verschiedene Local Area Networks über große Strecken verbindet, stehen oft nur geringe Bandbreiten zur Verfügung. Auch die Laufzeiten der übertragenen Daten sind länger als im lokalen Netz. Deshalb richtet sich der Blick auf das softwarebasierte Weitverkehrsnetz SD-WAN. Dabei handelt es sich um Netze, die über Leitungsverbindungen, die hauptsächlich aus Hardware bestehen, eine Abstraktionsschicht in Form von Software legen. Die Vorteile liegen in der besseren Erfahrung für Nutzerinnen und Nutzer, dem einfacheren Betrieb, den geringeren Kosten, der Multi-Cloud-Unterstützung sowie höherer Sicherheit. Auf Dauer kann das SD-WAN alleine die Anforderungen der digitalen Transformation aber nicht erfüllen. Seit Anfang 2020 verbreitet sich deshalb mit Secure Access Service Edge (SASE) ein neues Architekturmodell. Es wurde von Gartner entworfen und umfasst neben SD-WAN zusätzliche Funktionen in Form von Netzwerksicherheitstechnologien wie zum Beispiel Secure Web Gateways, Cloud Access Security Brokern, Zero Trust Network Access und Firewall as a Service.
Diese Vorteile bietet SASE.
SASE reduziert die Komplexität von Weitverkehrsverbindungen, wodurch die Kosten sinken, die Performance steigt und die Sicherheit zunimmt. Außerdem ist SASE besser skalierbar. Darüber hinaus können Firmen den Betrieb ihrer mit SASE gesicherten SD-WAN- Verbindungen einem erfahrenen Anbieter überlassen und sich auf ihr Kerngeschäft konzentrieren. SASE bindet unterschiedliche Verbindungskanäle wie DSL, Standleitungen oder auch 4G- bzw. 5G-Netze ein und stellt sie einem Unternehmen als „privates Backbone“ zur Verfügung. Der gesamte Datenverkehr erfolgt verschlüsselt, hinzu kommen wichtige Funktionen wie moderne NGFW-Leistungen (Next Generation Firewalls), Scans auf Malware sowie Schutz vor DDoS-Angriffen und Attacken auf die DNS-Server.
Diese Hürden gibt es bei einer SASE-Migration.
Zu den Hindernissen zählen organisatorische Silos, bestehende Investitionen und Defizite in der Qualifikation der Mitarbeitenden. Eine SASE-Implementierung erfordert eine koordinierte und kohärente Vorgehensweise über Teams hinweg. Auch uneinheitliche Architekturen und Datenschutzanforderungen stellen Probleme dar. SASE-Lösungen werden in der Cloud bereitgestellt, aber die Anbieter unterscheiden sich im Grad der „Cloud-Nativität“ ihrer Architektur. Hinzu kommt, dass jedes Unternehmen unterschiedliche Anforderungen an Compliance und Datenschutz stellt. Ebenfalls problematisch: SASE-Fähigkeiten variieren stark. Firmen müssen deshalb ihren Bedarf an konvergenten Fertigkeiten gegenüber dem Bedarf an weiteren Best-of-Breed-Fähigkeiten priorisieren, bis die Lücken verschwinden.
Diese SASE-Modelle können Unternehmen nutzen.
Cloud-native oder Managed SASE sind zwei Optionen, die Organisationen offenstehen. Bei Ersterem entstehen keine speziellen Abhängigkeiten von der Hardware, alle Netzwerk- und Security-Services stammen aus der Cloud. Nutzer:innen skalieren den SASE-Dienst als Software bedarfsgerecht, er ist für maximale Kosteneinsparungen mandantenfähig ausgelegt und kann für eine reibungslose Serviceerweiterung schnell aggregiert werden. Managed SASE erweist sich als gute Wahl, wenn man sich nicht mit Fragen wie dem Anlegen von User-Profilen auseinandersetzen möchte. Denn es besteht die Möglichkeit, die Konfiguration und den Betrieb des Netzwerkes an einen Dienstleister auszulagern.
So gelingt die SASE-Umsetzung.
Die Kombination aus SD-WAN und SASE besteht aus vielen Komponenten, die in einem stimmigen Paket optimal aufeinander abgestimmt sein müssen. Es ergibt deshalb nur wenig Sinn, mehrere externe Dienstleister für einzelne Teilprojekte zu beauftragen – denn viele Köche verderben den Brei. Außerdem sollte der ausgewählte Dienstleister in der Lage sein, auch jederzeit international zu agieren, damit die Anbindung an die neue Infrastruktur der Kolleg:innen in den Niederlassungen schnell und unkompliziert erfolgt. Eine Gesamtlösung aus einer Hand bietet auch den Vorteil, dass die Kunden im Problemfall mit nur einem Ansprechpartner kommunizieren, der den Überblick über die gesamte Lösung hat.
Fazit: SASE braucht ein stimmiges Gesamtkonzept.
Das traditionelle Netzwerkmodell hat ausgedient. Immer mehr Firmen ersetzen starre VPN- oder MPLS-Lösungen (Multiprotocol Label Switching) durch flexiblere SD-WAN-Modelle. Ohne ein stimmiges Konzept landen sie jedoch in einer Sackgasse. Das SASE-Modell macht es möglich, flexiblere Netzwerkverbindungen aufzubauen und sie besser zu schützen. Identitäten, Anwendungen und Services lassen sich mit SASE zentral verwalten und auch dezentrale Verbindungen effektiv absichern. Bechtle unterstützt Sie sowohl bei der Einführung als auch beim Betrieb Ihrer eigenen SASE-Umgebung in Deutschland, aber auch international individuell – Sie erhalten eine schlüsselfertige Lösung. Wir kümmern uns nicht nur um das zugrunde liegende Netzwerk, sondern auch um die erforderliche Security-Architektur und Ihre Backup-Strategie.