Wie sich SASE in bestehende Netze einbinden lässt. Eine Strategie der schrittweisen Migration maximiert Innovationen und schützt finanzielle Ressourcen.
Mit einem Marktwert von 1,9 Milliarden US-Dollar im Jahr 2023 und einer voraussichtlichen jährlichen Wachstumsrate (CAGR) von 25 % bis 2028 löst SASE (Secure Access Service Edge) sein Versprechen in einer sich entwickelnden Netzwerk- und Sicherheitslandschaft ein.
Der Gedanke einer einheitlichen, cloudbasierten Netzwerk- und Sicherheitslösung, die den sicheren Office-Bereich auf alle Benutzer und Ressourcen ausdehnt, findet bei IT-Verantwortlichen verständlicherweise großen Anklang. Doch so überzeugend die Vision von SASE auch sein mag, sie umzusetzen erfordert von der Chefetage einen Vertrauensvorschuss und die Bereitschaft zu investieren.
Leider ist es in der Praxis oft so, dass Zweifel und Vorbehalte den Reiz von SASE bei wichtigen Entscheidungsträgern und Vorständen mindern. Sie neigen naturgemäß eher dazu, mit vertrauten und etablierten Technologien fortzufahren, als mit neueren, innovativen Ansätzen wie SASE zu experimentieren. Für CIOs und CTOs bedeutet das einen ständigen und nicht selten aussichtslosen Kampf um die notwendigen Genehmigungen und Finanzmittel.
Eine Möglichkeit, diese zögerliche Haltung und die Mittelknappheit gleichermaßen zu überwinden, besteht darin, SASE als iterativen Prozess zu betrachten und nicht als einmalige Initiative, die schnelle Veränderungen und Vorabinvestitionen erfordert. Die Einführung von SASE lässt sich dann nahtlos mit den Aktualisierungszyklen der verschiedenen Netzwerkkomponenten und Security Stacks moderner Unternehmen in Einklang bringen. Und das führt letztlich zu deren Konvergenz und Konsolidierung.
SASE ohne »Ripping and Replacing«
SASE bedeutet durchaus einen Wandel in Bezug auf die Art und Weise, wie Unternehmen an die Themen Networking und Security herangehen. SASE zu implementieren, erfordert aber nicht zwangsläufig einen kompletten Umbruch. Statt einer massiven, vollständigen Umstellung können Anwender mit einer schrittweisen SASE-Einführung beginnen und diese sukzessive erweitern, wenn etwa bestehende Verträge auslaufen oder neue Anforderungsprofile entstehen. Stellen Sie sich beispielsweise eine Situation vor, in der eine Aktualisierung der Netzwerkkomponenten fällig wird, die Sicherheitssysteme aber noch optimal funktionieren. Der iterative Ansatz erlaubt es einem Unternehmen dann, SD-WAN (Software-defined Wide Area Network) einzusetzen, um den akuten Netzwerkbedarf zu erfüllen. Die umfassende SASE-Implementierung wird hingegen aufgeschoben, bis der Aktualisierungszyklus der Sicherheitssysteme abgeschlossen ist.
Im Folgenden stellen wir Ihnen fünf gängige Szenarien vor, die sich eignen, eine Migration auf SASE einzuleiten und dabei verfügbare oder vorab zugewiesene IT-Mittel zu verwenden:
- Verlängerung von MPLS-Verträgen: Wenn MPLS-Verträge (Multiprotocol Label Switching) in Kürze auslaufen, bietet es sich für Unternehmen an, den Wechsel zum sicheren SD-WAN in Erwägung ziehen und bereits zugewiesene (und meist beträchtliche) MPLS-Mittel dementsprechend umzuleiten.
- Appliances abschaffen: Wenn Netzwerk- und Sicherheitsgeräte das Ende ihrer Lebensdauer erreichen, ist das ein guter Zeitpunkt, sie nach und nach durch individuelle SASE-Dienste zu ersetzen.
- Initiativen für Work-from-Home: Unternehmen, die flexible und dezentrale Arbeitsmöglichkeiten anbieten wollen, sollten in einen sicheren Netzzugang für dezentral arbeitende Benutzer investieren. Dazu können sie die globale Reichweite und die allgegenwärtige Sicherheit von SASE nutzen.
- Cloud-Migration: Unternehmen, die eine Ausweitung ihrer Cloud-Präsenz planen, müssen eine veraltete MPLS-Architektur auslaufen lassen. Sie benötigen internetbasierte WAN- und cloudbasierte Sicherheits- und mobile Zugangslösungen mit hoher Kapazität, die sich alle über SASE abdecken lassen.
- Geschäftliche Expansion: Wenn Unternehmen auf neue Standorte ohne MPLS-Konnektivität expandieren, sorgen der globale Netzwerk-Backbone und die cloudbasierten SASE-Dienste dafür, dass sichere Konnektivität für neue Niederlassungen und Benutzer ausgeweitet werden können. Und das innerhalb von Tagen statt Wochen oder Monaten. Unternehmen haben so die Möglichkeit, SASE an ihren neuen Standorten bereits einzusetzen und gleichzeitig die MPLS-Infrastruktur für den Rest des Unternehmens weiterhin zu nutzen.
Die verschiedenen Infrastrukturelemente folgen also weiterhin den bestehenden Zeitplänen für Aktualisierungen und Umstellungen. Auf diese Weise gestattet ein iterativer Ansatz eine Modernisierung, ohne das Budget übermäßig zu belasten. Unternehmen haben dadurch die Option, ihre Ressourcen taktisch zuzuweisen, indem sie mit SD-WAN, SSE (Secure Service Edge) oder ZTNA (Zero Trust Network Access) beginnen und schrittweise zu einem umfassenden SASE-System übergehen – sobald sie den Wert und die Vorteile erkennen, die sich auf jeder Stufe entfalten.
SASE mit bestehenden Diensten konsolidieren: Strategieplan in 5 Schritten
Wenn Unternehmen erst einmal die Initiative ergriffen haben, können sie die Einführung von SASE schrittweise ausdehnen. Die folgenden fünf Schritte sorgen für eine nahtlose und störungsfreie SASE-Migration.
- Schritt 1: SASE SD-WAN einsetzen, um ausgewählte Standorte an die bestehende MPLS-Architektur und das Internet anzubinden. Bei diesem Schritt sollten keine Änderungen an der bestehenden Infrastruktur nötig sein.
- Schritt 2: SASE an neuen Standorten einsetzen, an denen MPLS nicht verfügbar oder zu kostspielig ist, um eine optimale Anbindung an das Unternehmens-WAN zu gewährleisten.
- Schritt 3: Schrittweise Implementierung von SASE-Sicherheitsfunktionen wie NGFW (Next Generation Firewall), SWG (Secure Web Gateway) und IPS (Intrusion Prevention System), wenn vorhandene Geräte das Ende ihrer Lebensdauer erreichen oder an ihre Skalierungsgrenzen stoßen. Alternativ können Unternehmen die SASE-Sicherheitsfunktionen zunächst auch nur zur Absicherung neuer Zweigstellen einsetzen.
- Schritt 4: SASE für einen schnellen und zuverlässigen Cloud-Zugriff nutzen. Die Leistung für SaaS-Anwendungen lässt sich optimieren, indem man den Datenverkehr über den optimierten SASE Netzwerk-Backbone anstatt über das Internet leitet. In einigen Fällen kann sich der PoP (Point of Presence) durchaus in einem Cloud-Rechenzentrum befinden, was zu einer LAN-ähnlichen Leistung und Konnektivität führt.
- Schritt 5: VPNs verabschieden, anstatt weitere Server zu erwerben oder in Upgrades zu investieren. Stattdessen sollte die Migration von Remote- und WFH-Benutzern in die SASE-Cloud erfolgen, um optimale Sicherheit und Konnektivität zu gewährleisten.
SASE: Eher Strategie als Lösung
SASE ist mehr als eine rein technologische Lösung. Es ist ein strategischer Ansatz, der Innovationen und finanzielle Weitsicht miteinander in Einklang bringt. Firmen haben so die Möglichkeit, maximal von der bestehenden Infrastruktur zu profitieren und Ressourcen optimal zu nutzen, anstatt sich für eine abrupte Umstellung entscheiden zu müssen.
SASE ist auch keine Pauschalreise, die jedem das Gleiche bietet. Man sollte SASE als Fahrplan verstehen, der stets die realen Ressourcenbeschränkungen berücksichtigt, ebenso wie die natürliche Abneigung gegen Störungen.
Letztendlich werden viele Firmen laufende MPLS-Verträge früher kündigen, um schneller von den Vorteilen der SASE-Cloud zu profitieren. Zuverlässigkeit,
Kosteneinsparungen, Leistungsfähigkeit und Benutzerfreundlichkeit, um nur die wichtigsten zu nennen. Andere wiederum werden es vorziehen, Netzwerk und Sicherheit zukunftsfähig zu gestalten und gleichzeitig die bestehende Infrastruktur und Services beibehalten. SASE erlaubt genau diese Flexibilität. Innovation und Vorsicht müssen also kein Widerspruch sein.
Etay Maor, Senior Director of Security Strategy, Cato Networks