Zu den wichtigsten Vorzügen von SASE zählt, dass Unternehmen mit diesem Framework ihren Mitarbeitern, aber auch Kunden und Partnerfirmen, einen sicheren Zugang zu Anwendungen, Daten und IT-Ressourcen bereitstellen können. Die Sicherheitseinstellungen passen sich dabei dynamisch an.

Auch Managed Service Provider (MSPs) sind derzeit dabei, SASE-Angebote zu erstellen. Damit können sie ihre Kunden besser bei der Transformation des Unternehmensnetzes und der IT-Security-Maßnahmen unterstützen. Solche Angebote sind für Unternehmen interessant, weil dadurch die eigene IT-Abteilung entlastet wird. Daher greifen sie zu Lösungen wie einen schlüsselfertigen, gemanagten WAN- beziehungsweise SD-WAN-Service oder einen gemanagten Security-Dienst. Häufig kommt eine Kombination beider Ansätze zum Zug.

Wer auf das Angebot eines MSP setzt, hat die Wahl zwischen zwei Optionen. Die erste ist ein voll gemanagter Service. Bei ihm übernimmt der Provider alle Aufgaben: Er stellt den Dienst bereit, verwaltet ihn, führt das Monitoring durch und ist die erste Anlaufstelle, wenn Probleme auftreten. Die Alternative ist ein »Co-Managed« Service. In diesem Fall teilen sich der Nutzer und der Provider die Aufgaben.

SD-WAN- und SASE-Strategie wachsen zusammen. Doch »mal eben schnell« einen Managed SASE-Service aufzusetzen, dürfte für die Mehrzahl der MSPs nicht machbar sein. Ein Grund ist, dass Provider zunächst ihre siloartigen Organisationsstrukturen aufbrechen müssen, wenn sie integrierte Netzwerk- und Security-Dienste bereitstellen möchten. Das können sie erreichen, indem sie eng mit den Herstellern entsprechender Lösungen zusammenarbeiten.

Abbildung 1: Eine herkömmliche Netzwerk- und Sicherheitsarchitektur führt den gesamten Datenverkehr, auch den von Cloud-Anwendungen, über den »Flaschenhals« Firmenrechenzentrum. Dort sind auch die zentralen IT-Sicherheitslösungen installiert. Der Nachteil: höhere Verzögerungszeiten und eine schlechte Anwendungsperformance.

Damit sowohl Anwender als auch Managed Service Provider in vollem Umfang von einem SASE-Framework profitieren, muss jedoch ein Punkt beachtet werden: die zentrale Rolle des Software-Defined WAN. Problematisch ist beispielsweise, wenn eine SD-WAN-Lösung nur über begrenzte Optionen verfügt, um IT-Systeme am Rand der WAN-Infrastruktur (Edge) anzubinden, etwa in Niederlassungen. Solche Defizite führen dazu, dass Cloud-Anwendungen nicht in der gewünschten Performance und Dienstgüte beim Nutzer »ankommen«. Das lässt sich vermeiden, wenn ein MSP für sein SASE-Framework auf eine SD-WAN-Plattform zurückgreift, die folgende Eigenschaften aufweist:

Eine automatisierte und feinkörnige Steuerung von Datenströmen: Das setzt voraus, dass die SD-WAN-Plattform Anwendungen bereits anhand des ersten Datenpakets identifiziert. Echtzeitanwendungen wie Videokonferenz-Tools und geschäftskritische Applikationen wie ERP-Lösungen können so schneller erkannt werden und dann Vorrang vor E-Mails und Downloads erhalten.
Tägliche Updates der TCP/IP-Adressen und der Definitionen von Anwendungen: Das sollte automatisch erfolgen und zudem alle Systeme und Standorte im Netzwerk umfassen.
Eine automatische Orchestrierung von Cloud-gestützten Security-Services: Wichtig ist, dass diese Dienste von eta-blierten, marktführenden Anbietern stammen. Beispiele sind Zscaler Internet Access, Netskope Security Cloud, Check Point CloudGuard Connect und Palo Alto Prisma Access.
Das Umschalten auf andere Cloud Enforcement Points, wenn ein System ausfällt: Solche Gateways untersuchen den Datenverkehr auf Schadsoftware hin, stellen Firewalls bereit und ermöglichen es, Sicherheitsregeln (Policies) umzusetzen.
Automatische Umstellung auf näher gelegene Cloud Enforcement Points: Das reduziert die Antwortzeiten der Sicherheitssysteme und verbessert die User Experience.
Die Option für Unternehmen, SASE in ihrem eigenen Tempo zu implementieren: Der Anwender sollte beispielsweise die Möglichkeit haben, SASE zunächst in kleinerem Maßstab auszuprobieren, um Erfahrungen mit diesem Ansatz zu sammeln.
Einen Vendor Lock-in vermeiden: Die SD-WAN-Plattform darf nicht vorgeben, welche Sicherheitslösungen ein Nutzer einsetzen kann.
Wahl zwischen mehreren Implementierungsformen: Der Anwender sollte die Wahl haben, ob er die SASE-Lösung und das dazu gehörige SD-WAN selbst implementiert und betreibt oder lieber auf einen Managed beziehungsweise Co-Managed Service zurückgreift.

Ein weiterer Aspekt, den es bei SASE zu beachten gilt, ist die Unterstützung unterschiedlicher Cloud-Konzepte. Speziell Unternehmen in Deutschland bevorzugen Hybrid-Cloud-Modelle – also eine Kombination von IT-Services, die über das eigene Rechenzentrum und Public Clouds bereitgestellt werden. Außerdem sollte eine SASE-Architektur für Multi-Cloud-Umgebungen ausgelegt sein. Daher ist es für Managed Service Provider erforderlich, mit den großen Cloudanbietern wie AWS, Microsoft (Azure) und Google (Google Cloud Platform) zusammenzuarbeiten, gegebenenfalls auch mit regionalen Cloud-Anbietern wie Ionos und der Telekom.

Abbildung 2: Über adaptive Internet-Breakouts greifen Mitarbeiter in Firmenniederlassungen auf Cloud-Anwendungen zu. Das schließt Cloud-basierte Sicherheitsapplikationen wie Firewalls mit ein, die mittels SASE-Frameworks bereitgestellt werden.

Der MSP muss daher zusammen mit dem Anwender und den Cloud-Service-Providern sorgfältig prüfen, welche Technologiepartner die passenden Lösungen anbieten, die eine SASE-Architektur unterstützen. Dabei sind auch Faktoren zu berücksichtigen wie der interne Entwicklungsaufwand und die Kosten für die Systemintegration, um neue SASE Managed Edge Services auf den Markt zu bringen.

Vorsicht ist bei »All-in-One«-SASE-Angeboten angebracht, die eine Lösung aus einer Hand versprechen, inklusive einer nahtlosen Integration in die IT-In-frastruktur und Geschäftsprozesse des Nutzers. Solche Lösungen haben oft mehrere Nachteile: der Anwender bindet sich an einen Anbieter, Stichwort Vendor Lock-in, und er muss Kompromisse eingehen, etwa bezüglich der Netzwerkfunktionen. Im schlimmsten Fall kann ein solches Alles-aus-einer-Hand-Konzept dazu füh-ren, dass der MSP und dessen Kunden neuartigen Sicherheitsbedrohungen ausgesetzt werden, die ein schnelles Eingreifen erfordern.

Fazit. Secure Access Service Edge ist ohne Zweifel ein interessantes Konzept, mit dem Unternehmen den Anwendungen und Daten wirkungsvoll schützen können. Das gilt vor allem für Firmen, die in größerem Maßstab Cloud-Applikationen einsetzen. Doch SASE kann nur dann seine Vorteile ausspielen, wenn der technische Unterbau »stimmt«. Das gilt vor allem für die SD-WAN-Plattform. Managed Service Provider und Anwender sind daher gut beraten, auf eine offene und variable Plattform zu setzen. Nur dann sind die in der Lage, mithilfe von SASE Netzwerk- und Anwendungsumgebungen einzurichten, die ein Höchstmaß an Sicherheit und Flexibilität bieten.

Nav Chander,
Senior Director Service Provider Marketing
bei Silver Peak

Illustration: © VallepuGraphics/shutterstock.com

111 Artikel zu „SASE“

NEWS | FAVORITEN DER REDAKTION | IT-SECURITY

Datensicherheit jenseits des Netzwerks: SASE-Plattformen

27. Dezember 2020

Unternehmen sind überaus anpassungsfähig, wie sich in der Pandemiekrise gezeigt hat. Schnell wurden neue Workflows geschaffen, die den Geschäftsbetrieb vollständig digital aufrecht erhalten. Die Zusammenarbeit erfolgt über Collaboration-Tools, die Bearbeitung von wichtigen Dokumenten über Cloudanwendungen und die persönliche Abstimmung in Einzelfällen über Messenger-Dienste auf privaten Mobilgeräten. Die Veränderungen in der digitalen Arbeitsumgebung machen es für…

Zu den wichtigsten Vorzügen von SASE zählt, dass Unternehmen mit diesem Framework ihren Mitarbeitern, aber auch Kunden und Partnerfirmen, einen sicheren Zugang zu Anwendungen, Daten und IT-Ressourcen bereitstellen können. Die Sicherheitseinstellungen passen sich dabei dynamisch an.

Nav Chander, Senior Director Service Provider Marketing bei Silver Peak

111 Artikel zu „SASE“

Nav Chander,
Senior Director Service Provider Marketing
bei Silver Peak