SASE umhüllt Benutzer, Apps und Geräte mit Cloud-nativer Sicherheit

Die Grenzen der Unternehmenstechnologien verschwinden immer mehr. Ein schrumpfender Anteil des Datenverkehrs wird über herkömmliche VPNs abgewickelt, die Schatten-IT breitet sich aus und Mitarbeiter an entfernten Standorten greifen häufig auf ungeprüfte Cloud-Anwendungen zurück. Unternehmen brauchen einen neuen Ansatz, um den Zugriff auf die richtigen Ressourcen von jedem Ort aus zu sichern und gleichzeitig den Zugang für Unbefugte zuverlässig zu unterbinden. Und da die Risiken von Angriffen und Datenverlusten immer gefährlicher werden, müssen Unternehmen den Benutzerverkehr über ihre Grenzen hinaus ständig überprüfen und protokollieren.

Das vielversprechendste Modell, um all dies in einer grenzenlosen, vertrauensfreien Umgebung zu erreichen, ist bekannt als secure access service edge (SASE).

SASE ist ein Modell, nicht ein Produkt

Betrachten Sie SASE (ausgesprochen "sassy") nicht als ein Produkt: Betrachten Sie es als ein Sicherheitsmodell, das eine breite und wachsende Palette von Diensten integriert, die alle in der Cloud beheimatet sind und über die Cloud bereitgestellt werden. Der aus der Cloud stammende Ansatz von SASE verbessert die Skalierbarkeit und Flexibilität und macht es einfacher, jedes Gerät, jeden Benutzer und jede Anwendung zu schützen.

Die von Gartner oft zitierte Definition von SASE ist ein guter Ausgangspunkt. "SASE-Funktionen werden als Service auf der Grundlage der Identität der Entität, des Echtzeitkontexts, der Sicherheits-/Compliance-Richtlinien des Unternehmens und der kontinuierlichen Bewertung des Risikos/Vertrauens während der Sitzungen bereitgestellt. Identitäten von Entitäten können mit Personen, Personengruppen (Niederlassungen), Geräten, Anwendungen, Diensten, IoT-Systemen oder Edge-Computing-Standorten verbunden sein." [1]

SASE-Dienste umfassen in der Regel Zero Trust Network Access (ZTNA), um Benutzer zu authentifizieren und einen granularen Zugang zu einzelnen Anwendungen auf der Grundlage der Identität eines Benutzers, seines Kontexts und der Einhaltung relevanter Sicherheitsrichtlinien zu ermöglichen - und nicht etwa auf der Grundlage einer Geräte-IP-Adresse oder des physischen Standorts. Sobald sie sich im Netzwerk befinden, können die Benutzer nicht mehr zwischen den Anwendungen wechseln, ohne sich zu authentifizieren. [2] SASE verbessert die Dienste von Cloud Access Security Brokern (CASB), die die Nutzung von Cloud-Anwendungen sichtbar und kontrollierbar machen, indem sie tiefere Inspektionen und Kontext bieten. Darüber hinaus werden in der Regel Firewall-Dienste der nächsten Generation, sichere Web-Gateways, Schutz vor Datenverlust und vor allem Netzwerkdienste wie softwaredefinierte Weitverkehrsnetze (SD-WANs) integriert.

Diese Integration erklärt auch, warum SASE oft als "ganzheitlich" bezeichnet wird. SASE unterstützt eine effektivere Authentifizierung, Bedrohungserkennung und -abwehr über den gesamten Datenverkehr, alle Anwendungen und Benutzer hinweg, ohne dass Sicherheitsteams eine separate Sicherheitsinfrastruktur für internetbasierte und private Anwendungen unterhalten müssen. [3] Mit SASE ist es einfacher, die Sicherheitskomponenten einer IT-Infrastruktur zur gegenseitigen Unterstützung einzusetzen.

Beispielsweise können Unternehmen heute ZTNA und Data Loss Prevention unabhängig von einer SASE-Architektur einsetzen. Wenn diese Funktionen jedoch in eine SASE-Architektur integriert werden, können sie den ausgehenden Datenverkehr auch dann noch überwachen, wenn sich ein Benutzer bei einer Cloud-Anwendung authentifiziert hat - und sich so effektiver vor böswilligem Verhalten oder gestohlenen Anmeldedaten schützen.

SASE-Migration ist eine Reise, kein Übergang

Die meisten Unternehmen stehen erst am Anfang ihrer Umstellung auf SASE-Modelle und -Architekturen. Es wird eine Reise sein, kein plötzlicher Übergang. Es ist zum Beispiel üblich, dass Unternehmen SD-WANs einsetzen, um die Konnektivität von Zweigstellen zu vereinfachen, dann Sicherheits-Overlays hinzufügen und dann auf SASE umsteigen, um diese zu vereinheitlichen und die Verwaltung von Netzwerk und Sicherheit zu vereinfachen. [4] , [5]

Es wird einige Zeit dauern, aber SASE wird kommen. Laut Gartner verfügten im Jahr 2020 nur 10 % der Unternehmen über explizite Strategien und Zeitpläne für die Einführung von SASE für den Benutzer-, Zweigstellen- und Edge-Zugang; bis 2025 werden es 60 % sein. Gartner empfiehlt, einen schrittweisen Ausstieg aus der lokalen Perimeter- und Zweigstellen-Hardware zu planen, mit dem Ziel, SASE-Funktionen über eine kleinere Anzahl strategischer Anbieterpartner bereitzustellen. Gartner empfiehlt außerdem, sicherzustellen, dass die Lösungen wirklich Cloud-nativ sind und nicht aus der bestehenden Technologie vor Ort nachgebaut werden. [6]

Ein integriertes Ökosystem, keine Monokultur

Eine SASE-Implementierung setzt voraus, dass Ihr Ökosystem im Mittelpunkt Ihrer Sicherheitsstrategie steht - ohne Sichtbarkeit und Kontrolle können die Zero-Trust-Richtlinien nicht umgesetzt werden, und der Weg zu SASE wird praktisch gestoppt. Hinzu kommen zwei weitere Überlegungen.

Erstens sollten Ihre Anbieterpartner in APIs und native Integrationen investieren, damit ihre Angebote zusammenarbeiten und alle verfügbaren Echtzeit- und Fast-Echtzeit-Datenströme nutzen können. Dazu gehören vor allem dynamische Daten über neue Angriffsversuche, zunächst per E-Mail, die immer noch die überwiegende Mehrheit der Zero-Day-Angriffe ausmachen, dann über Cloud-Anwendungen und möglicherweise bis hin zu den Endgeräten. Dieser Ansatz, der in dem Whitepaper The Mimecast-Netskope-CrowdStrike Triple Play ausführlich beschrieben wird, wird SASE-Umgebungen einen noch größeren Nutzen bringen.

Zweitens sollten Sie nicht in die Falle einer völlig homogenen Sicherheitsumgebung tappen, in der Angreifer, die eine Reihe von Verteidigungsmaßnahmen umgehen können, auf unbestimmte Zeit unbemerkt in Ihren Systemen lauern, weitere Ressourcen gefährden und immer gefährlicher werden. Wenn SASE richtig eingesetzt wird, kann die Verwaltung aller Sicherheitsaspekte durch gemeinsame Richtlinien und Identitäten vereinheitlicht werden, ohne das robuste und vielfältige Sicherheitsökosystem zu beeinträchtigen, das für die Abwehr der fortschrittlichen Angriffe von morgen erforderlich ist.

Die Quintessenz

Das SASE-Modell bietet eine klare, langfristige Richtung für Sicherheitsentscheider, die Zero Trust erreichen und Umgebungen unterstützen wollen, in denen die Cloud vorherrscht. Richtig gemacht, erleichtert SASE die konsistente Anwendung von Richtlinien, die Skalierung und Erweiterung der Sicherheit, wo immer sie benötigt wird, und die Vereinfachung der Verwaltung. Wenn Sie SASE jetzt verstehen, können Sie unmittelbare Cybersicherheitsprobleme lösen - und sind besser auf die kommenden Herausforderungen vorbereitet.

[1] " Was ist SASE ?", Palo Alto Networks

[2] " Zero Trust Network Access ," Gartner

[3] " Wie Zero Trust und SASE zusammenarbeiten können ," Palo Alto Networks

[4] Die 10 Grundsätze einer effektiven SASE-Lösung , Palo Alto Networks

[5] " Wie man über Gartners strategischen Fahrplan für SASE-Konvergenz nachdenkt ," Netskope

[6] " Top-Aktionen aus dem Gartner Hype Cycle für Cloud-Sicherheit, 2020 ," Gartner, 2020